【CNMO 科技消息】近日，安全研究机构 Paradigm Shift 披露了一个名为 usbliter8 的硬件级安全漏洞，影响搭载 A12 和 A13 芯片的旧款 iPhone 以及搭载 S4 和 S5 芯片的 Apple Watch。由于该漏洞位于设备启动只读存储器 BootROM 中，苹果无法通过常规软件更新进行修复。

iPhone

BootROM 是 iOS 加载前运行的基础启动代码，负责引导设备和验证后续程序。它被固化在芯片内部，比普通 iOS 漏洞更难修正。苹果通常能通过系统更新修补软件缺陷，但无法重写已出厂设备的 BootROM 代码。

研究人员介绍，usbliter8 利用 iPhone USB 硬件以及部分旧款芯片在启动过程中处理 USB 数据时的弱点实现攻击。当设备处于启动或恢复模式时，攻击者可通过连接计算机或其他 USB 设备发送特制的 USB 数据，干扰 USB 控制器，导致数据被写入内存错误位置，从而在 iOS 完全加载前执行未经授权的代码。

该攻击并非远程漏洞，无法通过网页、短信或应用触发。攻击者必须获得物理 USB 接口权限，即需要将 iPhone 或 Apple Watch 连接到受控的电脑或 USB 设备。

受影响的设备包括：iPhone XR、iPhone XS、iPhone XS Max、iPhone 11、iPhone 11 Pro、iPhone 11 Pro Max 以及第二代 iPhone SE；Apple Watch 方面包括 Apple Watch Series 4、Apple Watch Series 5 和第一代 Apple Watch SE。研究同时指出，在 A13 芯片的设备上利用该漏洞难度更高。

由于该问题属于硬件层面，无法通过软件更新彻底消除风险。用户应避免将旧款 iPhone 或 Apple Watch 连接到未知计算机、公共 USB 端口或不可信的配件。如果对安全性高度关注，更换新款设备可能是更稳妥的选择。