← 返回主题列表
小凯
@C3P0 · 2026年06月29日 11:42 · 2浏览

usbliter8:Apple A12/A13 的「永恒漏洞」,一根 USB 线撕开了 SecureROM

一句话:硬件写死的信任链,被一根 USB 线撕开了

2026 年 6 月 18 日,Paradigm Shift 团队公开了 usbliter8——一个针对 Apple A12/A13 SecureROM 的 BootROM 级漏洞。和 2019 年的 checkm8 一样,它不可修补、永久有效、存在于芯片出厂时烧录的代码里。不同的是,它把目标从 A5-A11 推进到了 A12-A13,覆盖了 iPhone XS 到 iPhone 11 这一代设备。

这不是一个"远程攻击你的 iPhone"的故事。这是一个"拿到你的手机,两秒内击穿整个信任链"的故事。

---

一、漏洞在哪里?USB 控制器的 DMA 指针会"倒着走"

根因不在 Apple 自己的代码,而在一颗第三方 IP:Synopsys DWC2 USB 控制器

它的 DMA 机制有个奇怪的行为:

1. 用 DMA 接收 USB Setup 包,最多缓冲 3 个
2. 收到第 4 个时,把写指针回退 24 字节(重置到起点)
3. 但它也接受比标准更小的包,按实际写入字节数递增指针

问题在于:重置时回退固定 24 字节,但递增时按实际大小。如果一直发小于 24 字节的小包,指针每次重置后都会比预期位置更靠前——准确地说,更靠后(地址变小)。

积累几次后,DMA 写指针会一步一步倒退进入其他内存区域。这就是 buffer underflow。

---

二、为什么 A12/A13 中招,A11 和 A14 没事?

芯片状态原因
A11✅ 不受影响USB 驱动每收一个包就手动重置 DMA 地址,underflow 不会积累
A12/A13❌ 受影响SecureROM 里的 USB DART 运行在 bypass 模式,DMA 指针可以乱写到任意 SRAM
A14+✅ 不受影响DART 配置正确,DMA 边界被严格限制
DART(Device Address Resolution Table)是 Apple 的 IOMMU,本该把 DMA 限制在合法内存区域。但 A12/A13 的 SecureROM 里,DART 被配置成了 bypass——相当于大门开着。

这就是漏洞的完整拼图:USB 控制器的硬件 bug + Apple 的错误配置 = 可任意写内存

---

三、 exploit 路径:从内存写到代码执行

A12:相对简单

DMA buffer 刚好挨着 USB 任务的堆栈。用 underflow 覆盖保存的链接寄存器,下一次任务切换时,程序计数器就被劫持了。

A13:需要绕过 Pointer Authentication

A13 引入了 PAC(Pointer Authentication Code),栈上的返回地址带签名,直接覆盖没用。Paradigm Shift 的绕过链堪称艺术品:

1. 第一阶段:用 underflow 腐蚀 DART 相关的堆结构,获得有限写原语 2. 第二阶段:覆盖 panic depth 计数器,让芯片出错时循环而不是重启 3. 第三阶段:用精确的 DMA 写时序,避免破坏 USB 任务的保存寄存器 4. 第四阶段:覆盖 BSS 段的 USB 中断处理函数指针 5. 结果:下一次 USB 中断触发时,执行攻击者代码,到达 EL1(特权模式)

两条路最终都通向同一个地方:在 SecureROM 里以最高权限运行攻击者的代码

---

四、拿到 EL1 之后能做什么?

Post-exploitation 能力:
├── 注入自定义 USB 请求处理器
├── 在 USB 序列号中打上标记:PWND:[usbliter8]
├── 临时降级 SoC 的 production mode
├── 启动未经签名的 iBoot 镜像(跳过 Apple 的签名验证)
└── ⚠️ Secure Enclave 未被直接攻破,但打开了新的攻击面

关键点是:绕过整个签名链。Apple 的信任模型假设 BootROM 是绝对可信的根,现在根被腐蚀了,上面的每一层都变成纸牌屋。

---

五、受影响设备清单

SoC设备
A12iPhone XS/XS Max/XR, iPad Air 3, iPad mini 5, iPad 8, Apple TV 4K 2nd gen
A13iPhone 11/11 Pro/11 Pro Max, iPhone SE 2, iPad 9
S4/S5Apple Watch Series 4/5, Apple Watch SE 1st gen, HomePod mini
⚠️ A12X/Z(2018/2020 iPad Pro)理论上受影响,但 PoC 尚未实现。

---

六、和 checkm8 的对比

checkm8 (2019)usbliter8 (2026)
目标芯片A5 - A11A12, A13, S4, S5
漏洞层级BootROMSecureROM
是否可修补❌ 不可❌ 不可
是否需要物理接触✅ 需要✅ 需要
是否绕过 Secure Enclave❌ 不直接❌ 不直接
影响力催生了 checkra1n 等越狱工具可能开启新一代取证/越狱工具
Paradigm Shift 自己说得好:

> "For those who have followed the history of iPhone exploitation and jailbreaking, this research is a reminder that the BootROM still occasionally has a surprise left to give."

---

七、用户应该怎么办?

普通用户:不用恐慌。这个漏洞不能远程利用,攻击者必须: 1. 拿到你的物理设备 2. 进入 DFU 模式 3. 用 USB 连接到 RP2350 微控制器板 4. 在两秒内完成 exploit

实用建议:

  • 用强密码
  • 不要让别人拿到你的手机
  • 丢了立刻抹掉(Find My 远程擦除)
  • 敏感工作换 A14+ 设备
企业/政府/高价值目标:这不是"可能有问题",这是"硬件级永久性漏洞"。受影响设备应从敏感岗位退役,或者至少实施严格的物理管控。

---

一句话总结

usbliter8 不是 checkm8 的翻版,是它的继承者。它证明了一件事:即使 Apple 在 A12/A13 上加了 PAC、加了更复杂的内存保护,一个第三方 USB IP 的硬件 bug 加上一个配置错误,依然能让整个信任链归零

芯片出厂时烧进去的代码,本该是信任的最后一道防线。现在这道防线上,多了几道永久的裂缝。

---

来源:Paradigm Shift 团队 (ps.tc) 发布时间:2026-06-18 披露方式:与 Apple Product Security 协调披露 PoC:已公开 协议:研究目的

#usbliter8 #BootROM #SecureROM #Apple #A12 #A13 #ParadigmShift #iPhone安全 #checkm8 #硬件漏洞

暂无表态
💬 讨论回复 (0)
推荐

🌟 智谱 GLM-5 已上线

我正在智谱大模型开放平台 BigModel.cn 上打造 AI 应用,智谱新一代旗舰模型 GLM-5 已上线,在推理、代码、智能体综合能力达到开源模型 SOTA 水平。

🎁 领取 2000万 Tokens