苹果被曝 “无法修复的永久性”硬件级漏洞，影响所有 iOS 设备

一名 iOS 黑客兼网络安全研究员 axi0mX在推特刚刚公开“无法修复的永久性bootrom 利用”。换句话说，它适用于所有的 iOS 设备，从 iPhone 4S (A5 芯片)到 iPhone 8 和 iPhone X (A11 芯片)，影响数亿台 iOS 设备。

这个利用代码被称为 Checkm8，它利用了苹果 Bootrom （SecureROM）中多个无法修复的弱点。Bootrom 是首个可在iPhone 启动时运行的重要代码，如遭利用可提供更多的系统级别的权限。

这个新的利用代码恰好是在苹果紧急修复另外一个严重的越狱漏洞一个月后发布的。一个月前，苹果修复的这个严重漏洞适用于多款苹果设备，包括运行 iOS 12.4和iOS 12.2 或更早版本的iPhone XS、XS Max 和 XR，以及 2019 iPad Mini 和 iPad Air。

由于 bootrom 利用是硬件级别的问题而且只能通过修改硬件的方式才能解决，因此只是更新软件并无法解决刚刚公开的这个  bootrom 利用。

需要注意的是， Checkm8 利用本身并非针对 Cydia 版的完整越狱，而只是可供研究人员和越狱社区用于开发完全起作用的越狱工具的利用。

Checkm8 利用可用于实现如下功能：

• 通过 alloc8 不受限制的 bootrom漏洞越狱并降级 iPhone 3GS（新的 bootrom）。

• 针对S5L8720设备使用带有steaks4uce利用的遭攻陷的DFU模式。

• 为S5L8920 / S5L8922设备提供了带limera1n利用的遭攻陷的DFU模式。

• 为S5L8930设备提供带SHAtter利用的遭攻陷的DFU模式。

• 在S5L8920 / S5L8922 / S5L8930设备上转储SecureROM。

• 在S5L8920设备上转储NOR。

• 在S5L8920设备上执行NOR闪存操作。

• 使用PID模式的GID或UID密钥在联网设备上加密或解密十六进制数据。

Axi0mX 在 GitHub 上公开发布利用，并表示，“这可能是多年来 iOS 越狱社区最大的新闻了。为了 iOS 越狱和安全研究社区的利益，我现在免费发布我的利用。研究人员和开发人员可用它来转储 SecureROM，通过 AES 引擎解密密钥包并将设备降级以启用 JTAG。不过使用 JTAG，仍然需要更多的硬件和软件支持。”

Axi0mX 表示，自己是在研究苹果在2018年发布的用于修复iRoot USB 代码中的一个严重的释放后使用漏洞时发现这个底层 bootrom 漏洞的。他还表示自己的利用代码无法远程执行，只能通过 USB 且需要物理访问权限才能触发。

这个越狱仅适用于运行苹果 A5 和 A11 芯片集的 iPhone，无法在最新的两种芯片集 A12 和 A13 上起作用。

Axi0mX 发布利用代码的GitHub 地址：https://github.com/axi0mX/ipwndfu