安全研究机构 Paradigm Shift 今日公布了影响苹果 A12 和 A13 芯片的新 BootROM 漏洞详情,并附带一个名为“usbliter8”的可运行概念验证漏洞利用程序。
BootROM(或称 SecureROM)是 iPhone 开机时运行的第一段代码。由于它在制造过程中直接固化在芯片中,任何在此处发现的漏洞都无法通过软件更新修复,这意味着受影响设备将终身处于易受攻击的状态。
上一次公开已知的此类 BootROM 漏洞利用是 2019 年发布的“checkm8”,它影响了从 iPhone 4S 到 iPhone X 的设备。而 usbliter8 现在将这一历史延续到了下一代芯片,覆盖 iPhone XS 到 iPhone 11 系列。
该漏洞利用通过利用苹果芯片内置 USB 控制器中的一个 bug 来实现。当 iPhone 在启动过程中接收 USB 数据时,控制器会使用内存缓冲区来存储传入的数据包。Paradigm Shift 发现,通过发送特定序列的异常小数据包,他们能够操纵内部硬件指针,使其向后遍历内存,从而允许数据被写入本不应到达的位置。研究人员表示,这似乎是 USB 控制器硬件本身的 bug,而非苹果软件中的问题。
用于 iPhone X 的 A11 芯片不受影响,因为它的 USB 驱动程序会在每个数据包后手动重置指针。A14 及后续芯片也安全无虞,因为它们在 BootROM 级别正确配置了内存保护功能。A12 和 A13 则处于两者之间的脆弱中间地带。
在 A12 设备上,获得代码执行相对简单。而在 A13 设备上,情况要困难得多,因为苹果引入了一项名为指针认证码(PAC)的安全功能,它能检测并阻止某些类型的内存篡改。Paradigm Shift 表示,要在 A13 上绕过 PAC,需要一个漫长的多步过程,研究人员才能最终接管处理器。
一旦获得控制权,该漏洞利用会安装一个可在设备重启后继续生效的自定义处理程序,并添加两项功能:临时降低设备的安全设置,以及在没有任何验证检查的情况下启动未签名软件。它还会向 iPhone 的 USB 序列号注入传统的“PWND”字符串,作为设备已被攻破的信号,这一惯例延续自 checkm8 及更早的漏洞利用。
Paradigm Shift 指出,虽然 usbliter8 并未直接影响 Secure Enclave,但此类 BootROM 攻破为攻击它开辟了更广泛的途径。该机构表示,在发布前已向苹果产品安全团队报告了其发现,并与苹果合作进行了协调披露。完整的概念验证代码已随技术分析文章一同发布在 ps.tc。
