文章总结： ParadigmShift安全团队于2026年6月18日公开usbliter8漏洞利用工具，该工具利用苹果A12、A13芯片SecureROM中SynopsysDWC2USB控制器的硬件缺陷实现任意代码执行。由于该缺陷固化于芯片内部，无法通过软件更新修复，影响iPhoneXS至11系列等多款设备。攻击需物理接触设备并进入DFU模式，普通用户风险较低，但对涉密机构构成高危隐患。建议相关机构盘点受影响设备并加快升级至A14及以上芯片，同时加强物理安全管控。 综合评分： 88 文章分类： 漏洞分析,二进制安全,移动安全,终端安全,漏洞预警

usbliter8：针对苹果 A12、A13 芯片设备推出无法修复的 BootROM 漏洞利用工具

鹏鹏同学 鹏鹏同学

黑猫安全

2026年6月23日 08:52 湖北

在小说阅读器读本章

去阅读

Paradigm Shift 安全研究团队于 2026 年 6 月 18 日公开一款可稳定利用的漏洞利用工具 usbliter8，该工具能够在苹果 A12、A13 芯片的 SecureROM 底层固件中实现任意代码执行。SecureROM 是苹果设备开机后首个运行的程序，在芯片出厂阶段便固化于硅片内部，出厂后无法修改、也不能通过软件补丁修复。搭载这两款芯片的全部设备，在整个使用生命周期内都会永久留存该漏洞。

Paradigm Shift 发布的研究报告原文写道：“usbliter8 漏洞利用程序证明，即便是搭载指针认证（Pointer Authentication）防护机制的新一代 SecureROM，硬件层面细微缺陷仍可被利用，实现完整代码执行并打破整套信任链。”

该攻击无法远程实施。研究人员指出，攻击实施条件包括物理接触设备、将设备切入 DFU 模式、USB 有线连接，以及一块基于 RP2350 微控制器的专用开发板。

研究团队遵循协同披露流程提前将漏洞细节同步至苹果产品安全团队，并于 6 月 18 日对外放出可复现的概念验证代码。截至 6 月 19 日，该漏洞尚未分配 CVE 编号，苹果也未发布配套安全公告。

受影响芯片及对应设备

受波及芯片系列：A12、A13、S4、S5对应设备：iPhone XS、XS Max、XR、iPhone 11 全系列、第二代 iPhone SE、第三代 iPad Air、第五代 iPad mini、第八代 iPad；Apple Watch Series 4/5、第一代 Apple Watch SE、HomePod mini。A11 芯片设备不受漏洞影响；A14 及更新芯片暂无可行利用方式。

研究人员称，理论上该漏洞可适配 A12X、A12Z 芯片，但目前尚未完成对应利用代码开发。这两款芯片搭载于 2018 款、2020 款 iPad Pro，意味着漏洞影响范围后续可能进一步扩大。

漏洞根源为苹果芯片集成的 Synopsys DWC2 USB 控制器硬件缺陷：控制器依靠 DMA 存储 USB 配置包，最多缓存 3 条数据包；收到第四条配置包时，控制器会将写入指针固定递减 24 字节完成重置。同时控制器支持接收短于标准长度的数据包，仅按照实际写入字节数递增指针。两种机制冲突会产生可稳定复现的缓冲区下溢，使写入指针每次向内存低位偏移 12 字节。

报告原文：“DesignWare USB 控制器最多在内存缓存 3 条连续配置包。接收第四条配置传输时，DMA 基地址会在写入前重置为起始地址，逻辑近似环形缓冲区。控制器每写入一条数据包，都会按实际数据长度增加 DOEPDMA 寄存器；而重置操作则直接将 DOEPDMA 数值减去 24。”

“核心问题在于控制器兼容短数据包（数据存储单位仍固定为 4 字节）。”

该漏洞仅在 A12、A13 芯片具备高危利用价值，关键原因是 SecureROM 内 USB 内存管理单元 DART 被配置为直通模式，发生下溢的 DMA 指针可读写、覆盖整片 SRAM 内存。A11 设备规避了该风险：USB 驱动会在每次数据包传输结束后手动重置 DMA 地址，阻止指针偏移持续累积；A14 及更新芯片对 DART 做了安全加固配置，Paradigm Shift 证实同款硬件缺陷无法在新款芯片上完成利用。

A12 与 A13 芯片达成代码执行的路径存在区别：A12 设备的 DMA 缓冲区紧邻 USB 任务栈内存，攻击者可篡改栈控制数据，在任务切换环节劫持程序执行流。

A13 防护强度更高，栈内返回地址受指针认证保护。Paradigm Shift 分多阶段绕过防护机制：篡改 DART 相关堆内存结构，获取有限任意写原语；修改内核崩溃深度计数器，使芯片报错循环而非自动重启；最后覆盖 BSS 段内 USB 中断处理函数指针，设备触发 USB 中断时即可运行攻击者注入代码。两条利用路径最终均可在 SecureROM 的 EL1 高权限模式下拿到执行权限。

获取底层高权限后，usbliter8 会注入自定义 USB 请求处理程序，并在设备 USB 串口标识写入标记 PWND:[usbliter8]。依托该底层权限，攻击者可临时关闭芯片出厂校验模式，或是直接启动未经过苹果签名校验的原生 iBoot 引导镜像，彻底脱离苹果硬件信任链管控。本次研究暂未实现安全隔区（Secure Enclave）攻陷，但团队提出警示：获取 BootROM 层级控制权后，可能衍生出新的安全隔区攻击路径，相关利用方案尚未完成验证与公开。

业内将新披露的 usbliter8 与 2019 年里程碑漏洞 checkm8 对标：后者是影响 A5~A11 全系列芯片、无法通过软件补丁修复的 SecureROM 永久漏洞。和 checkm8 一致，usbliter8 需要物理接触设备并切入 DFU 模式，但它将这类永久不可修复的底层漏洞覆盖到更新一代 A12、A13 芯片。当年 checkm8 衍生出大量越狱方案、设备取证工具、自定义引导环境；研究人员判断 usbliter8 会为新一代苹果设备带来同类应用场景。

风险分析与处置建议

普通个人用户面临的实际风险有限：攻击者必须获取实体设备、专用配套线材，且掌握强制进入 DFU 模式的操作方法，日常场景下攻击门槛较高。但对于企业安全运维、政府机构、搭载涉密业务的设备而言，该漏洞属于高危重大隐患 —— 传统物理边界防护机制完全失效。处置建议：全面盘点所有承载敏感业务的 A12/A13/S4/S5 设备；加快设备更新换代，统一替换 A14 及更新机型；制定严格管理规范，管控 DFU 模式启用与不可信 USB 接入行为；将设备实体保管纳入核心安全管控措施，而非普通行政事项。当前完整利用代码已对外公开，研究演示工具极易被黑产二次改造用于实战攻击。

报告结尾总结：“新一代芯片已修复该底层硬件缺陷，但所有受影响的 A12、A13 设备，在其整个服役周期内都无法根除该漏洞。对于长期跟进 iPhone 漏洞利用与越狱技术的从业者，本次研究再次提醒：BootROM 底层固件仍暗藏未被挖掘的安全隐患。”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑猫安全 鹏鹏同学 鹏鹏同学《usbliter8：针对苹果 A12、A13 芯片设备推出无法修复的 BootROM 漏洞利用工具》