Beveiligingsonderzoekers van Paradigm Shift hebben een werkende exploit, genaamd usbliter8, gepubliceerd die willekeurige code-uitvoering mogelijk maakt binnen de SecureROM van Apple's A12- en A13-chips. Deze code is in de hardware ingebrand tijdens de productie, waardoor geen software-update deze kwetsbaarheid kan verhelpen. Apparaten met deze chips blijven hierdoor kwetsbaar zolang ze in gebruik zijn.

De aanval vereist fysieke toegang tot het apparaat, dat in DFU-modus moet staan en via USB verbonden moet zijn met een speciaal ontwikkelde RP2350-microcontroller. Met deze opstelling voltooit de exploit zich in minder dan twee seconden, nog voordat de door Apple ondertekende bootketen wordt geladen. De volledige technische beschrijving en een werkend bewijs van concept werden op 18 juni 2026 openbaar gemaakt, na een gecoördineerde melding aan Apple Product Security.

De exploit ondersteunt momenteel A12, A13, S4 en S5 SoC’s. Onder andere iPhone XS, XS Max, XR, iPhone 11-serie, iPhone SE (2e generatie), iPad Air 3, iPad mini 5, iPad 8, Apple Watch Series 4 en 5, eerste generatie Apple Watch SE en HomePod mini vallen binnen het bereik van deze kwetsbaarheid. A11-chips zijn niet getroffen en A14 en latere chips lijken niet kwetsbaar via deze aanvalsmethode.

De kern van het probleem ligt in een hardwarefout in de Synopsys DWC2 USB-controller, die een bufferonderloop veroorzaakt door een fout in de DMA-pointerbeheer. Apple’s configuratie van de USB DART (Device Address Resolution Table) in SecureROM op de getroffen chips maakt het mogelijk dat deze onderloop leidt tot overschrijven van willekeurige SRAM. Dit is niet het geval bij A11 of latere chips, waar de DMA-adressen anders worden beheerd.

Op A12-chips kan de exploit de stack overschrijven om de controle over de programmateller te verkrijgen. Bij A13 is dit complexer door Pointer Authentication (PAC), maar Paradigm Shift wist dit in meerdere stappen te omzeilen, onder andere door het manipuleren van heapstructuren en het overschrijven van interrupt handlers. Uiteindelijk leidt dit tot uitvoering van kwaadaardige code op EL1, de hoogste privilege-modus binnen SecureROM.

Na succesvolle exploitatie injecteert usbliter8 een aangepaste USB-request handler en markeert het apparaat met een speciale USB-seriecode. Hiermee kan een aanvaller tijdelijk de productiemodus van de SoC verlagen of een ongecontroleerde, niet-ondertekende iBoot-image laden, waarmee de Apple chain of trust wordt omzeild. Er is geen bewijs dat de Secure Enclave zelf wordt gecompromitteerd, maar controle op BootROM-niveau kan nieuwe aanvalsmogelijkheden openen.

Er is geen softwarepatch mogelijk voor deze kwetsbaarheid. De situatie doet denken aan de checkm8-exploit uit 2019, die ook onpatchbare toegang gaf tot oudere Apple-chips. Meer technische details en het bewijs van concept zijn beschikbaar via de technische beschrijving en de proof of concept.