古いiOSデバイスのBoot ROMに脱獄も可能な脆弱性、Appleにも修正不可能

パッチ不可能なBoot ROM(SecureROM)の脆弱性を利用し、古いiOSデバイスの脱獄を可能にするという「checkm8 (チェックメイト)」が発表された(開発者のツイート、 GitHubリポジトリ、 Mac Rumorsの記事、 Ars Technicaの記事)。

脆弱性はA5～A11チップのBoot ROMに存在し、iPhoneではiPhone 4S～iPhone 8/Xに該当する。現在公開されているのは開発途中のエクスプロイトの段階であり、MacにUSB接続したiOSデバイスからBoot ROMのダンプとキーバッグの復号、JTAGの有効化のみが可能となっている。Cydiaと組み合わせて利用できる完全な脱獄も可能だが、それにはまだまだ作業が必要だという。開発者のaxi0mX氏はiOS 12ベータでiBootのUSBコードに存在する脆弱性が修正された際にcheckm8の手法を発見したそうだ。
checkm8を実行するにはiOSデバイスをBoot ROMコードの復元に使用するDFUモードでMacとUSB接続する必要がある。そのため他のエクスプロイトと組み合わせた場合でもリモートからの実行に対応せず、デバイスへの直接アクセスが必要となる。脱獄は再起動すると無効になり、その都度checkm8の実行が必要だ。逆にスパイウェアなどが無断でインストールされても再起動すれば動作しなくなる。また、Secure Enclaveによる保護をバイパスしないため、A7以降のチップを搭載するデバイスではPINコードを知らない人物にデータを読み取られる可能性は低い。ただし、端末アンロック後にスパイウェアがサーバーにデータを送信する可能性は否定できないという。

Boot ROMの脆弱性を利用した脱獄ツールは、GeohotことGeorge Hotz氏が開発したiPhone 4対応版を最後に公開されていないという。iOSの脆弱性を利用する脱獄はiOSのアップデートで利用できなくなってしまうが、Boot ROMのコードはAppleでも変更できない。これにより、脱獄のために古いバージョンのiOSを使い続ける必要はなく、最新のiOSでも脱獄が利用可能になる。

iOSの脱獄は終焉が近付いているとみられていたが、axi0mX氏はcheckm8の力で今後数年は生き延びるとの考えを示している。また、コンピューターに接続することなく脱獄可能なケーブルやドングルを作ることも不可能ではないとのことだ。　

スラドのコメントを読む | セキュリティセクション | オープンソース | セキュリティ | バグ | iOS

　関連ストーリー：
iOS 12.4.1リリース、脱獄を可能にする脆弱性を再修正 2019年08月29日
iOS 12.3で修正された脆弱性、iOS 12.4で復活していた 2019年08月24日
脱獄済みiOS向けアプリストアのCydia Store、アプリ購入機能の提供を終了 2018年12月20日