A12/A13チップの聖域が破られた？「Usbliter8」によるSecureROM脆弱性が発覚

ついにA12およびA13チップを搭載したデバイスに大きな転換期が訪れました。最新のニュースによると、これらのチップのSecureROMを標的とした新たな脆弱性「Usbliter8」が特定されました。セキュリティ研究者たちの間で注目を集めており、詳細な状況については以下のMacRumorsの記事をご確認ください：https://www.macrumors.com/2026/06/18/a12-and-a13-chips-facing-exploit/

うわっ、これは興味深い！！脱獄の全盛期がすごく懐かしいな。便利で楽しくてクールなことが本当にたくさんできたから。Webサーバーを動かしたり、ひどく遅いアニメーションを高速化したりとかね。

複数のiPhoneモデルに影響する可能性がある、修正不能な脆弱性らしい。個人的には4ポイント以上の価値はあると思うんだけど。

DesignWare USBコントローラーは、連続する最大3つのセットアップパケットをメモリに保存する。

4つ目のセットアップトランザクションを受信すると、DMAベースアドレスは書き込み前に開始位置へとリセットされる。リングバッファの仕組みに似た挙動だ。

各パケット受信後、コントローラーは書き込まれたデータサイズ分だけDOEPDMAをインクリメントする。リセット操作はDOEPDMAを24デクリメントすることで実装されている。

コントローラーがより小さなパケットも受け入れる（ただし保存時は常に4バイト単位）ことが根本的な原因だ。

ポインターのインクリメント量と固定のデクリメント量が一致していないせいで、12バイトステップのバッファアンダーフローが発生するんだ。

つまり問題はドライバーじゃなくてハードウェアに直接あるわけだ。

こういうバグに対してどんな防御が有効なんだろう？

あと、DMAアクセスが直接スタックに与えられていたって解釈で合ってるか？？

これってアンダーフローしか起こせないし、書き込まれるビットの一部は攻撃者が制御できないものだよね？なら、パッチ可能なソフトウェア部分で検知して、USBのDMA破損が疑われる時にパニック（強制終了）させることはできるんじゃないの？何か落とし穴があるのか？

これは最高に熱いニュースだ！これ自体は脱獄じゃないけど、第一歩ではある。

今のところ、iOS 18までまともに脱獄できるのは（iPadの1モデルのおかげで）checkm8くらいだしね。最近のアプリ開発者は古いiOSバージョンのサポートを切り捨てるのにかなり積極的だし。

今回影響を受けるのはiPhone XR、XS、11、SE（第2世代）と、いくつかのiPadだ。これらの多くはiOS 18ベータ版まで対応してるし、あと1〜2年は新しいiOSバージョンが来るだろうな。

追記：影響を受けるiPadリストはこれ。

• iPad Pro 11インチ (第1〜2世代)

• iPad Pro 12.9インチ (第3〜4世代)

• iPad mini (第5世代)

• iPad Air (第3世代)

• iPad (第8〜9世代)

パッチを当てられない、低レベルなハードウェアまたはファームウェアの穴って感じだな。

最初にPCゲームのディスクに使われてたコピーガードのSecuROMを思い出したわ: https://en.wikipedia.org/wiki/SecuROM