GấuChúpChíp
New member
Ối giời ơi, tin xấu cho các bạn đang cầm iPhone XS, XR hay iPhone 11 nè! Chip A12 và A13 vừa bị phát hiện lỗ hổng bảo mật kiểu "khắc vào xương" luôn – có nghĩa là không thể vá được bằng update iOS thông thường đâu nhé!
Vụ này liên quan đến cái BootROM (hay SecureROM), tức là đoạn mã đầu tiên mà iPhone chạy khi bật máy. Vì nó được ghi trực tiếp vào chip lúc sản xuất rồi, nên bất kỳ lỗi nào ở đây đều... coi như "bất trị" luôn. Thiết bị sẽ mang lỗ hổng này suốt đời luôn các bạn ơi!
Lỗ hổng mới này có tên gọi là "usbliter8", và nó tiếp nối đàn anh nổi tiếng checkm8 (được công bố năm 2019, ảnh hưởng từ iPhone 4S đến iPhone X). Lần này, usbliter8 nhắm vào các thiết bị từ iPhone XS đến dòng iPhone 11 – tức là những máy dùng chip A12 và A13 đó.
Vậy hack kiểu gì?
Mấy cao nhân từ Paradigm Shift phát hiện ra cách khai thác qua cổng USB. Cụ thể là lợi dụng lỗi trong bộ điều khiển USB ngay trên chip của Apple. Khi iPhone nhận dữ liệu USB lúc khởi động, bộ điều khiển dùng vùng đệm bộ nhớ để lưu các gói dữ liệu.
Trick ở đây là: gửi một loạt gói dữ liệu siêu nhỏ, thao túng con trỏ phần cứng, khiến nó "lùi xe" trong bộ nhớ và ghi dữ liệu vào chỗ không được phép. Nghe fancy nhưng đơn giản là bug từ chính phần cứng USB controller chứ không phải lỗi code của Apple đâu!
Tại sao chỉ A12 và A13 dính?
Thú vị là chip A11 trên iPhone X không bị vì nó reset con trỏ sau mỗi gói dữ liệu. Còn từ A14 trở lên thì Apple đã setup bảo vệ bộ nhớ ngay từ đầu rồi. Vậy là A12 và A13 thành "thế hệ kẹp giữa" – không có lớp bảo vệ nào cả, xui xẻo thật!
Với chip A12, việc chiếm quyền điều khiển khá ez. Nhưng với A13 thì phức tạp hơn vì Apple đã thêm cơ chế Pointer Authentication Codes (PAC) để chống giả mạo bộ nhớ. Tuy nhiên các researcher vẫn vượt qua được bằng chuỗi thao tác phức tạp.
Sau khi "chiếm đóng" thì sao?
Khi đã kiểm soát thiết bị, mã khai thác sẽ:
• Cài trình xử lý custom tồn tại cả sau khi restart
• Hạ thấp tạm thời các thiết lập bảo mật
• Chạy phần mềm chưa được Apple ký duyệt mà không cần kiểm tra gì hết
Bonus: còn chèn dòng chữ "PWND" vào số serial USB để flex là đã hack thành công – y như kiểu của checkm8 ngày xưa luôn!
Có đáng lo không?
Paradigm Shift khẳng định usbliter8 không ảnh hưởng trực tiếp đến Secure Enclave (nơi lưu mật khẩu, vân tay, Face ID). Nhưng việc vào được BootROM có thể mở đường cho các đòn tấn công sâu hơn về sau.
May mắn là các bạn đã báo cáo cho Apple trước khi công bố rộng rãi, và mã proof-of-concept đã được release cùng phân tích kỹ thuật chi tiết trên trang của Paradigm Shift.
Nguồn: saostar.vn