セキュリティ
影響を受けるiPhoneのオーナーは、もうパッチを待つ必要はありません。このSecureROMバグの解決策は、新しい端末への買い替えだけです。
Appleの「A12」および「A13」チップに影響する新たなBootROMエクスプロイトが明らかになりました。これにより、研究者たちは数百万台のiPhoneをはじめとするAppleデバイスのセキュアブートチェーンを突破する手段を手に入れることになります。
このエクスプロイトは、Paradigm Shiftのセキュリティ研究者たちによって「usbliter8」と命名されており、iPhone XS・XR・11・11 ProモデルのほかAppleのA12およびA13プロセッサ搭載デバイスに存在するSecureROMコードの欠陥を突くものです。この脆弱性は製造時にシリコンへ書き込まれた変更不可能なBootROMコードに存在するため、パッチによる修正は不可能です。
研究者たちはこの問題を、Appleが採用しているSynopsys DesignWare USBコントローラーに起因するものと特定しました。ハードウェアが特定のUSBセットアップパケットを処理する際の欠陥により、攻撃者はDevice Firmware Update(DFU)モード中にメモリを破壊し、最終的にSecureROM自体を制御下に置くことができます。
これはブートプロセスにおける些細な一場面に聞こえるかもしれませんが、SecureROMはAppleの信頼チェーンの最底辺に位置しています。攻撃者がSecureROMを侵害できれば、その後に続くすべての処理に干渉できることになります。
一般のiPhoneユーザーがパニックになる理由はほとんどありません。このエクスプロイトを実行するには、デバイスへの物理的なアクセスとDFUモードへの移行が必要です。つまり、犯罪者がフィッシングキャンペーンやドライブバイ攻撃に悪用するような類の脆弱性ではありません。
一方でセキュリティ研究者にとって、BootROMの脆弱性は尽きることのない恵みといえます。次のパッチチューズデーで消えてしまうソフトウェアの欠陥とは異なり、これらのバグはハードウェアが現役である限り悪用可能な状態が続きます。
Paradigmが公開したProof-of-Conceptは、ブートプロセス中に未署名コードを実行したり、署名チェックなしにカスタムiBootイメージを読み込んだり、DFUの動作を改変したりする能力を実証しています。このエクスプロイトはまた、侵害されたデバイスに伝統的な「PWND」という文字列をマークします。これは過去10年にわたってジェイルブレイクコミュニティに親しんできた人ならおなじみの文字列です。
すべての世代のiPhoneがこの欠陥を抱えているわけではありません。研究者たちによると、Appleの「A11」チップは異なるUSB実装によってこの問題を回避しており、「A14」以降のハードウェアではそもそもエクスプロイトを可能にする条件が修正されているようです。
「新しい世代では根本的な問題が対処されていますが、影響を受けるA12およびA13デバイスはその寿命が尽きるまでこの問題を抱え続けることになります」とParadigmの研究者たちは述べています。「iPhoneへの攻撃やジェイルブレイクの歴史を追ってきた方々にとって、この研究はBootROMが今なおときに驚きをもたらしてくれることを思い起こさせるものです。
チームは公開前にAppleへ調査結果を開示し、研究の公表についてAppleと調整を行ったと述べています。AppleはThe Registerのコメント要請には応じませんでした。
このエクスプロイトはAppleのSecure Enclave Processor(パスコードや暗号化キーなど機密データの保護を担う)を直接侵害するものではありません。それでも、SecureROMを制御下に置くことは、最後の一線を越えることなく研究者が「王国の鍵」に最も近づける手段といえます。
修正手段はありませんが、解決策はシンプルです。少々費用はかかりますが、新しいiPhoneを購入することです。 ®
