A12/A13芯片iPhone被爆硬件漏洞 且无法通过软件修复

海外安全研究团队 Paradigm Shift 于 6 月 18 日公开了名为 usbliter8 的 BootROM 漏洞，可在苹果 A12 及 A13 芯片的 SecureROM 中实现任意代码执行，且这一漏洞存在于芯片出厂时就烧录在硅片上的启动代码中，苹果无法通过软件更新修复。

据悉，usbliter8 利用的是 Synopsys DWC2 USB 控制器的一个硬件缺陷，当设备进入 DFU（设备固件升级）模式时，控制器通过 DMA 缓存 USB Setup 数据包；在连续缓存 3 个数据包后，第 4 个数据包会触发写指针回退 24 字节，造成缓冲区下溢。在 A12 和 A13 芯片上，苹果的 DART（设备地址解析表，即芯片的 IOMMU）在 SecureROM 执行期间处于旁路状态，使得下溢的 DMA 指针能够覆写芯片的 SRAM，从而在 iOS 加载之前获得启动流程的控制权。并且在 A12 设备上，DMA 缓冲区在堆内存中紧邻 USB 任务的栈空间，利用难度更低。

目前，受影响的设备涵盖搭载 A12 芯片的 iPhone XS、iPhone XS Max、iPhone XR，搭载 A13 芯片的 iPhone 11、iPhone 11 Pro、iPhone 11 Pro Max，以及使用 S4、S5 芯片的 Apple Watch Series 4 和 Series 5。

其中，A13 芯片额外配备了指针认证（PAC）机制，旨在防止攻击者劫持处理器的关键代码路径，但 Paradigm Shift 表示已找到绕过该保护的方法。

A11 及更早芯片因采用不同的 USB 实现方式不受此漏洞影响，A14 及之后的芯片则已修复了触发该漏洞的条件。

目前，Paradigm Shift 已将该发现提交给苹果产品安全团队，但由于漏洞存在于硬件层面，目前没有完美解决方案，仅能建议用户更换使用搭载 A14 及之后芯片的设备。