Des chercheurs de Paradigm Shift publient les détails techniques de usbliter8, une vulnérabilité BootROM dite « incorrigible » permettant l’exécution de code arbitraire sur des appareils équipés de puces Apple A12 et A13.
Un exploit matériel, déclenché en DFU via USB
Dans un billet très technique, l’équipe décrit usbliter8 comme un exploit qui « exploite à la fois un bug matériel du contrôleur USB et une faiblesse de configuration spécifique présente dans le firmware de l’appareil », rendant une correction logicielle impossible. La publication complète est disponible ici : ps.tc/pages/blog-usbliter8.html.
Paradigm Shift indique avoir partagé ses conclusions en amont avec Apple Product Security afin de coordonner la divulgation, et remercie l’équipe sécurité d’Apple pour sa « réponse rapide » et sa coopération.
Concrètement, l’exploit envoie des données spécialement conçues à un appareil placé en mode DFU via USB. Le contrôleur USB est alors désorienté et écrit des données au mauvais endroit en mémoire. Avec un accès physique à l’appareil, un attaquant peut prendre la main sur la séquence de démarrage, exécuter son propre code avant le chargement d’iOS, contourner certains contrôles de signature et amorcer un système modifié.
Appareils concernés : iPhone, iPad, Apple Watch, HomePod mini
Les SoC explicitement cités comme affectés sont les A12, S4, S5 et A13. Même si le texte mentionne surtout l’iPhone, ces puces correspondent notamment aux appareils suivants :
- A12 : iPhone XR, iPhone XS/XS Max, iPad Air (3e génération), iPad mini (5e génération), iPad (8e génération) et Apple TV 4K (2e génération)
- S4 : Apple Watch Series 4
- S5 : Apple Watch Series 5, Apple Watch SE (1re génération) et HomePod mini
- A13 : iPhone 11/11 Pro/11 Pro Max, iPhone SE (2e génération), iPad (9e génération) et Studio Display
Les auteurs ajoutent qu’un support technique pour les puces A12X/Z est possible, mais qu’il n’est pas implémenté à ce stade, ce qui pourrait concerner certaines générations d’iPad Pro (2018 et 2020).
Secure Enclave non compromis, mais surface d’attaque élargie
Point clé : usbliter8 ne compromet pas directement la Secure Enclave. En pratique, cela signifie que les codes d’accès et les données chiffrées de l’utilisateur restent protégés.
Paradigm Shift nuance toutefois l’impact : même sans affecter la Secure Enclave elle-même, l’exploit « ouvre des vecteurs d’attaque plus larges » susceptibles d’aider à viser ce composant, l’objectif étant aussi de documenter les conséquences réelles de certaines failles matérielles dans les mécanismes de SecureROM.
Cas de l’A13 : contournement de PAC
L’équipe précise que les méthodes diffèrent selon les puces A12, S4, S5 et A13. Sur A13, l’exploitation est plus complexe en raison de l’usage de Pointer Authentication (PAC), conçu pour empêcher la redirection de l’exécution de code. Les chercheurs indiquent être parvenus à contourner PAC en corrompant progressivement plusieurs zones mémoire, jusqu’à prendre le contrôle du gestionnaire d’interruptions USB et exécuter du code arbitraire.
Mitigation matérielle et preuve de concept
La vulnérabilité étant au niveau BootROM, Paradigm Shift souligne que la migration vers du matériel plus récent constitue la mitigation la plus efficace pour les appareils concernés.
À noter : usbliter8 n’affecte pas les puces A11 et antérieures, déjà associées à une autre vulnérabilité BootROM incorrigible, checkm8. Les chercheurs ont également mis en ligne une preuve de concept sur GitHub : github.com/prdgmshift/usbliter8.
