Beveiligingsonderzoekers van Paradigm Shift hebben een werkende exploit gepubliceerd, genaamd usbliter8dat willekeurige code-uitvoering mogelijk maakt binnen de SecureROM van Apple’s A12- en A13-chips.
Die code wordt bij de productie in het silicium gebrand. Geen enkele software-update kan dit bereiken. Getroffen apparaten zullen deze fout dragen zolang ze in gebruik blijven.
Dit is geen aanval op afstand. Het vereist fysiek bezit van het apparaat, dat zich in de DFU-modus moet bevinden en via USB moet zijn aangesloten op een speciaal op RP2350 gebaseerd microcontrollerbord. Met deze opzet is de exploit binnen twee seconden voltooid, voordat de ondertekende opstartketen van Apple wordt geladen.
Het volledige technische artikel en een werkende proof of concept werden op 18 juni 2026 openbaar gemaakt, na gecoördineerde openbaarmaking met Apple Product Security.
Betrokken apparaten
De openbare PoC ondersteunt A12-, A13-, S4- en S5-SoC’s. Ondersteuning voor A12X en A12Z wordt beschreven als theoretisch mogelijk, maar nog niet geïmplementeerd.
Apparaatfamilies in dat bereik omvatten de iPhone XS, XS Max en XR; de iPhone 11, 11 Pro, 11 Pro Max; de iPhone SE (2e generatie); de iPad Air 3e generatie, iPad mini 5e generatie en iPad 8e generatie; Apple Watch-serie 4 en 5; de eerste generatie Apple Watch SE; de HomePod mini; en andere Apple-producten die op die chips zijn gebouwd. A11 wordt niet beïnvloed. A14 en later lijken buiten bereik te zijn voor dit exploitpad.
De bug
Het hoofdprobleem is een hardwarefout in de Synopsys DWC2 USB-controller.
De controller slaat binnenkomende USB-installatiepakketten op via DMA, buffert er maximaal drie en reset vervolgens de schrijfaanwijzer op de vierde door deze met een vaste 24 bytes te verlagen. Het accepteert ook pakketten die kleiner zijn dan de standaard, waarbij de pointer alleen wordt verhoogd met de feitelijk geschreven bytes. Deze mismatch stapelt zich op in een herhaalbare buffer-underflow, waardoor de schrijfwijzer met 12 bytes per keer achteruit door het geheugen wordt gestuurd.
Wat dit exploiteerbaar maakt op A12 en A13 is de manier waarop Apple de USB DART (Device Address Resolution Table, de IOMMU van de chip) in SecureROM configureert. Op getroffen apparaten werkt het in de bypass-modus, zodat de onderstromende DMA-aanwijzer willekeurig SRAM kan bereiken en overschrijven.
A11 wordt niet beïnvloed omdat het USB-stuurprogramma het DMA-adres na elk pakket handmatig opnieuw instelt, zodat de mismatch zich nooit ophoopt. A14 en later lijken DART correct te configureren, wat volgens Paradigm Shift de kwetsbaarheid onbruikbaar maakt op nieuwere hardware.
Uitvoering van code verkrijgen
Op A12 bevindt de DMA-buffer zich naast de stapel van de USB-taak op de heap. Het overschrijven van een opgeslagen linkregister geeft de aanvaller de controle over de programmateller bij de volgende contextschakelaar.
A13 is moeilijker. Pointer Authentication (PAC) beschermt in de stapel opgeslagen retouradressen. Paradigm Shift heeft het stapsgewijs omzeild. Corrupte DART-gerelateerde heap-structuren creëerden beperkte schrijfprimitieven. Het overschrijven van de paniekdiepteteller zorgde ervoor dat de chip een lus maakte bij fouten in plaats van opnieuw op te starten. Zorgvuldige DMA-schrijftiming voorkwam dat de opgeslagen registers van de USB-taak werden beschadigd.
Bij de laatste stap werd de USB-interrupthandleraanwijzer in BSS overschreven. De volgende USB-interrupt voerde vervolgens de door de aanvaller geleverde code uit. Beide paden eindigen met uitvoering op EL1, de geprivilegieerde modus van de chip, binnen SecureROM.
Wat een aanvaller krijgt
Na de exploitatie injecteert usbliter8 een aangepaste USB-verzoekhandler en stempelt PWND:(usbliter8) in de seriële USB-reeks van het apparaat. Van daaruit kan een aanvaller tijdelijk de productiemodus van de SoC degraderen of een onbewerkt, niet-ondertekend iBoot-image opstarten zonder handtekeningcontroles, waardoor hij volledig buiten de vertrouwensketen van Apple stapt.
Uit het onderzoek blijkt geen Secure Enclave-compromis. Apple’s Secure Enclave is ontworpen als een afzonderlijke beschermingsgrens, geïsoleerd van de applicatieprocessor. Paradigm Shift waarschuwt dat controle op BootROM-niveau nieuwe routes kan openen voor aanvallen.
Geen softwarepatch
Het dichtstbijzijnde publieke precedent is checkm8, de SecureROM-exploit uit 2019 die A5-tot-A11-apparaten permanent buiten de patchautoriteit van Apple plaatste.
Net als checkm8 vereist usbliter8 fysieke toegang en DFU-modus en kan niet worden afgesloten met een firmware-update. usbliter8 breidt die voorwaarde uit naar de volgende chipgeneratie.
Op 19 juni 2026 waren er geen CVE-, CVSS-score, Apple-beveiligingsadvies of CISA-waarschuwing afgegeven en was er geen openlijke exploitatie publiekelijk gemeld.
Voor de meeste gebruikers is het praktische risico laag: een aanvaller heeft het fysieke apparaat, de juiste kabel en de kennis nodig om de DFU-modus te forceren. Voor omgevingen met een hoog beveiligingsniveau is dit nu een probleem met het buiten gebruik stellen van hardware en het bewaren van apparaten.
Als een apparaat een van de getroffen chips gebruikt, is de fysieke grens definitief verdwenen; veiligheid hangt af van de controle wanneer en waar het apparaat kan worden aangesloten. Inventariseer A12-, A13-, S4- en S5-hardware in gevoelige rollen, geef prioriteit aan vernieuwingen richting A14 of nieuwer en vermijd de DFU-modus boven niet-vertrouwde USB-kabels of hosts.
De code is openbaar. Dat is meestal de manier waarop exploitonderzoek niet langer een demo is, maar het hulpmiddel van iemand anders wordt.
