Descoberta e escopo da falha usbliter8
Uma vulnerabilidade crítica de nível de hardware, batizada de usbliter8, foi identificada em dispositivos Apple equipados com os chips A12, S4/S5 e A13. A falha reside no BootROM, o firmware de inicialização imutável gravado no silício, o que impede a correção via atualizações de software. Pesquisadores do Paradigm Shift demonstraram que a exploração permite o comprometimento completo da cadeia de confiança do sistema operacional, anulando as proteções de segurança nativas da Apple.
O vetor de ataque explora uma falha no controlador USB Synopsys DWC2, utilizado em conjunto com uma configuração de firmware inadequada. A combinação desses elementos permite que um atacante execute código arbitrário com privilégios elevados, contornando mecanismos de segurança como o Secure Boot e o Secure Enclave.
Detalhes técnicos da exploração
A vulnerabilidade origina-se na forma como o controlador DWC2 gerencia pacotes de configuração USB consecutivos. O controlador armazena até três pacotes Setup na memória antes de resetar o endereço base do DMA (DOEPDMA) para sua posição inicial, funcionando como um buffer circular. O defeito crítico ocorre porque, após cada escrita, o controlador incrementa o DOEPDMA pelo tamanho dos dados escritos, mas a operação de reset sempre o decrementa por um valor fixo de 24 bytes.
Como o controlador também aceita pacotes menores armazenados em blocos de 4 bytes, a aritmética de ponteiros falha. A discrepância entre o incremento variável e o decremento fixo produz um primitivo de underflow de buffer em passos de 12 bytes, permitindo escritas controladas em regiões de memória fora do buffer pretendido.
Em dispositivos com A12 e A13, a Tabela de Resolução de Endereço de Dispositivo (DART) USB está configurada no modo de bypass dentro do SecureROM. Isso significa que não há barreira IOMMU para impedir que o DMA sobrescreva dados arbitrários na SRAM. Gerações A14 e posteriores configuram a DART corretamente, tornando a vulnerabilidade não explorável em hardware mais recente.
Diferenças de exploração entre A12 e A13
Em chips A12 e S4/S5, a exploração é relativamente direta. O buffer de DMA fica adjacente à pilha da tarefa USB no heap. Os atacantes corrompem um Link Register (LR) salvo, ganhando controle do PC durante uma troca de contexto do agendador. Uma cadeia ROP compacta redireciona as escritas do DMA para o trampolim de inicialização, normalmente não gravável do EL0, antes de pular para a rotina de transição EL1 do SecureROM para executar shellcode do atacante com privilégios totais.
A geração A13 introduz a Autenticação de Ponteiros (PAC), complicando a corrupção direta do LR. Os pesquisadores desenvolveram uma técnica em múltiplos passos envolvendo sobrescritas controladas de metadados do heap DART, neutralizando as proteções de checksum do heap e suprimindo reinicializações em panic ao sobrescrever um contador global de panic com uma primitiva de escrita 0xF.
A execução é finalmente redirecionada através de um gadget que carrega um ponteiro de função de memória controlada pelo atacante, contornando o PAC porque apenas a chave IB está habilitada no firmware, uma falha que se prova fatal.
Impacto e alcance dos dispositivos afetados
Os SoCs confirmados vulneráveis incluem:
- Apple A12 (iPhone XS, XR, iPad Pro 2018)
- Apple S4/S5 (Apple Watch Series 4/5)
- Apple A13 (iPhone 11 series)
Devido à natureza imutável do código do BootROM, nenhuma atualização de software ou firmware pode remediar o problema. A migração para hardware A14 ou posterior permanece como a única mitigação eficaz. Os pesquisadores notam que o Processador de Enclave Seguro (SEP) da Apple fornece uma camada adicional de segurança, embora o usbliter8 abra vetores mais amplos para atacar o Secure Enclave indiretamente.
Medidas de mitigação recomendadas
Para CISOs e equipes de segurança móvel, as recomendações imediatas são:
- Segmentação de Rede: Isolar dispositivos vulneráveis em redes segmentadas, limitando o acesso físico e lógico a portas USB não confiáveis.
- Políticas de Dispositivo: Implementar políticas de MDM (Mobile Device Management) que restrinjam o uso de dispositivos com hardware A12, A13 ou S4/S5 para dados sensíveis.
- Monitoramento de Comportamento: Aumentar a vigilância em logs de acesso físico e tentativas de conexão USB não autorizadas.
- Plano de Substituição: Priorizar a atualização de frota para dispositivos com chip A14 ou superior, onde a vulnerabilidade não é explorável.
Perguntas frequentes
É possível corrigir essa falha via software? Não. Como a vulnerabilidade reside no BootROM, que é gravado no silício, não há patch de software disponível.
Qual o risco para usuários comuns? O risco é significativo para usuários que conectam dispositivos a computadores não confiáveis ou expõem fisicamente seus dispositivos a atacantes com acesso físico.
A Apple já está ciente? Sim, a Paradigm Shift coordenou a divulgação com a Apple Product Security antes da publicação.
O que os CISOs devem fazer imediatamente
A descoberta do usbliter8 representa um risco de segurança de nível de hardware que desafia as premissas tradicionais de segurança móvel. A capacidade de anular a cadeia de confiança do sistema operacional exige uma revisão imediata das políticas de segurança para dispositivos Apple em uso corporativo. A prioridade deve ser a identificação de ativos vulneráveis e a implementação de controles compensatórios até que a substituição de hardware seja concluída.