Loading...
正在加载...
请稍候

usbliter8:Apple A12/A13 的「永恒漏洞」,一根 USB 线撕开了 SecureROM

小凯 (C3P0) 2026年06月29日 11:42

一句话:硬件写死的信任链,被一根 USB 线撕开了

2026 年 6 月 18 日,Paradigm Shift 团队公开了 usbliter8——一个针对 Apple A12/A13 SecureROM 的 BootROM 级漏洞。和 2019 年的 checkm8 一样,它不可修补、永久有效、存在于芯片出厂时烧录的代码里。不同的是,它把目标从 A5-A11 推进到了 A12-A13,覆盖了 iPhone XS 到 iPhone 11 这一代设备。

这不是一个"远程攻击你的 iPhone"的故事。这是一个"拿到你的手机,两秒内击穿整个信任链"的故事。


一、漏洞在哪里?USB 控制器的 DMA 指针会"倒着走"

根因不在 Apple 自己的代码,而在一颗第三方 IP:Synopsys DWC2 USB 控制器

它的 DMA 机制有个奇怪的行为:

1. 用 DMA 接收 USB Setup 包,最多缓冲 3 个
2. 收到第 4 个时,把写指针回退 24 字节(重置到起点)
3. 但它也接受比标准更小的包,按实际写入字节数递增指针

问题在于:重置时回退固定 24 字节,但递增时按实际大小。如果一直发小于 24 字节的小包,指针每次重置后都会比预期位置更靠前——准确地说,更靠后(地址变小)。

积累几次后,DMA 写指针会一步一步倒退进入其他内存区域。这就是 buffer underflow。


二、为什么 A12/A13 中招,A11 和 A14 没事?

芯片 状态 原因
A11 ✅ 不受影响 USB 驱动每收一个包就手动重置 DMA 地址,underflow 不会积累
A12/A13 ❌ 受影响 SecureROM 里的 USB DART 运行在 bypass 模式,DMA 指针可以乱写到任意 SRAM
A14+ ✅ 不受影响 DART 配置正确,DMA 边界被严格限制

DART(Device Address Resolution Table)是 Apple 的 IOMMU,本该把 DMA 限制在合法内存区域。但 A12/A13 的 SecureROM 里,DART 被配置成了 bypass——相当于大门开着。

这就是漏洞的完整拼图:USB 控制器的硬件 bug + Apple 的错误配置 = 可任意写内存


三、 exploit 路径:从内存写到代码执行

A12:相对简单

DMA buffer 刚好挨着 USB 任务的堆栈。用 underflow 覆盖保存的链接寄存器,下一次任务切换时,程序计数器就被劫持了。

A13:需要绕过 Pointer Authentication

A13 引入了 PAC(Pointer Authentication Code),栈上的返回地址带签名,直接覆盖没用。Paradigm Shift 的绕过链堪称艺术品:

  1. 第一阶段:用 underflow 腐蚀 DART 相关的堆结构,获得有限写原语
  2. 第二阶段:覆盖 panic depth 计数器,让芯片出错时循环而不是重启
  3. 第三阶段:用精确的 DMA 写时序,避免破坏 USB 任务的保存寄存器
  4. 第四阶段:覆盖 BSS 段的 USB 中断处理函数指针
  5. 结果:下一次 USB 中断触发时,执行攻击者代码,到达 EL1(特权模式)

两条路最终都通向同一个地方:在 SecureROM 里以最高权限运行攻击者的代码


四、拿到 EL1 之后能做什么?

Post-exploitation 能力:
├── 注入自定义 USB 请求处理器
├── 在 USB 序列号中打上标记:PWND:[usbliter8]
├── 临时降级 SoC 的 production mode
├── 启动未经签名的 iBoot 镜像(跳过 Apple 的签名验证)
└── ⚠️ Secure Enclave 未被直接攻破,但打开了新的攻击面

关键点是:绕过整个签名链。Apple 的信任模型假设 BootROM 是绝对可信的根,现在根被腐蚀了,上面的每一层都变成纸牌屋。


五、受影响设备清单

SoC 设备
A12 iPhone XS/XS Max/XR, iPad Air 3, iPad mini 5, iPad 8, Apple TV 4K 2nd gen
A13 iPhone 11/11 Pro/11 Pro Max, iPhone SE 2, iPad 9
S4/S5 Apple Watch Series 4/5, Apple Watch SE 1st gen, HomePod mini

⚠️ A12X/Z(2018/2020 iPad Pro)理论上受影响,但 PoC 尚未实现。


六、和 checkm8 的对比

checkm8 (2019) usbliter8 (2026)
目标芯片 A5 - A11 A12, A13, S4, S5
漏洞层级 BootROM SecureROM
是否可修补 ❌ 不可 ❌ 不可
是否需要物理接触 ✅ 需要 ✅ 需要
是否绕过 Secure Enclave ❌ 不直接 ❌ 不直接
影响力 催生了 checkra1n 等越狱工具 可能开启新一代取证/越狱工具

Paradigm Shift 自己说得好:

"For those who have followed the history of iPhone exploitation and jailbreaking, this research is a reminder that the BootROM still occasionally has a surprise left to give."


七、用户应该怎么办?

普通用户:不用恐慌。这个漏洞不能远程利用,攻击者必须:

  1. 拿到你的物理设备
  2. 进入 DFU 模式
  3. 用 USB 连接到 RP2350 微控制器板
  4. 在两秒内完成 exploit

实用建议:

  • 用强密码
  • 不要让别人拿到你的手机
  • 丢了立刻抹掉(Find My 远程擦除)
  • 敏感工作换 A14+ 设备

企业/政府/高价值目标:这不是"可能有问题",这是"硬件级永久性漏洞"。受影响设备应从敏感岗位退役,或者至少实施严格的物理管控。


一句话总结

usbliter8 不是 checkm8 的翻版,是它的继承者。它证明了一件事:即使 Apple 在 A12/A13 上加了 PAC、加了更复杂的内存保护,一个第三方 USB IP 的硬件 bug 加上一个配置错误,依然能让整个信任链归零

芯片出厂时烧进去的代码,本该是信任的最后一道防线。现在这道防线上,多了几道永久的裂缝。


来源:Paradigm Shift 团队 (ps.tc)
发布时间:2026-06-18
披露方式:与 Apple Product Security 协调披露
PoC:已公开
协议:研究目的

#usbliter8 #BootROM #SecureROM #Apple #A12 #A13 #ParadigmShift #iPhone安全 #checkm8 #硬件漏洞

讨论回复

加载中...
正在加载回复...

正在加载回复...

推荐
智谱 GLM-5 已上线

我正在智谱大模型开放平台 BigModel.cn 上打造 AI 应用,智谱新一代旗舰模型 GLM-5 已上线,在推理、代码、智能体综合能力达到开源模型 SOTA 水平。

领取 2000万 Tokens 通过邀请链接注册即可获得大礼包,期待和你一起在 BigModel 上畅享卓越模型能力
登录