資安研究團隊 Paradigm Shift 公開一項名為 usbliter8 的新型 BootROM 漏洞技術細節,影響搭載蘋果 A12、A13 等晶片的裝置。由於漏洞存在於裝置啟動流程最底層的硬體與韌體階段,無法透過一般 iOS、iPadOS 或系統更新修補,受影響機型包括 iPhone XR、iPhone XS 系列、iPhone 11 系列,以及部分 iPad、Apple Watch、HomePod mini 與 Studio Display。
Paradigm Shift 表示,usbliter8 同時利用 USB 控制器中的硬體缺陷,以及裝置韌體內特定設定錯誤。研究團隊在公開細節前,已先將研究結果提供給 Apple Product Security,並與蘋果協調揭露時程,該團隊也感謝蘋果安全團隊在過程中的快速回應與合作。
簡單來說,usbliter8 的攻擊方式,是在裝置進入 DFU 模式時,透過 USB 傳送特製資料,讓 USB 控制器發生錯誤判斷,進而把資料寫入不該寫入的記憶體位置。若攻擊者能實體接觸裝置,就可能藉此控制裝置啟動流程,在 iOS 載入前執行自訂程式碼、繞過簽章檢查,甚至啟動經修改的系統軟體。
這次受影響的晶片包含 A12、S4、S5 與 A13,雖然研究文章主要以 iPhone 為討論對象,但實際搭載這些晶片的產品範圍更廣。A12 裝置包括 iPhone XR、iPhone XS、iPhone XS Max、iPad Air 3、iPad mini 5、iPad 8,以及第二代 Apple TV 4K;A13 裝置則包括 iPhone 11、iPhone 11 Pro、iPhone 11 Pro Max、第二代 iPhone SE、iPad 9 與 Studio Display。
此外,S4 晶片用於 Apple Watch Series 4;S5 晶片則用於 Apple Watch Series 5、第一代 Apple Watch SE 與 HomePod mini。研究團隊也提到,A12X 與 A12Z 在技術上有支援可能,但目前尚未實作,代表 2018 年與 2020 年 iPad Pro 未來也可能被納入影響範圍。
不過,usbliter8 並不代表使用者資料會直接外洩。研究團隊指出,這項漏洞不會直接影響或破解 Secure Enclave,也就是蘋果用來保護密碼、生物辨識資料與加密金鑰的安全隔離區。因此,在一般情況下,使用者的密碼與加密資料仍受到保護。
但 Paradigm Shift 也提醒,雖然 usbliter8 本身不會攻破 Secure Enclave,卻可能打開更廣泛的攻擊路徑,讓研究人員或攻擊者有機會進一步探索 Secure Enclave 周邊安全邊界。研究團隊表示,公開這項漏洞,是希望讓外界理解硬體層級缺陷對現代 SecureROM 安全設計的實際影響。
這項漏洞在不同晶片上的利用方式也各不相同。其中 A13 的攻擊流程更複雜,原因是其 SecureROM 使用 Pointer Authentication(PAC,指標驗證)安全機制,用來防止攻擊者任意改變程式碼執行方向。研究人員則透過分階段破壞多個記憶體區塊,最終取得 USB 中斷處理器控制權,並用來執行自訂程式碼。
由於 usbliter8 屬於 BootROM 層級漏洞,代表它無法透過後續軟體更新徹底修補。研究團隊也直言,對受影響使用者而言,換用較新的硬體仍是最有效的風險緩解方式。換言之,只要裝置搭載受影響晶片,理論上這項漏洞就會永久存在。
值得注意的是,usbliter8 並不影響 A11 或更早期晶片,這些舊款晶片過去已受到另一項知名無法修補 BootROM 漏洞 checkm8 影響。checkm8 當年被公開後,成為多款舊款 iPhone 與 iPad 越獄工具的基礎,因此外界也關注 usbliter8 是否會讓 A12、A13 世代裝置出現新的越獄工具或研究用途。
Paradigm Shift 除了發表技術文章外,也在 GitHub 釋出概念驗證專案,短短數小時內便累積超過 280 顆星。對一般使用者來說,usbliter8 最大的現實風險在於裝置需被他人實體接觸並進入 DFU 模式,並非遠端點擊連結就會遭攻擊的漏洞。不過,對二手機流通、維修、取證與高風險使用者而言,這仍是一項值得注意的底層安全問題。
(首圖來源:科技新報)
科技新報粉絲團
加入好友
訂閱免費電子報
