安全研究機構 Paradigm Shift,在近日公開了名為 usbliter8 的 BootROM 漏洞及其概念驗證程式碼,這項研究延續了 checkm8 之後,對啟動 ROM 安全性的探索。
漏洞影響 A12 和 A13 晶片,覆蓋 iPhone XS 至 iPhone 11 系列以及 S4 和 S5。由於 BootROM 不可軟體修復,受影響裝置將終身面臨風險。
漏洞源於蘋果所用 USB 控制器的硬體缺陷,攻擊者傳送精心構造的超小資料包,可使 DMA 地址指標以固定步長回退,引發越界寫入並覆蓋 SRAM 中的關鍵記憶體。
A11 因驅動每包手動重置指標而不受影響,A14 及後續晶片因正確啟用 DART 記憶體保護,同樣免疫。在 A12 上,只需覆寫 USB 任務棧的返回地址即可劫持執行流。
A13 引入 PAC 後,繞過變得複雜,先透過堆覆寫獲取受限寫原語,清零 DART 指標並改寫全域性 panic 計數器使其無限迴圈;再配合任務排程時機,最終覆蓋中斷處理函式指標奪取控制權。
取得 EL1 許可權後,植入自定義 DFU 處理程式,可臨時降低晶片安全等級並引導未簽名的 iBoot 映象,同時在 USB 序列號新增 “PWND”。
在 A13 上為持久化,將 SecureROM 複製至 SRAM 高地址,經 MMU 重對映後重啟 ROM 以保留鉤子。漏洞未直接攻破安全隔區,但 BootROM 失陷顯著拓寬攻擊面。
Paradigm Shift 已與蘋果協調披露,完整 PoC 已公開於 ps.tc,旨在加深業界對這類硬體漏洞實際影響的認識。
