近日,安全研究员在公开渠道披露了一个针对苹果A12及A13芯片的底层漏洞,代号“Usbliter8”。该漏洞直接攻破了iPhone SecureROM(安全只读存储器)的防护,允许攻击者在设备固件层面实现任意代码执行。这意味着搭载这些芯片的iPhone XS至iPhone 11系列设备,面临着一道无法通过系统更新修复的安全缺口。
什么是SecureROM?
要理解Usbliter8的严重性,首先需要明白SecureROM在iOS设备中的角色。SecureROM是一段存储在芯片硬件只读存储器中的代码,设备通电时最先运行,负责验证后续启动链条的每一环——从引导加载器到内核,再到操作系统。由于这段代码在芯片制造过程中就被固化,苹果无法通过OTA或iTunes更新来修改它。因此,SecureROM漏洞被业内视为“皇冠上的宝石”:一旦被发现,便赋予了攻击者近乎绝对的底层控制权。
历史上,最著名的例子是2019年公开的checkm8漏洞,它影响了A5至A11芯片,让无数iPhone 4S到iPhone X实现了永久越狱。用户即便升级系统,也无法清除checkm8带来的访问能力。如今,Usbliter8正延续这一传统,将攻击面扩展到了更先进的A12和A13芯片。
Usbliter8的技术细节
据披露信息,Usbliter8利用了SecureROM中USB控制器驱动的一个特定缺陷。设备在进入DFU(设备固件升级)模式后,会通过USB接口与主机通信。研究者发现,在特定握手协议下,SecureROM未能对USB数据包长度进行正确边界检查,导致内存缓冲区溢出。攻击者可以通过精心构造的USB报文注入恶意载荷,劫持程序执行流。
与checkm8类似,Usbliter8也是基于硬件的漏洞,但其利用条件更严格:攻击者需要物理接触目标设备,并在设备重新启动时将其连接至恶意主机(如PC或特制硬件)。在成功利用后,攻击者可以运行任意未经签名的代码,绕过所有软件层面的安全机制——包括Secure Enclave、KPP(内核补丁保护)以及Apple的签名验证。
值得注意的是,Usbliter8主要影响A12(应用于iPhone XR、XS系列、iPad mini 5等)和A13(iPhone 11系列、iPhone SE 2代)两个芯片代际。A14及后续芯片由于重新设计了USB控制器固件,已免疫该漏洞。
实际影响与修复难题
对于普通用户而言,Usbliter8的直接威胁相对有限。因为利用必须依赖物理接触,远程网络攻击无法触发该漏洞。然而,对于执法机构、国家安全部门或是注重数据隐私的高风险人群,这种漏洞可能被用于合法取证或恶意入侵。例如,苹果的“私密模式”或全盘加密在SecureROM层面被攻破后,理论上数据保护屏障将失去作用。
更令苹果头疼的是修复问题。由于SecureROM位于芯片的“假ROM”(即掩膜只读存储器)中,苹果无法通过软件更新打补丁。唯一的彻底解决方法是在新款芯片中重新设计硬件。对于现有设备,即使部署了A12/A13芯片的新批次,如果旧的制造掩膜未更新,漏洞依然存在。实际上,苹果在A14芯片中已经修复了此问题,但A12/A13设备将永远处于风险之下,除非用户物理更换主板。
越狱社区的新希望
对越狱爱好者来说,Usbliter8则是一个重大利好。自checkm8之后,A12/A13设备一直缺乏底层的、可持久利用的越狱入口。目前基于iOS 14/15的越狱方案大多依赖软件漏洞,容易被苹果封堵。而Usbliter8的出现,意味着只要设备不升级新版硬件,越狱就可以无视系统版本实现。已经有开发者确认,结合Usbliter8与后续的内核漏洞,可完成针对iOS 16及更低版本的完整越狱。
不过,与checkm8当年公开即开源不同,Usbliter8的细节目前仍被部分保留,据称是为了给苹果留出反应时间。安全社区预计,完整的技术论文和利用工具将在未来数周内逐步公开。
总结:一场不可修补的攻防战
Usbliter8再次印证了硬件安全领域的核心困境:最坚固的城堡往往在最底层出现裂缝。SecureROM本应是不可攻破的信任锚点,但在USB接口这个最古老的攻击面上,新款芯片依然没能完美防御。对于苹果而言,除了加快芯片迭代,别无他法;而对于持有A12/A13设备的用户,如果担忧安全,最佳建议是避免将设备交由陌生人物理接触,并及时关注官方针对软件层面的安全更新。
在信息技术世界里,没有绝对的安全——Usbliter8只是又一块证明这一定律的碎片。