BootROM, hay còn gọi là SecureROM, là đoạn mã đầu tiên được iPhone thực thi khi khởi động. Do được ghi trực tiếp vào chip ngay từ quá trình sản xuất, bất kỳ lỗ hổng nào tồn tại trong BootROM đều không thể được vá bằng bản cập nhật phần mềm. Điều đó đồng nghĩa với việc các thiết bị bị ảnh hưởng sẽ tồn tại lỗ hổng này trong suốt vòng đời sản phẩm.
Trước usbliter8, lỗ hổng BootROM công khai nổi tiếng nhất là checkm8, được công bố năm 2019 và ảnh hưởng đến các thiết bị từ iPhone 4S đến iPhone X. usbliter8 tiếp tục nối dài danh sách này sang thế hệ chip tiếp theo, tác động đến các thiết bị từ iPhone XS đến dòng iPhone 11.
Mã khai thác hoạt động bằng cách lợi dụng một lỗi trong bộ điều khiển USB được tích hợp trên chip Apple. Khi iPhone nhận dữ liệu USB trong quá trình khởi động, bộ điều khiển sẽ sử dụng một vùng đệm bộ nhớ để lưu trữ các gói dữ liệu đến. Paradigm Shift phát hiện rằng bằng cách gửi một chuỗi các gói dữ liệu có kích thước nhỏ bất thường, họ có thể thao túng một con trỏ phần cứng nội bộ, khiến nó di chuyển ngược trong bộ nhớ và cho phép ghi dữ liệu vào những vị trí vốn không được phép truy cập.
Các nhà nghiên cứu cho biết đây có vẻ là lỗi nằm trong chính phần cứng của bộ điều khiển USB, chứ không phải lỗi từ phần mềm của Apple.
Chip A11 trên iPhone X không bị ảnh hưởng vì trình điều khiển USB của nó sẽ đặt lại con trỏ sau mỗi gói dữ liệu. Trong khi đó, các chip từ A14 trở lên cũng an toàn nhờ được cấu hình đúng tính năng bảo vệ bộ nhớ ngay từ cấp độ BootROM. Điều này khiến A12 và A13 trở thành những thế hệ nằm giữa hai lớp bảo vệ nói trên và dễ bị tấn công hơn.
Trên các thiết bị sử dụng chip A12, việc giành quyền thực thi mã tương đối đơn giản. Tuy nhiên, trên chip A13, quá trình này phức tạp hơn đáng kể do Apple đã bổ sung cơ chế bảo mật mang tên Pointer Authentication Codes (PAC), có nhiệm vụ phát hiện và ngăn chặn một số hình thức giả mạo hoặc can thiệp bộ nhớ.
Paradigm Shift cho biết để vượt qua PAC trên A13, nhóm nghiên cứu phải thực hiện một chuỗi nhiều bước phức tạp trước khi có thể giành quyền kiểm soát bộ xử lý.
Sau khi kiểm soát được thiết bị, mã khai thác sẽ cài đặt một trình xử lý tùy chỉnh có thể tồn tại sau khi khởi động lại máy và bổ sung hai khả năng chính: tạm thời hạ thấp các thiết lập bảo mật của thiết bị và khởi động phần mềm chưa được ký xác thực mà không cần trải qua bất kỳ bước kiểm tra nào.
Ngoài ra, mã khai thác còn chèn chuỗi ký tự quen thuộc "PWND" vào số serial USB của iPhone như một dấu hiệu cho thấy thiết bị đã bị khai thác thành công. Đây là quy ước từng được sử dụng trong checkm8 và nhiều công cụ khai thác trước đó.
Paradigm Shift nhấn mạnh rằng mặc dù usbliter8 không tác động trực tiếp đến Secure Enclave, khu vực chuyên xử lý các dữ liệu nhạy cảm như mật khẩu hay sinh trắc học. Nhưng việc xâm nhập thành công BootROM có thể mở ra nhiều hướng tấn công sâu hơn nhằm vào thành phần này.
Công ty cho biết họ đã báo cáo phát hiện của mình cho đội ngũ bảo mật sản phẩm của Apple trước khi công bố công khai, đồng thời phối hợp với Apple trong quá trình tiết lộ thông tin có trách nhiệm. Mã proof-of-concept hoàn chỉnh cũng đã được công bố cùng bài phân tích kỹ thuật trên trang web của Paradigm Shift.
