無法修復(fù)！蘋果硬件級(jí)漏洞被曝光，大家中招了嗎？

最近手機(jī)市場(chǎng)中關(guān)于iPhone手機(jī)的新消息非常多，比如蘋果針對(duì)巴西市場(chǎng)的反壟斷整改全部落地，這是繼歐盟、日本之后，蘋果又一次向海外監(jiān)管妥協(xié)。

簡(jiǎn)單來說，巴西地區(qū)升級(jí)iOS 26.5及以上系統(tǒng)，即可使用第三方應(yīng)用商店與外部支付通道，而且本次調(diào)整源于2022年開啟的反壟斷調(diào)查。

當(dāng)時(shí)巴西監(jiān)管機(jī)構(gòu)CADE指控蘋果壟斷應(yīng)用分發(fā)、強(qiáng)制綁定官方內(nèi)購，雙方去年底達(dá)成和解，要求蘋果限期放開生態(tài)限制，逾期將處以高額罰款。

但這件事對(duì)于果粉來說是好事，然而沒有想到的是，手機(jī)市場(chǎng)中還傳出了一件不好的事情，那就是蘋果硬件級(jí)漏洞被曝光，且無法修復(fù)。

要理解這次漏洞的嚴(yán)重性，首先得明白什么是BootROM，簡(jiǎn)單來說BootROM是芯片出廠時(shí)就被固化在硬件里的開機(jī)底層代碼，它是整個(gè)設(shè)備安全體系的信任根。

我們平時(shí)遇到的iOS漏洞，無論是應(yīng)用層還是系統(tǒng)內(nèi)核層，蘋果都可以通過推送OTA更新來打補(bǔ)丁。

但BootROM漏洞完全不同，它存在于硬件層面，系統(tǒng)更新根本觸碰不到這個(gè)區(qū)域，因此Paradigm Shift的研究人員直言搭載A12、A13芯片的設(shè)備，將終身受此威脅。

這不是危言聳聽，回顧蘋果歷史，此前著名的checkm8漏洞同樣屬于BootROM級(jí)別，影響了從A5到A11的眾多設(shè)備。

重點(diǎn)是那次漏洞讓iPhone X及更早機(jī)型永久處于可被越獄狀態(tài)，而這一次輪到了A12和A13，對(duì)于iPhone來說，壓力很大。

因?yàn)槿绻謾C(jī)落入不法分子手中，他們可以利用這個(gè)漏洞進(jìn)行深度破解，提取隱私數(shù)據(jù)，雖然漏洞不會(huì)直接入侵安全隔區(qū)（Secure Enclave），但它會(huì)大幅降低攻擊安全隔區(qū)的門檻。

而且對(duì)于購買二手A12/A13設(shè)備的用戶需要更加謹(jǐn)慎，原因是無法確定前任機(jī)主是否對(duì)設(shè)備做過什么手腳。

此外，對(duì)于持有敏感商業(yè)信息的企業(yè)用戶，這個(gè)漏洞意味著A12/A13設(shè)備不再適合處理最高密級(jí)的數(shù)據(jù)。

更為關(guān)鍵的是，這次所覆蓋的范圍還非常的大，甚至可以說涵蓋了2018年到2020年間蘋果的大量主力產(chǎn)品。

包括iPhone系列、iPhone XS/XS Max、iPhone XR、iPhone 11/11 Pro / 11 Pro Max、iPhone SE（第二代）。

就連iPad系列也沒有幸免，包括11英寸iPad Pro（第一代、第二代）、12.9英寸iPad Pro（第三代、第四代）、iPad（第八代、第九代）、iPad Air（第三代）、iPad mini（第五代）。

Apple Watch系列也是如此，這次包括Apple Watch Series 4 / Series 5、Apple Watch SE（第一代），可以說這些設(shè)備在當(dāng)時(shí)都是各條產(chǎn)品線的銷量擔(dān)當(dāng)，全球存量用戶數(shù)以億計(jì)。

說到這里還是回歸這次的漏洞本身，該漏洞源于蘋果A12/A13芯片內(nèi)置的DWC2 USB控制器硬件設(shè)計(jì)缺陷。

其環(huán)形DMA緩沖機(jī)制在接收數(shù)據(jù)時(shí)，每收到一個(gè)8字節(jié)Setup包指針前進(jìn)8字節(jié)，第四個(gè)包時(shí)回退24字節(jié)完成復(fù)位。

但控制器同時(shí)接受小于8字節(jié)的數(shù)據(jù)包，且這些小包仍按4字節(jié)對(duì)齊存儲(chǔ)，導(dǎo)致指針遞增量與固定遞減量不匹配，形成12字節(jié)步進(jìn)的緩沖欠載。

攻擊者只需通過USB發(fā)送特殊構(gòu)造的超小數(shù)據(jù)包，即可篡改內(nèi)存指針，實(shí)現(xiàn)受限內(nèi)存區(qū)域的逆向讀寫，漏洞利用后，設(shè)備重啟無法清除植入程序，USB序列號(hào)會(huì)被標(biāo)記PWND。

而且A12芯片因DMA緩沖區(qū)緊鄰USB任務(wù)棧，攻擊者可直接覆蓋棧上LR寄存器劫持程序計(jì)數(shù)器，實(shí)現(xiàn)代碼接管。

A13則因引入PAC指針認(rèn)證和堆元數(shù)據(jù)校驗(yàn)，利用難度大幅提升，需分多步覆蓋DART數(shù)據(jù)結(jié)構(gòu)、全局panic計(jì)數(shù)器、USB任務(wù)臨界區(qū)深度字段及BSS段IRQ處理函數(shù)指針，才能最終獲得控制權(quán)。

A11因USB驅(qū)動(dòng)自帶指針重置機(jī)制、A14及更新芯片完善內(nèi)存保護(hù)而幸免，唯獨(dú)A12/A13卡在蘋果安全架構(gòu)進(jìn)化的空白地帶。

所以面對(duì)一個(gè)無法OTA修復(fù)的硬件漏洞，蘋果的選擇其實(shí)很有限，但有報(bào)道稱Paradigm Shift已經(jīng)提前向蘋果安全部門同步了漏洞細(xì)節(jié)，并采用協(xié)調(diào)披露機(jī)制完整公開了概念驗(yàn)證代碼。蘋果官方的建議也很直接，升級(jí)至搭載A14及以上芯片的設(shè)備。

最后迪子想說的是，對(duì)于仍在使用iPhone XS到iPhone 11系列的用戶，不必過度恐慌，但需要清醒地認(rèn)識(shí)到，你的設(shè)備存在一道終身無法愈合的硬件傷痕。

那么問題來了，大家都中招了嗎？一起來說說看吧。