iPhone, primo exploit non correggibile da anni colpisce chip A12 e A13

Una nuova ricerca nel campo della sicurezza hardware riporta l’attenzione su una categoria di vulnerabilità che gli esperti considerano tra le più delicate in assoluto: quelle che risiedono direttamente nella memoria di avvio del dispositivo. I ricercatori di Paradigm Shift hanno presentato usbliter8, un exploit che colpisce la SecureROM di alcuni chip Apple A12 e A13, oltre alle piattaforme S4 e S5 utilizzate su Apple Watch. La scoperta è rilevante perché interessa prodotti ancora supportati da Apple, come iPhone 11, uno smartphone che continua a ricevere aggiornamenti software e che manterrà la compatibilità con le future versioni di iOS.

La storia dell’iPhone ha già conosciuto vulnerabilità simili, basti pensare a checkm8 del 2019, ma per diversi anni non erano emersi nuovi exploit BootROM pubblici capaci di compromettere dispositivi relativamente moderni.

La peculiarità di una vulnerabilità BootROM è semplice da spiegare ma difficile da mitigare: il codice interessato risiede in una memoria permanente integrata nel chip e non può essere corretto attraverso aggiornamenti software. Quando un difetto è individuato a questo livello, l’unica soluzione definitiva consiste nella sostituzione dell’hardware.

Perché la SecureROM rappresenta uno dei componenti più sensibili di un iPhone

La SecureROM contiene il primo codice eseguito all’accensione del dispositivo. Il suo compito consiste nel verificare l’integrità delle successive fasi della catena di avvio, inclusi iBIoot e il sistema operativo.

Se un attaccante ottiene l’esecuzione di codice arbitrario in questa fase iniziale, può alterare il processo di boot prima che entrino in funzione molte delle protezioni normalmente associate a iOS. Non significa necessariamente accedere ai dati personali dell’utente, ma l’aggressione apre scenari che permettono di aggirare meccanismi di sicurezza progettati per impedire modifiche non autorizzate al firmware.

Apple ha introdotto nel tempo numerose contromisure aggiuntive: una delle più importanti resta Secure Enclave, che mantiene una separazione fisica e logica tra il sistema principale e le informazioni più sensibili, come chiavi crittografiche e dati biometrici.

Come nasce la vulnerabilità individuata nei chip A12 e A13

Secondo l’analisi pubblicata dai ricercatori, il problema si trova nel controller USB Synopsys DesignWare DWC2 integrato nei SoC interessati. La vulnerabilità deriva dalla gestione dei trasferimenti USB di tipo Setup, utilizzati durante la comunicazione iniziale tra host e dispositivo.

Il controller utilizza un meccanismo di trasferimento dati basato su DMA per scrivere i pacchetti ricevuti direttamente in memoria. In condizioni normali, l’indirizzo di destinazione è aggiornato in modo prevedibile. Tuttavia, una combinazione particolare di pacchetti di dimensione ridotta provoca uno squilibrio tra l’incremento dell’indirizzo DMA e il suo successivo ripristino.

Il risultato è un fenomeno assimilabile a un buffer underflow che consente di scrivere dati in aree di memoria precedenti rispetto a quelle previste dal firmware. Nei chip A12 e A13 la configurazione del sottosistema USB permette a tale comportamento di raggiungere regioni critiche della SRAM, creando le condizioni necessarie per la compromissione della SecureROM.

La ricerca evidenzia un dettaglio interessante: i dispositivi basati su A11 non risultano vulnerabili nonostante utilizzino una componente USB simile. In quel caso il firmware reimposta esplicitamente l’indirizzo DMA dopo ogni trasferimento, eliminando la possibilità di sfruttare il difetto. I chip A14 e successivi adottano invece una configurazione differente che impedisce l’exploit alla radice.

Perché l’exploit non può essere corretto tramite aggiornamenti software

Come abbiamo detto, una caratteristica distintiva di usbliter8 riguarda la sua natura hardware. Il bug non risiede in iOS, né in iBoot, né in altri componenti aggiornabili tramite firmware.

La porzione vulnerabile appartiene infatti alla BootROM integrata fisicamente nel chip: Apple può rafforzare alcuni meccanismi difensivi nelle fasi successive dell’avvio, ma non può modificare il codice già inciso nel silicio.

Per questo motivo la situazione ricorda quanto accaduto con checkm8, l’exploit che nel 2019 interessò i processori dalla serie A5 fino ad A11. Anche in quel caso la vulnerabilità rimase permanente per tutta la vita dei dispositivi coinvolti.

Secondo i ricercatori, un firmware alterato tramite questa tecnica può sopravvivere ai riavvii del dispositivo: ciò aumenta il valore dell’exploit per attività di ricerca, reverse engineering e jailbreak avanzati.

Accesso fisico e requisiti pratici limitano il rischio reale

Nonostante la gravità teorica della vulnerabilità, il suo impatto pratico rimane limitato da alcune condizioni importanti. L’attacco richiede accesso fisico al dispositivo e necessita di hardware specifico per interagire con il controller USB a basso livello.

La dimostrazione pubblica utilizza una scheda Raspberry Pi perché gli stack USB tradizionali presenti su Windows, macOS e Linux non consentono di raggiungere direttamente le funzionalità coinvolte nell’exploit.

Ciò riduce notevolmente la probabilità di attacchi remoti: non esiste alcuna evidenza che un aggressore possa sfruttare usbliter8 semplicemente inducendo una vittima a visitare un sito web o installare un’applicazione.

Rimane comunque una risorsa preziosa per laboratori forensi, ricercatori di sicurezza e sviluppatori interessati allo studio interno delle piattaforme Apple.

L’aspetto forse più significativo riguarda l’età dei dispositivi coinvolti: il chip A13 non appartiene a una generazione remota e continua a essere presente in prodotti ancora utilizzati quotidianamente da milioni di persone.