安全研究公司 Paradigm Shift 日前公布了一项影响苹果 A12 和 A13 芯片的全新 BootROM(也称 SecureROM)漏洞细节,并释出一款名为“usbliter8”的概念验证攻击代码。BootROM 是 iPhone 开机时运行的首段底层代码,由于直接固化在芯片中,无法通过后续软件更新修补,这意味着一旦发现安全缺陷,受影响设备在整个生命周期内都将持续处于风险之中。
此前最后一次公开的同类 BootROM 漏洞是 2019 年曝光的“checkm8”,其影响范围覆盖从 iPhone 4S 到 iPhone X 的多代设备。本次的 usbliter8 则将这一历史向前推进了一代,波及采用 A12 与 A13 芯片的产品,包括从 iPhone XS 到 iPhone 11 系列在内的设备。
usbliter8 漏洞利用了苹果芯片中集成 USB 控制器的一处缺陷。当 iPhone 在启动过程中通过 USB 接收数据时,该控制器会使用一块内存缓冲区来存储传入的数据包。Paradigm Shift 研究人员发现,通过在启动阶段向设备发送特定序列、尺寸异常偏小的数据包,可以操控控制器内部的硬件指针,使其在内存中“向后行走”,从而将数据写入原本不应被访问的位置。研究团队指出,这更像是 USB 控制器硬件本身的设计缺陷,而非苹果软件层面的漏洞。
从具体芯片代际来看,A11 并不受影响,其所用 USB 驱动会在每次处理完数据包后手动重置指针,阻断了这一路径。而从 A14 开始,苹果在 BootROM 层面正确配置了相关内存保护机制,因此也能避免此类攻击。A12 与 A13 则处在二者之间的“灰色地带”,未获得上述防护,从而暴露在漏洞之下。
在 A12 设备上,攻击者一旦掌握利用方法,实现代码执行相对直接。但在 A13 设备上,情况明显更为复杂:这一代芯片引入了名为 Pointer Authentication Codes(PAC,指针认证码)的安全特性,用于检测并阻断部分内存篡改行为。Paradigm Shift 表示,要在 A13 上绕过 PAC,需要一个冗长且多阶段的攻击链,经过多步操作才能最终夺取处理器控制权。
在成功取得控制权后,usbliter8 会在设备中安装一个可在重启后依旧存活的自定义处理程序。该处理程序可临时降低设备的安全策略等级,并允许引导未经签名的软件,跳过原本严格的验证流程。作为成功入侵的标记,攻击利用还会向 iPhone 的 USB 序列号中注入传统的“PWND”字符串,延续了 checkm8 及更早期越狱漏洞的惯例。
Paradigm Shift 指出,usbliter8 本身并不会直接攻击 Secure Enclave(安全隔区),但一旦 BootROM 层被攻破,理论上就为进一步针对安全隔区的高级攻击打开了更广泛的空间。该公司已在公开前将相关发现报告给苹果产品安全团队,并与苹果方面协同完成了披露流程。完整的技术分析和概念验证代码已随报告一同发布在 Paradigm Shift 官网 ps.tc 上,供安全研究社区进一步研究。