‘usbliter8’ 취약점 공개... iPhone XS·XR·11 시리즈, 애플워치 S4·S5 영향
USB 컨트롤러 결함 악용해 Secure Boot 우회 가능
BootROM 결함 특성상 소프트웨어 업데이트로는 패치 불가
[보안뉴스 강초희 기자] 애플 A12, A13 계열 칩셋에서 보안 신뢰체계(Chain of Trust)를 무력화할 수 있는 수정 불가능한 하드웨어 취약점이 발견됐다. 해당 취약점은 부트롬(BootROM)에 존재해 소프트웨어나 펌웨어 업데이트만으로는 해결이 불가능한 것으로 알려졌다.
[출처: gettyimagesbank]
보안 연구기업 패러다임 시프트(Paradigm Shift)는 최근 ‘usbliter8’로 명명한 새로운 BootROM 취약점을 공개했다. 이 취약점은 애플 A12, A13 프로세서와 S4, S5 기반 애플워치에 영향을 미치며, USB 컨트롤러 결함과 펌웨어 설정 오류를 결합해 애플리케이션 프로세서(AP)의 전체 부팅 체계를 장악할 수 있다.
연구진에 따르면 취약점은 시놉시스(Synopsys)의 DWC2 USB 컨트롤러가 특정 USB 데이터를 처리하는 과정에서 발생한다. USB 데이터가 반복적으로 입력될 경우 메모리 주소 계산에 오류가 발생해 원래 접근할 수 없는 영역까지 데이터를 덮어쓸 수 있다는 것이다.
공격자는 이 결함을 악용해 부팅 과정에서 사용되는 중요 데이터를 변조하고, 기기의 동작 흐름을 자신이 원하는 방향으로 바꿀 수 있다.
특히 A12와 A13 칩셋에서는 USB 장치의 메모리 접근을 제한하는 보호 기능이 제대로 적용되지 않아 공격이 가능한 것으로 분석됐다. 반면 A14 이후 칩셋에서는 해당 보호 기능이 강화돼 같은 방식의 공격이 불가능하다.
연구진은 A12 칩셋에서 실제로 부팅 과정의 핵심 제어 정보를 변조해 공격자 코드 실행에 성공했다고 밝혔다. 이를 통해 애플 기기의 보안 부팅 체계를 우회하고 시스템 권한을 획득할 수 있음을 입증했다.
A13 칩셋은 PAC(Pointer Authentication Code) 보호 기능이 추가돼 공격 난도가 높아졌지만, 연구진은 힙 메타데이터 조작과 함수 포인터 변조 기법을 통해 이를 우회할 수 있었다고 설명했다.
취약점 악용에 성공하면 공격자는 임의 코드 실행 권한을 획득하고, 부트 트램펄린 영역에 사용자 정의 USB 핸들러를 삽입할 수 있다. 이후 생산 모드 제한을 완화하거나 서명되지 않은 iBoot 이미지를 부팅하는 것도 가능해져 애플의 보안 부팅 체계를 사실상 무력화할 수 있다.
영향을 받는 제품은 △아이폰 XS △아이폰 XR △2018년형 아이패드 프로(A12) △아이폰 11 시리즈(A13) △애플워치 시리즈 4·5(S4·S5) 등이다.
연구진은 BootROM이 반도체 칩 내부에 고정된 코드인 만큼 소프트웨어 업데이트나 펌웨어 패치로는 문제를 해결할 수 없다고 밝혔다. 사실상 A14 이상 칩셋이 적용된 기기로 교체하는 것이 유일한 대응 방안이라는 설명이다.
다만 애플의 보안 프로세서인 SEP(Secure Enclave Processor)가 별도의 보안 경계를 제공하고 있어 즉각적인 데이터 탈취 위험은 제한적일 수 있다고 덧붙였다. 그러나 BootROM 단계가 장악될 경우 향후 SEP를 겨냥한 추가 공격 경로가 열릴 가능성도 배제할 수 없다고 경고했다.
패러다임 시프트는 취약점 공개에 앞서 애플 제품보안팀에 관련 내용을 통보했으며, 개념증명(PoC) 코드도 연구 저장소를 통해 공개했다.
