An ninh mạng

Lỗ hổng ‘usbliter8’ không thể vá: Đe dọa chuỗi khởi động SecureROM trên chip Apple A12 và A13

Các nhà nghiên cứu bảo mật vừa công bố lỗ hổng 'usbliter8', cho phép thực thi mã tùy ý ở cấp độ SecureROM trên các dòng chip Apple A12 và A13. Do đây là lỗi phần cứng, người dùng không thể khắc phục...

Nguyen Hung
20 Tháng 6, 2026 2 Min Read
3 0

Một nhóm nghiên cứu bảo mật tại Paradigm Shift vừa công bố một exploit mới có tên gọi usbliter8, cho phép thực thi mã tùy ý bên trong SecureROM của các dòng chip Apple A12 và A13. Vì đây là mã được ghi trực tiếp vào silicon trong quá trình sản xuất, các bản cập nhật phần mềm (patch) thông thường không thể khắc phục được lỗ hổng này.

Table Of Content

Cơ chế tấn công

Đây không phải là một cuộc tấn công từ xa. Kẻ tấn công cần phải có quyền truy cập vật lý vào thiết bị, đưa máy vào chế độ DFU và kết nối qua USB với một bo mạch vi điều khiển chuyên dụng (dựa trên RP2350). Với thiết lập này, quá trình khai thác diễn ra trong chưa đầy hai giây, ngay trước khi chuỗi khởi động (boot chain) được ký của Apple kịp tải lên.

Thiết bị bị ảnh hưởng

Lỗ hổng này ảnh hưởng đến các thiết bị sử dụng SoC A12, A13, S4 và S5, bao gồm: iPhone XS, XR, iPhone 11 series, iPhone SE (thế hệ 2), iPad Air 3, iPad mini 5, iPad 8, Apple Watch Series 4, 5, Apple Watch SE (thế hệ 1) và HomePod mini. Các dòng chip cũ hơn như A11 không bị ảnh hưởng, trong khi các dòng A14 trở về sau dường như đã được thiết kế để miễn nhiễm với phương thức tấn công này.

Bản chất của lỗ hổng

Vấn đề gốc rễ nằm ở một lỗi phần cứng trong bộ điều khiển USB Synopsys DWC2. Bộ điều khiển này lưu trữ các gói tin USB Setup thông qua DMA và gặp lỗi trong việc quản lý con trỏ ghi (write pointer), dẫn đến tình trạng buffer underflow có thể lặp lại. Trên các thiết bị bị ảnh hưởng, Apple cấu hình USB DART (IOMMU của chip) ở chế độ bypass trong SecureROM, cho phép con trỏ DMA bị lỗi có thể ghi đè lên bộ nhớ SRAM tùy ý.

Hệ quả

Sau khi khai thác thành công, usbliter8 cho phép kẻ tấn công thực thi mã ở cấp độ EL1 (chế độ đặc quyền của chip) bên trong SecureROM. Điều này giúp kẻ tấn công có thể khởi động một hình ảnh iBoot chưa được ký, hoàn toàn vượt qua chuỗi tin cậy (chain of trust) của Apple. Tuy nhiên, nghiên cứu hiện tại chưa ghi nhận khả năng xâm nhập vào Secure Enclave.

Khuyến nghị

Tương tự như lỗ hổng checkm8 trước đây, usbliter8 là một vấn đề về phần cứng. Người dùng trong các môi trường đòi hỏi bảo mật cao nên cân nhắc thay thế các thiết bị sử dụng chip A12/A13 bằng các thiết bị sử dụng chip A14 trở lên. Đồng thời, cần kiểm soát chặt chẽ việc kết nối thiết bị vào các cổng USB không tin cậy để tránh nguy cơ bị khai thác thông qua chế độ DFU.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept