Σκέφτεστε να αναβαθμίσετε το iPhone 11, το Apple Watch Series 4 ή το iPad 8 σας; Αν δεν έχετε αποφασίσει ακόμα, ερευνητές της Paradigm Shift αποκάλυψαν ένα νέο «unpatchable» κενό ασφαλείας που βασίζεται στο υλικό και επηρεάζει μερικές από τις πιο δημοφιλείς συσκευές της Apple. Το bug, που ονομάστηκε usbliter8, επιτρέπει την «εκτέλεση αυθαίρετου κώδικα», δίνοντας ενδεχομένως τη δυνατότητα σε κακόβουλους χρήστες να εκτελέσουν μη εξουσιοδοτημένες εντολές ή κακόβουλο κώδικα σε μια συσκευή-στόχο. Το σφάλμα λειτουργεί συνδέοντας μια συσκευή USB σε μια συσκευή-στόχο ενώ αυτή ενημερώνει το firmware της, επιτρέποντας την εγγραφή δεδομένων σε περιοχές της μνήμης της συσκευής που δεν προορίζονται να είναι προσβάσιμες. Το exploit εκμεταλλεύεται αδυναμίες στο SecureROM, τον bootloader της Apple σε επίπεδο υλικού, και στον ελεγκτή USB Synopsys DWC2, ένα μικρό τσιπ που επιτρέπει τη σύνδεση μέσω USB. Οι επίδοξοι χάκερ θα χρειαστούν φυσική πρόσβαση στη συσκευή-στόχο για να καταφέρουν να εκμεταλλευτούν το exploit. Η έρευνα, που εντοπίστηκε για πρώτη φορά από το 9to5Mac, εντόπισε το ελάττωμα σε τέσσερα διαφορετικά system-on-chip (SoC) της Apple: τα A12, S4, S5 και A13. Σύμφωνα με το 9to5Mac, αυτό σημαίνει ότι οι ακόλουθες συσκευές ενδέχεται να επηρεαστούν: A12: iPhone XR, iPhone XS/XS Max, iPad Air 3, iPad mini 5, iPad 8, και second-generation Apple TV 4K S4: Apple Watch Series 4 S5: Apple Watch Series 5, first-generation Apple Watch SE, και HomePod mini A13: iPhone 11/11 Pro/11 Pro Max, second-generation iPhone SE, iPad 9, και Studio Display Οι ερευνητές της Paradigm Shift σημείωσαν ότι αυτές οι ευπάθειες «βρίσκονται σε αμετάβλητο κώδικα» και, ως εκ τούτου, συνέστησαν ότι «η μετάβαση σε νεότερο υλικό παραμένει η πιο αποτελεσματική μέθοδος αντιμετώπισης». Οι ερευνητές σημείωσαν επίσης ότι η τεχνική υποστήριξη για τα SoC A12X/Z της Apple «είναι εφικτή», αλλά «δεν έχει υλοποιηθεί προς το παρόν». Σύμφωνα με το 9to5Mac, αυτό σημαίνει ότι τα iPad Pro του 2018 και του 2020 θα μπορούσαν επίσης να επηρεαστούν. Μέχρι στιγμής, δεν έχουν αναφερθεί περιπτώσεις εκμετάλλευσης του σφάλματος usbliter8 σε πραγματικές συνθήκες.
