USB-C на нових iPhone: можливості та ризики для безпеки
Важливе зауваження: Підтримка USB-C на нових моделях iPhone знижує необхідність використання пропрієтарних кабелів. Проте це також може призвести до нових вразливостей у безпеці. Хоча наразі не було зафіксовано випадків хакерських атак на USB-C контролер iPhone, початкові дослідження показують, що доступ до прошивки контролера та виконання коду є технічно можливими.
Дослідник безпеки Томас Рот нещодавно виявив кілька вразливостей у USB-C контролері ACE3 для iPhone 15 та 16. Хоча наразі не потрібно вживати термінових заходів, і ці вразливості не стосуються Android-пристроїв, висновки Рота підкреслюють можливість розвитку нових методів атак у майбутньому.
Демонстрація вразливостей на Chaos Communication Congress
На 38-му Конгресі Chaos Communication у Гамбурзі, Томас Рот продемонстрував дві складні техніки атаки – аналіз бічних каналів та електромагнітні відмови. Він успішно витягнув прошивку контролера USB-C Apple.
Хоча витягнення прошивки самостійно не дає можливості здійснювати кібернапади, це надає зловмисникам можливість проаналізувати код, знайти вразливості та розробити шкідливе програмне забезпечення для їх експлуатації. На даний момент Apple не вживає заходів, посилаючись на складність методів Рота. Проте якщо зловмисники використовуватимуть витягнуту прошивку як основу для виявлення безпекових вад, компанія може бути змушена відреагувати.
Перспективи реагування Apple на нові загрози
Одним з можливих кроків може бути зміна апаратної частини в майбутніх моделях iPhone. Якщо нові проблеми виникнуть, вони, ймовірно, вплинуть на нові моделі iPhone, зокрема на iPhone SE 4, який очікується у березні, а також на iPhone 17, що планується випустити цього року. Можливі значні зміни в апаратній частині, такі як довгоочікуваний складаний iPhone, можуть включати додаткові заходи безпеки для вирішення цих проблем.
Apple була змушена додати підтримку USB-C на iPhone для відповідності останнім європейським регламентам, що вимагають, щоб усі мобільні пристрої мали порти для зарядки USB-C. Формальна стандартизація є вигідною для споживачів, оскільки усуває необхідність у використанні пропрієтарних кабелів. Однак у цьому випадку можна стверджувати, що вона відкрила нові виклики в плані безпеки, до яких Apple повинна звернути увагу.
Ризики безпеки USB-C кабелів
Нові методи рентгенівського сканування показали, що кабелі USB-C можуть містити несподівано велику кількість прихованих апаратних компонентів. Кабелі від ненадійних виробників можуть бути використані для поширення шкідливого ПЗ або викрадення даних, а для їх виявлення можуть знадобитися спеціалізовані інструменти, яких немає у більшості споживачів. Оголошення прошивки контролера USB-C Apple може посприяти подібним атакам у майбутньому.
Проте є й позитивні наслідки. Витягнення прошивки також допомогло незалежним ремонтним фахівцям здобути цінні знання для діагностики та ремонту Mac.
Apple та інші технічні компанії зазнавали критики за перешкоджання зусиллям користувачів або сторонніх сервісів, часто змушуючи клієнтів сплачувати високі збори за авторизоване обслуговування. Висновки Рота можуть допомогти змінити ситуацію в бік більшої ремонтопридатності та прозорості.