DC娱乐网

苹果芯片曝出不可修复漏洞,iPhone越狱大门重开

6 月 18 号,巴塞罗那一家安全公司发了篇博客。标题:《Introducing usbliter8》。正文第一句:「这

6 月 18 号,巴塞罗那一家安全公司发了篇博客。标题:《Introducing usbliter8》。正文第一句:「这是一个 A12/A13 SecureROM 的漏洞。」

照理说,iOS 漏洞爆出来,苹果的剧本是固定的:发补丁,挂 CVE 编号,全世界用户点「立即安装」,结束。

但这次没剧本。因为问题出在 Boot ROM。

就是你按下开机键之后 iPhone 跑起来的第一段代码。它要干的事就一件——验一下系统有没有被人动过手脚,然后才把控制权交出去。它是安全链的第一环。最不该出问题的一环。

而且它不是存在硬盘上的,也不是写在操作系统里的。它是物理刻在芯片硅片里的。出厂什么样,报废那天还是什么样。

这个叫 usbliter8 的漏洞,藏在 USB 控制器里。对,就是你插数据线用的那个东西。

苹果芯片用的 USB 控制器叫 DWC2,Synopsys 设计的。它的工作是把通过数据线传进来的内容写到内存里。毛病出在写入逻辑上——连续收好几个 USB 请求之后,内存指针该减 24,但实际只减回来一部分,多出了 12 个字节。

就 12 个字节。够不够用?够。往不该写的地方写,一路写,一路钻,钻到系统核心区,把中断处理函数的指针改了。然后代码执行权限到手。

到这里,越狱只是工序问题。

最离谱的是对比。A11 没事,因为那代 USB 驱动每次都老实把指针复位。A14 及以后也没事,因为苹果加了一层叫 DART 的内存访问控制。就中间这两代“A12、A13”精准踩坑。

但整件事最有趣的地方,是讲故事的人。

Paradigm Shift 主营业务是什么?给政府和执法部门卖 iPhone 破解工具。也就是说,发现这个漏洞的公司,是靠 iPhone 漏洞吃饭的。

然后他们把漏洞细节公开了,措辞特别正经,说「为了增进大家对 Boot ROM 安全性的理解」。博客末尾还感谢了苹果安全团队「及时的回应和建设性的配合。」我读到这句的时候真的笑了。

苹果回应了什么?Paradigm Shift 拒绝评论。用户得到了什么?「建议迁移到新硬件。」

你的 iPhone XS、XR、11,安全评级从今天起打八折。想恢复满分?掏钱换新机。几千万台设备,没有召回,没有补偿。

不过也先不用慌。这个漏洞要用,得先把手机拿在手里。就算你被偷了手机,对方大概率是拿去刷机转卖,不是打开 usbliter8 做取证分析。真正用得上的,是执法机构、情报部门、还有做 iPhone 取证的商业公司。巧了,这几类人正好都是 Paradigm Shift 的客户。

但我看完这篇博客,不舒服的点不是技术。是一种上当的感觉。

苹果说 iPhone 是最安全的手机,你信了。然后有一天你读到,它的第一道安全防线从出厂就带着缝。不是软件 Bug,那种能修。而是烧在硅里的,修不了。A14 之后的机型当然没事,DART 把坑填上了。但这件事留下了一个让人不太舒服的后味:我们交付信任的对象,连它自己也不知道,“门框”从第一天起就是短的。