蘋果驚現(xiàn)史上最嚴(yán)重漏洞：真相太過驚人

原標(biāo)題：蘋果驚現(xiàn)史上最嚴(yán)重漏洞：真相太過驚人

這幾天有關(guān)于iPhone最熱門的話題莫過于這個(gè)新的checkm8漏洞了，漏洞發(fā)現(xiàn)人axi0mX在宣布自己研究發(fā)現(xiàn)的Tweet里面直接用了史詩級(jí)（EPIC）這個(gè)單詞來描述這個(gè)漏洞，為什么呢？主要有三大理由。

硬件漏洞，無法修復(fù)

checkm8漏洞存在于A系列芯片的BootROM中，換句話說它的位置是在硬件中，而這塊區(qū)域是只讀的，不可通過軟件手段進(jìn)行寫入，這也就意味著這個(gè)漏洞是不能通過軟件手段進(jìn)行修復(fù)的。

而大家知道之前Intel CPU上面的幽靈和熔斷兩大硬件漏洞卻可以被修復(fù)，為什么呢？

checkm8這個(gè)漏洞是BootROM里面存放的軟件代碼中的漏洞，屬于軟件范疇，而恰恰這塊區(qū)域是只讀的，制造時(shí)候一次性寫入，連蘋果自己也不能在寫入后修改的。而Intel CPU的漏洞屬于硬件設(shè)計(jì)問題，其實(shí)也沒有辦法修復(fù)，在老的處理器上面只是通過微碼和操作系統(tǒng)更新來進(jìn)行了規(guī)避，本質(zhì)上并沒有完全修復(fù)掉。而蘋果能不能在系統(tǒng)中采取一些規(guī)制手段呢？可以，但是作用很小。我們回頭看一下那些被發(fā)現(xiàn)存有BootROM漏洞的設(shè)備都怎么樣了：

Nintendo Switch

老版本的NS上面是有一個(gè)BootROM漏洞的，這個(gè)是NVIDIA的Tegra X1芯片帶過來的，而這也是離我們最近的一款影響范圍比較大并且有BootROM漏洞的設(shè)備，它存在于所有使用T210芯片的老款NS之上。而它能夠干什么大家都已經(jīng)知道了，破解NS的系統(tǒng)還只是一個(gè)方面，用它來把NS變成一個(gè)Android設(shè)備或者運(yùn)行Linux都不是什么難題。

而任天堂在新款NS上面通過新制程的新版Tegra X1修復(fù)掉了這個(gè)漏洞。

Apple A4

在iPod touch 3以及其他所有使用Apple A4芯片的設(shè)備上都存在一個(gè)BootROM漏洞，由天才小子ghohot（題外話，這人現(xiàn)在做自動(dòng)駕駛汽車去了）發(fā)現(xiàn)，并且成功利用它結(jié)合iOS系統(tǒng)本身的漏洞做出了完美越獄。而這個(gè)漏洞使得iPhone 4等使用Apple A4的設(shè)備在iOS 6時(shí)代仍然是首批能夠進(jìn)行越獄的設(shè)備。

而3GS上面存有的另一個(gè)BootROM漏洞則是讓蘋果直接推出了新款3GS，在硬件上修復(fù)了漏洞，不過后來就再也沒這么干過了。

洞穿iOS安全啟動(dòng)鏈源頭

iOS用了一套安全啟動(dòng)鏈的機(jī)制來保證iOS不被輕易篡改，在Apple自制的一系列A系列SoC中有一塊存儲(chǔ)區(qū)域?qū)ｉT存放了一部分最初的啟動(dòng)代碼，也就是俗稱的BootROM，這部分被Apple稱之為SecureROM，它是在電源鍵被按下，設(shè)備上電之后最初加載的代碼。SecureROM檢查下一級(jí)Bootloader，也就是Low Level Bootloader（LLB），如果簽名沒有問題，那么就加載并初始化LLB，此時(shí)設(shè)備的Apple Logo就出現(xiàn)了。然后LLB檢查并初始化iBoot，同樣是通過Apple Root CA Public證書驗(yàn)證簽名，驗(yàn)證通過就會(huì)把設(shè)備帶給iBoot，而iBoot會(huì)映射Device Tree，然后驗(yàn)證內(nèi)核簽名并加載，最終初始化內(nèi)核并運(yùn)行，這時(shí)候可以說iOS系統(tǒng)已經(jīng)啟動(dòng)了。

這里要補(bǔ)充的是，LLB只存在于使用A9及之前的iOS設(shè)備上，從A10開始已經(jīng)沒有LLB了，BootROM直接把設(shè)備交給iBoot，也就是iOS設(shè)備的主要Bootloader。

可以看到Apple這套安全啟動(dòng)鏈的核心機(jī)制就是使用證書簽名驗(yàn)證機(jī)制，在前一級(jí)驗(yàn)證后一級(jí)的完整性來確保安全。而現(xiàn)在，在第一級(jí)Bootloader上面存在就有漏洞，并且可以被利用，那么可以說整個(gè)安全啟動(dòng)鏈就已經(jīng)失效了。

題外話，其實(shí)這種安全啟動(dòng)鏈在PC平臺(tái)和Android平臺(tái)上面同樣存在，不過可能實(shí)現(xiàn)形式有所不同。單論從iPhone 4S到iPhone X這期間的iPhone銷量就已經(jīng)是一個(gè)非?？植赖臄?shù)字了，再加上iPad這個(gè)銷量也不俗的平板設(shè)備和陪襯的iPod touch，算它幾個(gè)億，不過分吧。幾個(gè)億的設(shè)備上存有這個(gè)漏洞，可能已經(jīng)是史上影響范圍最為廣泛的硬件漏洞之一了，堪比當(dāng)年Intel處理器中的幽靈和熔斷兩大硬件漏洞。

漏洞的局限之處

以上三點(diǎn)已經(jīng)足以讓checkm8成為一個(gè)史詩級(jí)的漏洞，但它還是有很多局限之處的，首先，想要利用這個(gè)漏洞首先還是要通過USB有線連接，不能在手機(jī)端直接操作或者通過遠(yuǎn)程命令來執(zhí)行。其次，想要達(dá)成無需引導(dǎo)越獄（也就是常說的完美越獄）還需要iOS系統(tǒng)上面的漏洞配合完成，單靠這個(gè)漏洞只能達(dá)成需引導(dǎo)越獄（也就是常說的非完美越獄），目前這個(gè)漏洞還只是黑客用來對(duì)iOS設(shè)備進(jìn)行研究的一個(gè)渠道。還有用戶也不用擔(dān)心自己的一些核心機(jī)密數(shù)據(jù)可以被讀取到，像Touch ID、Face ID還有NFC信用卡數(shù)據(jù)都是存放于另外一個(gè)區(qū)域中的——蘋果處理器中有一塊類似于ARM Trustzone的區(qū)域用來存放這些敏感數(shù)據(jù)，至今還沒有曝出泄露。

總之，iOS越獄這個(gè)帶有反抗蘋果色彩的行為離徹底消亡還太過于早，它可能會(huì)沉寂，可能會(huì)淡出人們的視線，但黑客精神永遠(yuǎn)鼓動(dòng)著世界上成千上萬的黑客、白帽子等等極客們對(duì)這個(gè)封閉的平臺(tái)進(jìn)行分析研究，向蘋果發(fā)起挑戰(zhàn)，黑客精神不滅，它就不會(huì)死。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。