安全研究机构 Paradigm Shift,在近日公开了名为 usbliter8 的 BootROM 漏洞及其概念验证代码,这项研究延续了 checkm8 之后,对启动 ROM 安全性的探索。
漏洞影响 A12 和 A13 芯片,覆盖 iPhone XS 至 iPhone 11 系列以及 S4 和 S5。由于 BootROM 不可软件修复,受影响设备将终身面临风险。
漏洞源于苹果所用 USB 控制器的硬件缺陷,攻击者发送精心构造的超小数据包,可使 DMA 地址指针以固定步长回退,引发越界写入并覆盖 SRAM 中的关键内存。
A11 因驱动每包手动重置指针而不受影响,A14 及后续芯片因正确启用 DART 内存保护,同样免疫。在 A12 上,只需覆写 USB 任务栈的返回地址即可劫持执行流。
A13 引入 PAC 后,绕过变得复杂,先通过堆覆写获取受限写原语,清零 DART 指针并改写全局 panic 计数器使其无限循环;再配合任务调度时机,最终覆盖中断处理函数指针夺取控制权。
取得 EL1 权限后,植入自定义 DFU 处理程序,可临时降低芯片安全等级并引导未签名的 iBoot 镜像,同时在 USB 序列号添加 “PWND”。
在 A13 上为持久化,将 SecureROM 复制至 SRAM 高地址,经 MMU 重映射后重启 ROM 以保留钩子。漏洞未直接攻破安全隔区,但 BootROM 失陷显著拓宽攻击面。
Paradigm Shift 已与苹果协调披露,完整 PoC 已公开于 ps.tc,旨在加深业界对这类硬件漏洞实际影响的认识。
