如果说 2019 年发布的 checkm8 漏洞开启了 iPhone 4S 到 iPhone X 的“越狱黄金时代”,那么今天 Paradigm Shift 公布的 usbliter8 则是它的精神续作。它把这扇“终身无法被软件修复”的硬件大门,向后狠狠推了一代,直接砸向了采用 A12 和 A13 芯片的钉子户设备(iPhone XS 到 iPhone 11 系列)。
对于安全研究员来说,这是一场狂欢;但对于苹果的平台安全团队而言,这是最不愿意看到的“硬件硬伤”。
A11 至 A14+ 芯片受影响矩阵
为了让你更直观地看清这次漏洞的波及范围以及各代芯片的防御差异,我把它们梳理成了一个对比表:
硬件指针怎么会“自己倒车”?
这个漏洞的精妙之处在于,它不是苹果操作系统(iOS)的软件漏洞,而是苹果在魔改/使用 Synopsys 设计的 USB 硬件控制器时留下的物理设计缺陷。
“12字节的赛博倒车”:
当你把 iPhone 连上电脑并进入 DFU(固态级降级)模式时,电脑会向手机发送 USB 数据包。根据设计,硬件控制器在接收数据时,内存指针应该不断“向前移动”来存放数据。
但 Paradigm Shift 发现,如果故意向它发送一系列极其微小的畸形数据包,硬件内部的“数据包计数”和“指针移动步长”就会发生严重的数学逻辑冲突。硬件指针不仅没有向前走,反而以 12 字节为单位开始在内存中疯狂“倒车(Underflow)”。
这一倒车,直接把数据写进了原本绝对不允许被修改的系统缓冲区。攻击者借此直接把自己的代码塞进了主处理器的核心引导链里,直接给 iPhone 的 USB 序列号打上了象征着被攻破的 "PWND" 烙印。
普通用户需要为此感到恐慌吗?
完全不需要。
虽然“终身无法修复”听起来很唬人,但它对普通人的实际威胁非常有限:
必须物理接触:
这个漏洞无法通过网络进行远程攻击(非 Zero-click)。攻击者必须拿到你的物理手机,用数据线插进电脑,并在开机的一瞬间进行极其精准的毫秒级时序劫持才行。
安全隔离区(Secure Enclave)依然稳固:
这段 BootROM 漏洞虽然攻破了应用处理器(AP),但存放你面容 ID、指纹以及锁屏密码的 Secure Enclave 芯片是独立运作的。由于 iOS 拥有坚固的数据保护(Data Protection)全盘加密机制,只要你设置了复杂的锁屏密码,即使别人用 usbliter8 把你的手机越狱了,在解开锁屏密码前,他们依然无法读取你的微信聊天记录、照片或网银数据。
简而言之,它最核心的价值,是让那些躺在抽屉里的 iPhone XS、iPhone 11 或者是第二代 iPhone SE,拥有了无视未来任何 iOS 系统版本更新、终身可进行底层深度越狱和安全调试的能力。
