Security Researcher, iOS 15 및 macOS 12를 실행하는 Neural Engine 장치용 r/w 코어가 포함된 PoC 출시

보안 연구원 @_simo36은 일부 버전의 iOS 및 iPadOS 15에서 커널 메모리 읽기 및 쓰기 기능을 제공하는 WeightBufs라는 익스플로잇 체인에 대한 개념 증명(PoC)이 포함된 것으로 보이는 트윗을 금요일에 게시하여 많은 사람들의 이목을 끌었습니다. 그리고 macOS. 12.

트윗에서 @_simo36은 익스플로잇에 대한 모든 정보뿐만 아니라 POC2022에서 발표한 프레젠테이션 슬라이드가 포함된 GutHub 페이지를 가리킵니다 .

익스플로잇 자체는 Neural Engine 장치(A11 이상)에서 iOS 및 iPadOS 15의 모든 버전을 지원하는 것으로 보이지만 iOS 및 iPadOS 16은 지원하지 않습니다. 그러나 iOS 및 iPadOS 15.6은 WeightBuf를 크랙하는 데 사용되는 익스플로잇 체인을 끊는 샌드박스 이스케이프를 수정합니다. 이를 염두에 두고 전체 악용 체인은 현재 iOS 및 iPadOS 15.0-15.5 및 macOS 12.0-12.4에서만 사용할 수 있습니다.

위의 문제는 오늘날 탈옥에 영향을 미치는 주요 문제 중 하나를 강조합니다. 방법이 커널 익스플로잇 자체보다 더 중요해졌기 때문입니다. Apple이 iPhone 및 iPad 보안을 계속 강화함에 따라 어떤 커널 익스플로잇도 현재 iOS 또는 iPadOS 펌웨어를 탈옥하지 않습니다. 이 때문에 탈옥 개발자는 이를 달성하기 위해 바이패스 및 샌드박스 이스케이프와 같은 추가 리소스가 필요합니다. 이러한 모든 메커니즘을 통한 탐색 논리는 기술입니다.

@_simo36 익스플로잇 체인은 다음을 포함하여 Apple에 이미 보고된 최소 4가지의 서로 다른 취약점을 악용합니다.

CVE-2022-32845: model.hwx에 대한 서명 확인 우회가 추가되었습니다.
CVE-2022-32948: DeCxt::FileIndexToWeight() 누락된 배열 인덱스 검사로 인해 OOB를 읽습니다.
CVE-2022-42805: 정수 오버플로 문제로 인해 ZinComputeProgramUpdateMutables() 임의 읽기 가능
CVE-2022-32899: DeCxt::RasterizeScaleBiasData() 정수 오버플로 문제로 인한 버퍼 언더런.

@_simo36은 현재 다음 장치 및 펌웨어 조합에서 익스플로잇 체인을 성공적으로 테스트했다고 말합니다.

iOS 15.5를 실행하는 iPhone 12 Pro(iPhone 13.3)
iPadOS 15.5를 실행하는 iPad Pro(iPad 8,10)
iOS 15.4.1을 실행하는 iPhone 11 Pro(iPhone 12.3)
macOS 12.4를 실행하는 MacBook Air(M1 칩이 장착된 10.1)

그래서 우리는 여러분이 “이것이 감옥에서 탈출하는 데 사용될 수 있습니까?”라는 뜨거운 질문을 하고 있다는 것을 알고 있습니다. 그리고 이 질문에 대한 간단한 대답은 ‘아니오’가 될 것입니다. 탈옥을 생성하고 최종 사용자의 장치에서 실행해야 합니다.

그러나 개념 증명은 훌륭한 해킹의 좋은 예이며 여러 해킹 팀이 백그라운드에서 iOS 및 iPadOS 15용 탈옥을 개발하기 때문에 퍼즐을 더 빨리 해결하는 데 도움이 되기를 바랄 뿐입니다.

실제로 TrollNonce를 개선하는 데 사용할 수 있는 TrollStore 개발자 @opa334와 같이 일부 개발자는 이미 프로젝트에 포함할 방법을 찾고 있습니다. 그러나 TrollStore는 이미 지원하는 펌웨어보다 새로운 것을 지원하지 않는다는 점은 주목할 가치가 있습니다.