【Apple 的 A12 和 A13 芯片面临无法修复的新漏洞】

安全研究公司 Paradigm Shift 今日公布了影响 Apple A12 和 A13 芯片的新的 BootROM 漏洞的详细信息，以及一个名为“usbliter8”的可运行的概念验证漏洞利用程序。

BootROM（或称 SecureROM）是 iPhone 开机时运行的第一段代码。由于它在制造过程中直接写入芯片，因此任何在其中发现的漏洞都无法通过软件更新修复，这意味着受影响的设备在其使用寿命内都将始终存在安全漏洞。

上一次公开的此类 BootROM 漏洞利用程序是 2019 年发布的“checkm8”，它影响了从 iPhone 4S 至 iPhone X 的设备。现在，usbliter8 将该漏洞利用程序的影响范围扩展到了下一代芯片，涵盖了从 iPhone XS 至 iPhone 11 系列的设备。

该漏洞利用了 Apple 芯片内置 USB 控制器的一个缺陷。当 iPhone 在启动时接收 USB 数据时，控制器会使用内存缓冲区来存储接收到的数据包。Paradigm Shift 发现，通过发送一系列异常小的数据包，他们可以操纵一个内部硬件指针，使其在内存中反向移动，从而允许将数据写入它本不应该到达的位置。研究人员表示，这似乎是 USB 控制器硬件本身的漏洞，而不是 Apple 软件的漏洞。

iPhone X 搭载 A11 芯片不受影响，因为它的 USB 驱动程序会在每个数据包处理完毕后手动重置指针。A14 及更新的芯片很安全，因为它们在 BootROM 层正确配置了内存保护功能。A12 和 A13 则介于两者之间，处于易受攻击的中间位置。

在 A12 设备上，获取代码执行权限相对容易。但在 A13 设备上，情况则要复杂得多，因为 Apple 推出了一种名为指针认证码 (PAC) 的安全功能，它可以检测并阻止某些类型的内存篡改。Paradigm Shift 表示，绕过 A13 上的 PAC 需要一个漫长的多步骤过程，研究人员才能最终控制芯片。

一旦控制设备，该漏洞利用程序会安装一个自定义处理程序，该程序即使在设备重启后仍然存在，并增加两项功能：暂时降低设备的安全设置，以及在没有任何验证检查的情况下启动未签名软件。它还会将传统的“PWND”字符串注入到 iPhone 的 USB 序列号中，以此作为设备已被入侵的信号，这种做法自 checkm8 及更早的漏洞利用程序。

Paradigm Shift 指出，虽然 usbliter8 不会直接影响安全隔离区 (Secure Enclave)，但此类 BootROM 漏洞的入侵为攻击安全隔离区开辟更广泛的途径。该公司表示，在发布前已将发现的情况报告给 Apple 产品安全部门，并与 Apple 合作进行了协调披露。