對於許多工程師來說,軟體漏洞只要更新版本就能修補,但硬體漏洞卻是另一回事。最近安全研究團隊 Paradigm Shift 公開了一個名為 usbliter8 的漏洞利用工具,它能讓攻擊者在 Apple A12 和 A13 晶片的 SecureROM 中執行任意程式碼。最糟糕的是,由於這是一個硬體層級的缺陷,Apple 無法透過任何軟體更新來修復它。
首先我們得理解什麼是 SecureROM。它是晶片在製造時就直接燒錄在矽片上的唯讀記憶體,是設備啟動時的第一道防線,負責驗證後續載入的軟體是否經過 Apple 簽署。如果這道防線被突破,整個設備的信任鏈(Chain of Trust)就會崩潰。
漏洞的核心在於硬體設計缺陷
這次漏洞的根源出在 Synopsys DWC2 USB 控制器。在處理 USB Setup 封包時,該控制器使用 DMA(Direct Memory Access,直接記憶體存取,允許硬體直接讀寫記憶體而無需 CPU 干預)來儲存資料。
問題在於其指標管理邏輯:控制器最多快取三個封包,當第四個封包進入時,它會將寫入指標固定減去 24 個位元組。然而,如果攻擊者傳送比標準尺寸小的封包,指標增加的量會少於預期。這種不一致會導致指標不斷向後偏移,最終造成 Buffer Underflow(緩衝區下溢)。
為什麼只有 A12 和 A13 受影響?
這涉及到 DART(Device Address Resolution Table),你可以把它理解為硬體層級的 IOMMU(輸入輸出記憶體管理單元),負責限制硬體設備能存取的記憶體範圍。
在 A12 和 A13 的 SecureROM 階段,DART 被設定為 Bypass 模式(繞過模式),這意味著上述的 DMA 指標下溢可以直接覆蓋 SRAM 中的任意位置,讓攻擊者能夠控制系統。
相比之下,較舊的 A11 晶片雖然有類似問題,但其 USB 驅動會在每個封包後手動重設 DMA 位址,導致偏移量無法累積。而 A14 及後續版本則正確配置了 DART,有效地將這個攻擊路徑封死。
如何實現程式碼執行
在 A12 上,由於 DMA 緩衝區與 USB 任務的堆疊(Stack)在記憶體中相鄰,攻擊者只要覆蓋儲存的連結暫存器(Link Register),就能在下次上下文切換時奪取程式計數器(PC)的控制權。
A13 的挑戰較大,因為它引入了 PAC(Pointer Authentication,指標認證),這是一種透過加密簽名來保護回傳位址的技術,防止堆疊被覆蓋。研究人員採取了分階段策略:先利用 DART 的堆疊結構漏洞建立有限的寫入能力,接著覆蓋 Panic Depth 計數器讓設備在出錯時循環而非重啟,最後精準覆蓋 BSS 段中的 USB 中斷處理程序指標。
最終,攻擊者都能在 EL1(最高特權級別)執行程式碼,完全掌控啟動過程。
攻擊後的影響與實務風險
一旦成功執行 usbliter8,攻擊者可以暫時將 SoC 設為非生產模式,或者載入完全未經簽名的 iBoot 映像檔。這意味著 Apple 所有的啟動安全性檢查都被跳過了。
雖然目前研究顯示這不會直接攻破 Secure Enclave(安全隔離區,負責儲存密碼與生物識別資料的獨立處理器),但掌握了 BootROM 級別的控制權,未來可能會開啟更多攻擊 Secure Enclave 的路徑。
從工程實務角度來看,這次攻擊的門檻很高。它不是遠端攻擊,而是需要: 第一,實體接觸設備。 第二,將設備進入 DFU 模式(Device Firmware Update,一種低階的恢復模式)。 第三,使用基於 RP2350 微控制器的特殊硬體板連接 USB。
對於一般使用者,風險極低。但對於高安全性環境(如政府、金融或處理極機密資料的設備),這變成了一個硬體汰換問題。如果設備使用的是 A12 或 A13 晶片,其物理防禦邊界已永久消失,唯一的防護手段就是嚴格控制設備的物理存取與 USB 連接權限。
受影響設備清單
主要包括 iPhone XS 系列、XR、iPhone 11 系列、iPhone SE (第二代)、iPad Air 3、iPad mini 5、iPad 8 以及 Apple Watch Series 4 與 5。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。