usbliter8:Apple A12/A13 的「永恒漏洞」,一根 USB 线撕开了 SecureROM
一句话:硬件写死的信任链,被一根 USB 线撕开了
2026 年 6 月 18 日,Paradigm Shift 团队公开了 usbliter8——一个针对 Apple A12/A13 SecureROM 的 BootROM 级漏洞。和 2019 年的 checkm8 一样,它不可修补、永久有效、存在于芯片出厂时烧录的代码里。不同的是,它把目标从 A5-A11 推进到了 A12-A13,覆盖了 iPhone XS 到 iPhone 11 这一代设备。
这不是一个"远程攻击你的 iPhone"的故事。这是一个"拿到你的手机,两秒内击穿整个信任链"的故事。
---
一、漏洞在哪里?USB 控制器的 DMA 指针会"倒着走"
根因不在 Apple 自己的代码,而在一颗第三方 IP:Synopsys DWC2 USB 控制器。
它的 DMA 机制有个奇怪的行为:
1. 用 DMA 接收 USB Setup 包,最多缓冲 3 个
2. 收到第 4 个时,把写指针回退 24 字节(重置到起点)
3. 但它也接受比标准更小的包,按实际写入字节数递增指针
问题在于:重置时回退固定 24 字节,但递增时按实际大小。如果一直发小于 24 字节的小包,指针每次重置后都会比预期位置更靠前——准确地说,更靠后(地址变小)。
积累几次后,DMA 写指针会一步一步倒退进入其他内存区域。这就是 buffer underflow。
---
二、为什么 A12/A13 中招,A11 和 A14 没事?
| 芯片 | 状态 | 原因 |
|---|---|---|
| A11 | ✅ 不受影响 | USB 驱动每收一个包就手动重置 DMA 地址,underflow 不会积累 |
| A12/A13 | ❌ 受影响 | SecureROM 里的 USB DART 运行在 bypass 模式,DMA 指针可以乱写到任意 SRAM |
| A14+ | ✅ 不受影响 | DART 配置正确,DMA 边界被严格限制 |
这就是漏洞的完整拼图:USB 控制器的硬件 bug + Apple 的错误配置 = 可任意写内存。
---
三、 exploit 路径:从内存写到代码执行
A12:相对简单
DMA buffer 刚好挨着 USB 任务的堆栈。用 underflow 覆盖保存的链接寄存器,下一次任务切换时,程序计数器就被劫持了。
A13:需要绕过 Pointer Authentication
A13 引入了 PAC(Pointer Authentication Code),栈上的返回地址带签名,直接覆盖没用。Paradigm Shift 的绕过链堪称艺术品:
1. 第一阶段:用 underflow 腐蚀 DART 相关的堆结构,获得有限写原语 2. 第二阶段:覆盖 panic depth 计数器,让芯片出错时循环而不是重启 3. 第三阶段:用精确的 DMA 写时序,避免破坏 USB 任务的保存寄存器 4. 第四阶段:覆盖 BSS 段的 USB 中断处理函数指针 5. 结果:下一次 USB 中断触发时,执行攻击者代码,到达 EL1(特权模式)
两条路最终都通向同一个地方:在 SecureROM 里以最高权限运行攻击者的代码。
---
四、拿到 EL1 之后能做什么?
Post-exploitation 能力:
├── 注入自定义 USB 请求处理器
├── 在 USB 序列号中打上标记:PWND:[usbliter8]
├── 临时降级 SoC 的 production mode
├── 启动未经签名的 iBoot 镜像(跳过 Apple 的签名验证)
└── ⚠️ Secure Enclave 未被直接攻破,但打开了新的攻击面
关键点是:绕过整个签名链。Apple 的信任模型假设 BootROM 是绝对可信的根,现在根被腐蚀了,上面的每一层都变成纸牌屋。
---
五、受影响设备清单
| SoC | 设备 |
|---|---|
| A12 | iPhone XS/XS Max/XR, iPad Air 3, iPad mini 5, iPad 8, Apple TV 4K 2nd gen |
| A13 | iPhone 11/11 Pro/11 Pro Max, iPhone SE 2, iPad 9 |
| S4/S5 | Apple Watch Series 4/5, Apple Watch SE 1st gen, HomePod mini |
---
六、和 checkm8 的对比
| checkm8 (2019) | usbliter8 (2026) | |
|---|---|---|
| 目标芯片 | A5 - A11 | A12, A13, S4, S5 |
| 漏洞层级 | BootROM | SecureROM |
| 是否可修补 | ❌ 不可 | ❌ 不可 |
| 是否需要物理接触 | ✅ 需要 | ✅ 需要 |
| 是否绕过 Secure Enclave | ❌ 不直接 | ❌ 不直接 |
| 影响力 | 催生了 checkra1n 等越狱工具 | 可能开启新一代取证/越狱工具 |
> "For those who have followed the history of iPhone exploitation and jailbreaking, this research is a reminder that the BootROM still occasionally has a surprise left to give."
---
七、用户应该怎么办?
普通用户:不用恐慌。这个漏洞不能远程利用,攻击者必须: 1. 拿到你的物理设备 2. 进入 DFU 模式 3. 用 USB 连接到 RP2350 微控制器板 4. 在两秒内完成 exploit
实用建议:
- 用强密码
- 不要让别人拿到你的手机
- 丢了立刻抹掉(Find My 远程擦除)
- 敏感工作换 A14+ 设备
---
一句话总结
usbliter8 不是 checkm8 的翻版,是它的继承者。它证明了一件事:即使 Apple 在 A12/A13 上加了 PAC、加了更复杂的内存保护,一个第三方 USB IP 的硬件 bug 加上一个配置错误,依然能让整个信任链归零。
芯片出厂时烧进去的代码,本该是信任的最后一道防线。现在这道防线上,多了几道永久的裂缝。
---
来源:Paradigm Shift 团队 (ps.tc) 发布时间:2026-06-18 披露方式:与 Apple Product Security 协调披露 PoC:已公开 协议:研究目的
#usbliter8 #BootROM #SecureROM #Apple #A12 #A13 #ParadigmShift #iPhone安全 #checkm8 #硬件漏洞
🌟 智谱 GLM-5 已上线
我正在智谱大模型开放平台 BigModel.cn 上打造 AI 应用,智谱新一代旗舰模型 GLM-5 已上线,在推理、代码、智能体综合能力达到开源模型 SOTA 水平。
🎁 领取 2000万 Tokens