這篇文章將探討近期揭露的兩項重大安全漏洞。一個是關於 Beats 無線耳機的韌體缺陷,另一個則是更深層的 iPhone 晶片硬體漏洞。對於工程師來說,這兩個案例代表了兩種完全不同的攻擊面:一個是第三方 SDK 導致的邏輯漏洞,另一個則是不可修復的硬體設計缺陷。
首先分析 Beats Studio Buds 的竊聽漏洞
Apple 最近針對 Beats Studio Buds 發布了韌體更新,旨在修復一個高風險的漏洞 CVE-2025-20701。這個漏洞的根源不在於 Apple 自己的程式碼,而是在於該產品所使用的 Airoha Bluetooth audio SDK。SDK 是軟體開發套件,也就是廠商提供給開發者使用的預先寫好功能的程式庫,用來快速實作藍牙音訊功能。
這個漏洞屬於授權錯誤,簡單來說,就是設備在處理藍牙配對請求時,沒有正確地驗證對方的身份。在正常情況下,耳機配對需要使用者按下按鈕或在手機上確認,但由於這個缺陷,攻擊者只要在藍牙訊號範圍內,就可以在使用者完全不知情且無需任何互動的情況下,強制與耳機配對。
一旦配對成功,攻擊者就能取得權限,直接透過耳機的麥克風進行遠端監聽。更嚴重的是,研究人員發現這類漏洞允許攻擊者讀寫設備的 RAM 隨機存取記憶體與 Flash 快閃記憶體,甚至能劫持耳機與手機之間已建立的信任關係。這意味著耳機不再僅僅是音訊設備,而變成了攻擊者進入使用者個人裝置的跳板。
接著探討 A12 與 A13 晶片的 BootROM 漏洞
與耳機韌體可以透過更新修復不同,另一項針對 Apple A12 與 A13 晶片的漏洞 usbliter8 則屬於毀滅性的硬體缺陷。這個漏洞存在於 SecureROM,也就是 BootROM 啟動唯讀記憶體中。BootROM 是晶片在出廠時就燒死在硬體裡的程式碼,它是裝置開機時最先執行的第一段程式,負責建立信任鏈並驗證後續載入的作業系統是否合法。
由於 BootROM 是唯讀的,一旦設計出錯,無論後續更新多少次 iOS 版本,都無法透過軟體更新來修復。
這個漏洞的技術核心在於 USB 控制器的硬體缺陷。當 USB 控制器接收資料封包時,會使用一個記憶體緩衝區來儲存 SETUP 和 OUT 封包。研究發現,利用控制器的處理邏輯,可以觸發一種稱為 Buffer Underflow 緩衝區下溢的現象。這讓攻擊者能夠將惡意程式碼注入到 SRAM 靜態隨機存取記憶體中並執行。
為什麼 A11 沒事,但 A12 和 A13 有事? 研究發現 A11 晶片的 USB 驅動會在接收每個封包後,手動將 DMA 直接記憶體存取地址重設為初始值,這有效地防止了溢位。然而在 A12 與 A13 中,USB DART 記憶體管理單元被設定在繞過模式,導致攻擊者可以自由覆寫 SRAM 資料。到了 A14 之後的世代,Apple 修正了 DART 的配置,因此不再受影響。
這類漏洞的影響力極大,因為它直接打破了裝置的信任鏈。雖然 usbliter8 目前還沒能直接攻破 SEP 安全隔離區,但它為攻擊者開啟了更廣泛的攻擊路徑,讓原本被認為極其安全的硬體層級防禦變得脆弱。
實務總結與啟示
從這兩個案例中,我們可以學到兩個關鍵的安全觀念。
第一,供應鏈安全。Beats 的案例提醒我們,即使是頂尖公司,如果依賴第三方的 SDK,其安全性將受限於供應商的品質。對於開發者而言,對外部套件的權限管理與驗證邏輯必須極其嚴謹。
第二,硬體設計的不可逆性。A12/A13 的案例證明了硬體漏洞的恐怖之處在於不可修復性。當漏洞發生在 BootROM 這種不可變的程式碼中時,唯一的解決方案就是更換硬體。這也解釋了為什麼現代晶片設計越來越強調 DART 或 IOMMU 等記憶體保護機制,旨在將硬體組件之間的存取權限完全隔離,避免單一組件的失效導致整個系統崩潰。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。