03.01.2025
1 хв
729
Випуск iPhone 15 став переломним моментом для Apple. Компанія відмовилася від фірмових портів Lightning і перейшла на універсальний стандарт USB-C. Проте не все так просто: разом із цим Apple впровадила новий контролер ACE3, розроблений у співпраці з Texas Instruments. Цей чіп став серцем управління USB-C і виконує не лише базові функції, як живлення чи передача даних. ACE3 — це потужний мікропроцесор, який працює з повним USB-стеком і підключений до внутрішніх шин пристрою. Але навіть така складна технологія виявилася вразливою.
ACE3 став значним проривом у технологіях Apple. Попередні USB-C контролери компанії, такі як ACE2, мали базові функції, а також відомі вразливості. ACE3 же є зовсім іншим рівнем:
Він підтримує повний стек USB, дозволяючи пристроям працювати в режимі DFU (оновлення прошивки через USB).
Чіп відповідає за інтеграцію внутрішніх шин iPhone, таких як SPMI, які з’єднують процесори та допоміжні компоненти.
Він дозволяє взаємодіяти з JTAG-портом для налагодження основного процесора, що зазвичай є критично важливим для роботи розробників і… хакерів.
Ці особливості роблять ACE3 не лише технічним проривом, а й цікавою мішенню для дослідників у сфері безпеки.
Контролер ACE2 також використовувався на пристроях Apple. Дослідники вже раніше демонстрували, як можна обійти його захист, скориставшись вразливістю у прошивці. Томас Рот, автор відкриття, застосував комбінацію аналізу прошивки й апаратних атак, щоб створити бекдор у системі навіть після повного скидання налаштувань пристрою.
Наприклад, на старіших MacBook вдалося реалізувати атаку через недоліки в інтеграції чіпа та ядра macOS. Це дозволяло модифікувати систему на глибокому рівні, вбудовуючи небезпечні зміни. Але ACE3 отримав значні покращення.
ACE3 отримав цілий арсенал нових заходів захисту, зокрема:
Індивідуальні оновлення прошивки для кожного пристрою, які значно ускладнюють створення універсальних атак.
Вимкнення стандартних портів для налагодження, таких як JTAG.
Введення криптографічного захисту зовнішньої флеш-пам’яті, що містить лише невеликі патчі до основної прошивки.
Ці заходи ускладнили роботу дослідників, але не зробили чіп повністю захищеним. Томас Рот знайшов спосіб обійти навіть ці перепони.
Зіткнувшись із заблокованими програмними шляхами, дослідник використав апаратні атаки. Це складні методи, які вимагають спеціального обладнання та доступу до самого пристрою. Ось як це вдалося:
Електромагнітний аналіз. За допомогою спеціальних інструментів дослідник вимірював радіосигнали, що випромінює чіп під час роботи. Це дозволило виявити слабкі місця в момент запуску контролера.
Ін’єкція помилок. Використовуючи сильні електромагнітні поля, Рот зміг порушити роботу чіпа саме в критичний момент. Це дозволило обійти криптографічну перевірку й завантажити змінені патчі.
Зняття дампу прошивки. Отримавши доступ до внутрішніх даних, він зміг створити повну копію мікропрограми ACE3 для детального аналізу.
Робота була кропіткою: потрібно було точно налаштувати обладнання, експериментувати з параметрами ін’єкції та аналізувати кожен етап.
Хоча подібні атаки складно реалізувати без професійного обладнання та знань, вони демонструють можливі сценарії для зловмисників. Теоретично, модифікація контролера ACE3 може дати змогу впровадити бекдор у пристрої Apple, що відкриє доступ до їхньої операційної системи. Це могло б дозволити зламувати пристрої або обходити захист для встановлення джейлбрейків.
Робота Томаса Рота підкреслює важливість досліджень у сфері безпеки. Злам ACE3 — це не лише виклик для Apple, а й урок для інших виробників електроніки. Такі історії показують, що навіть найсучасніші технології потребують постійного вдосконалення.
Для звичайних користувачів це означає, що варто бути уважними до оновлень безпеки від виробників. Apple, ймовірно, зробить висновки та додасть нові рівні захисту в майбутніх поколіннях контролерів.
Ця історія — приклад того, як дослідники безпеки допомагають покращувати технології, знаходячи і виправляючи вразливості.