[강초희 기자(choh@boannews.com)]
USB 컨트롤러 결함 악용해 Secure Boot 우회 가능
BootROM 결함 특성상 소프트웨어 업데이트로는 패치 불가
[보안뉴스 강초희 기자] 애플 A12, A13 계열 칩셋에서 보안 신뢰체계(Chain of Trust)를 무력화할 수 있는 수정 불가능한 하드웨어 취약점이 발견됐다. 해당 취약점은 부트롬(BootROM)에 존재해 소프트웨어나 펌웨어 업데이트만으로는 해결이 불가능한 것으로 알려졌다.
[출처: gettyimagesbank]
보안 연구기업 패러다임 시프트(Paradigm Shift)는 최근 ‘usbliter8’로 명명한 새로운 BootROM 취약점을 공개했다. 이 취약점은 애플 A12, A13 프로세서와 S4, S5 기반 애플워치에 영향을 미치며, USB 컨트롤러 결함과 펌웨어 설정 오류를 결합해 애플리케이션 프로세서(AP)의 전체 부팅 체계를 장악할 수 있다.
연구진에 따르면 취약점은 시놉시스(Synopsys)의 DWC2 USB 컨트롤러가 특정 USB 데이터를 처리하는 과정에서 발생한다. USB 데이터가 반복적으로 입력될 경우 메모리 주소 계산에 오류가 발생해 원래 접근할 수 없는 영역까지 데이터를 덮어쓸 수 있다는 것이다.
공격자는 이 결함을 악용해 부팅 과정에서 사용되는 중요 데이터를 변조하고, 기기의 동작 흐름을 자신이 원하는 방향으로 바꿀 수 있다.
특히 A12와 A13 칩셋에서는 USB 장치의 메모리 접근을 제한하는 보호 기능이 제대로 적용되지 않아 공격이 가능한 것으로 분석됐다. 반면 A14 이후 칩셋에서는 해당 보호 기능이 강화돼 같은 방식의 공격이 불가능하다.
연구진은 A12 칩셋에서 실제로 부팅 과정의 핵심 제어 정보를 변조해 공격자 코드 실행에 성공했다고 밝혔다. 이를 통해 애플 기기의 보안 부팅 체계를 우회하고 시스템 권한을 획득할 수 있음을 입증했다.
A13 칩셋은 PAC(Pointer Authentication Code) 보호 기능이 추가돼 공격 난도가 높아졌지만, 연구진은 힙 메타데이터 조작과 함수 포인터 변조 기법을 통해 이를 우회할 수 있었다고 설명했다.
취약점 악용에 성공하면 공격자는 임의 코드 실행 권한을 획득하고, 부트 트램펄린 영역에 사용자 정의 USB 핸들러를 삽입할 수 있다. 이후 생산 모드 제한을 완화하거나 서명되지 않은 iBoot 이미지를 부팅하는 것도 가능해져 애플의 보안 부팅 체계를 사실상 무력화할 수 있다.
영향을 받는 제품은 △아이폰 XS △아이폰 XR △2018년형 아이패드 프로(A12) △아이폰 11 시리즈(A13) △애플워치 시리즈 4·5(S4·S5) 등이다.
연구진은 BootROM이 반도체 칩 내부에 고정된 코드인 만큼 소프트웨어 업데이트나 펌웨어 패치로는 문제를 해결할 수 없다고 밝혔다. 사실상 A14 이상 칩셋이 적용된 기기로 교체하는 것이 유일한 대응 방안이라는 설명이다.
다만 애플의 보안 프로세서인 SEP(Secure Enclave Processor)가 별도의 보안 경계를 제공하고 있어 즉각적인 데이터 탈취 위험은 제한적일 수 있다고 덧붙였다. 그러나 BootROM 단계가 장악될 경우 향후 SEP를 겨냥한 추가 공격 경로가 열릴 가능성도 배제할 수 없다고 경고했다.
패러다임 시프트는 취약점 공개에 앞서 애플 제품보안팀에 관련 내용을 통보했으며, 개념증명(PoC) 코드도 연구 저장소를 통해 공개했다.
[강초희 기자(choh@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.png)
.jpg)
.png)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
