セキュリティ研究者が、iOS 15 および macOS 12 を実行する Neural Engine デバイス向けの R/W コアを使用した PoC をリリース

セキュリティ研究者 @_simo36 は金曜日、iOS および iPadOS 15 の一部のバージョンでカーネル メモリの読み取りおよび書き込み機能を提供する WeightBufs と呼ばれるエクスプロイト チェーンの概念実証 (PoC) が含まれていると思われるツイートを投稿し、かなりの注目を集めました。そしてmacOS。12.

@_simo36 はツイートの中で、このエクスプロイトに関するすべての情報だけでなく、POC2022 で行ったプレゼンテーションのスライドも含まれるGutHub ページを指しています。

このエクスプロイト自体は、Neural Engine デバイス (A11 以降) 上の iOS および iPadOS 15 のすべてのバージョンをサポートしているようですが、iOS および iPadOS 16 はサポートしていません。ただし、iOS および iPadOS 15.6 では、WeightBufs のクラックに使用される一連のエクスプロイトを断ち切るサンドボックス エスケープが修正されています。これを念頭に置いて、完全なエクスプロイト チェーンは現在、iOS、iPadOS 15.0 ～ 15.5、および macOS 12.0 ～ 12.4 でのみ利用可能です。

上記の問題は、今日のジェイルブレイクに影響を与える主要な問題の 1 つを浮き彫りにしています。それは、カーネル エクスプロイトそのものよりも手法がいかに重要になっているかということです。Apple が iPhone および iPad のセキュリティを強化し続けているため、現在の iOS または iPadOS ファームウェアをジェイルブレイクするカーネル エクスプロイトはありません。このため、ジェイルブレイク開発者は、これを達成するためだけに、バイパスやサンドボックス エスケープなどの追加のリソースが必要になります。これらすべてのメカニズムを介したナビゲーションのロジックがテクニックです。

@_simo36 エクスプロイト チェーンは、すでに Apple に報告されている、以下を含む少なくとも 4 つの異なる脆弱性を悪用します。

• CVE-2022-32845: model.hwx の署名検証バイパスを追加しました。
• CVE-2022-32948: DeCxt::FileIndexToWeight() 配列インデックス チェックが欠落しているため、OOB を読み取ります。
• CVE-2022-42805: 整数オーバーフローの問題により、ZinComputeProgramUpdateMutables() ランダム読み取りが可能になる
• CVE-2022-32899: DeCxt::RasterizeScaleBiasData() 整数オーバーフローの問題によるバッファ アンダーラン。

@_simo36 は現在、次のデバイスとファームウェアの組み合わせでエクスプロイト チェーンのテストに成功したと述べています。

• iOS 15.5を実行しているiPhone 12 Pro (iPhone 13.3)
• iPadOS 15.5を実行しているiPad Pro (iPad 8、10)
• iOS 15.4.1を実行しているiPhone 11 Pro (iPhone 12.3)
• macOS 12.4 を実行している MacBook Air (M1 チップ搭載 10.1)

したがって、皆さんが「これを刑務所からの脱獄に使用できるか?」という熱い質問をしていることは承知しています。この質問に対する単純な答えは「ノー」です。なぜなら、これはより大きなパズルの 1 ピースにすぎず、さらに多くの作業が必要だからです。ジェイルブレイクを作成し、エンドユーザーのデバイス上で実行するために必要になります。

ただし、概念実証は見事なハッキングの好例であり、複数のハッキング チームがバックグラウンドで作業して iOS と iPadOS 15 のジェイルブレイクを開発しているため、これがパズルの迅速な解決に役立つことを祈るばかりです。

実際、TrollStore 開発者の @opa334 のように、TrollNonce を改善するためにこれを使用できる開発者もいます。ただし、TrollStore は、すでにサポートしているファームウェアより新しいものは決してサポートしないことに注意してください。

新しいエクスプロイト チェーンがどうなるか楽しみですか? 以下のコメントセクションでお知らせください。