usbliter8、A12/A13世代のiPhoneを「USBから起動前に崩せる」問題にした

BootROMは、あとから直しにくい信頼の出発点

Paradigm Shiftの説明では、usbliter8はApple A12、S4/S5、A13 SoCを対象にしたSecureROM exploitです。A12X/Zは技術的には対応可能とされていますが、現時点の実装対象には入っていません。9to5Macは、A12のiPhone XR、iPhone XS、A13のiPhone 11世代、Apple Watch Series 4/5、初代Apple Watch SE、HomePod miniなどが該当世代に含まれると整理しています。

ポイントは「修正不可能」という言葉の意味です。これは今日のiOSアップデートで急に直せない、という話ではなく、BootROMやSecureROMのようにチップ内に固定された起動コードと、その周辺のハードウェア挙動が攻撃面になるという意味です。Paradigm Shiftも、影響を受けるユーザーにとって最も有効な緩和策は新しいハードウェアへ移ることだと書いています。

usbliter8はUSBのSetup packet処理を起点にする

研究チームの説明では、usbliter8はUSBコントローラのハードウェアバグと、デバイスファームウェア側の設定上の欠陥を組み合わせます。USBのSetup transactionで本来8バイトのデータを扱うところに、より短いpacketを受け入れる挙動があり、DMAアドレスの増減がずれて、12バイト単位のbuffer underflow primitiveになる、というのが中核です。

A12とA13では、SecureROM内でUSB DARTがbypass modeに設定され、SRAM上のデータを書き換えられる状態になると説明されています。A11はUSB driverがpacketごとにDMA addressを初期値へ戻すため今回の手法では脆弱ではなく、A14以降はSecureROM側でDARTが適切に設定されるため悪用不能に見える、という境界も示されています。

公開されたGitHubリポジトリは、RP2350系マイコンボードを使うtethered exploitとして構成されています。利用にはDFUモード、Lightning to USB-A、場合によってはケーブル加工や抵抗除去が必要で、READMEもUSB-Cケーブルを使わないよう注意しています。これは一般ユーザーに向けたワンクリック攻撃ではありません。

ユーザーが見るべきなのは、古い端末をどう扱うか

usbliter8はSecure Enclaveそのものを直接破るものではない、とParadigm Shiftは説明しています。9to5Macも、パスコードや暗号化されたユーザーデータが即座に破られる話ではないと整理しています。ただしBootROM段階で任意コード実行に到達できるなら、Secure Enclaveを攻撃するための足場や、改変された起動経路を作る余地は広がります。

その意味で、この話は脱獄コミュニティだけのニュースではありません。企業や開発者が古い検証端末、受付端末、展示機、家庭内のApple TVやHomePod miniを長く使うとき、OSアップデートだけでは閉じない物理アクセス前提のリスクが残ることを示しています。端末を手元から離す、修理・下取り・廃棄に出す、研究用にDFU接続する、といった場面の扱いがより重要になります。

Apple Product Securityには公開前に報告し、協調開示したとParadigm Shiftは書いています。Apple公式の個別セキュリティ告知は今回確認できませんでした。したがって本文では、Appleが脆弱性を認定した表現ではなく、研究チームと9to5Macの確認範囲として扱います。