Обнаружена критическая уязвимость в семи моделях iPhone с процессорами A12 и A13

Специализированная компания в области кибербезопасности «Paradigm Shift» выявила серьезную аппаратную уязвимость в семи моделях смартфонов iPhone, оборудованных процессорами A12 и A13 Bionic производства Apple. Данная уязвимость позволяет злоумышленникам получить доступ к защищенным областям устройств, обходя стандартные меры безопасности, что создает угрозу для миллионов пользователей.

В перечень затронутых моделей входят, в частности, iPhone 11 Pro Max и iPhone SE второго поколения. По информации британской газеты Daily Mail, уязвимость связана не с операционной системой iOS, а с аппаратной частью процессора, что значительно усложняет её устранение.

Исследователи обозначили проблему как «usbliter8». Уязвимость локализована в области BootROM — первом программном коде, который запускается при включении устройства. Поскольку BootROM встроен в аппаратную часть процессора и не подлежит перепрошивке, устранить дефект с помощью обычного обновления программного обеспечения невозможно.

Суть уязвимости заключается в контроллере USB-порта, который временно хранит входящие пакеты данных в небольшой области памяти, известной как буфер. При отправке специально сформированной последовательности небольших пакетов данных контроллер может записать информацию в защищенные области памяти, доступ к которым должен быть заблокирован.

Компания «Paradigm Shift» квалифицирует данную проблему как аппаратный дефект проектирования, а не программную ошибку. Более новые модели iPhone не подвержены этой уязвимости благодаря изменениям в конструкции внутренних компонентов процессоров, выполненным Apple в последующих поколениях.

Некоторые старые устройства также не затронуты, например, iPhone X с процессором A11. В этом процессоре реализован механизм сброса важного указателя памяти после обработки каждого USB-пакета, что препятствует эксплуатации уязвимости.

Несмотря на серьезность проблемы, практический риск для большинства пользователей ограничен. Для успешной эксплуатации уязвимости необходим физический доступ к устройству и специализированные инструменты, поскольку удалённые атаки через интернет невозможны.

Исследователи подчёркивают, что аппаратные уязвимости представляют собой одни из самых сложных проблем в сфере безопасности, поскольку они встроены в компоненты устройства с момента производства и не могут быть исправлены программными средствами.

В дополнение к аппаратным угрозам, пользователи iPhone недавно столкнулись с мошенническими схемами через SMS-сообщения, которые привели к значительным финансовым потерям. Apple также предупреждала о рисках атак, основанных на методах социальной инженерии, включающих подделку идентичности и психологическое манипулирование для получения пользовательских данных.