Pesquisadores de segurança da Paradigm Shift publicaram um exploit funcional, batizado de usbliter8, que consegue executar código arbitrário dentro do SecureROM dos chips A12 e A13 da Apple.
Esse código é gravado diretamente no silício durante a fabricação.
Nenhuma atualização de software consegue alcançá-lo.
Assim, os dispositivos afetados carregarão essa falha enquanto estiverem em uso.
Não se trata de um ataque remoto.
É necessário ter posse física do dispositivo, que precisa estar em modo DFU e conectado via USB a uma placa microcontroladora dedicada baseada em RP2350.
Com essa configuração, o exploit é concluído em menos de dois segundos, antes de a cadeia de inicialização assinada da Apple ser carregada.
O detalhamento técnico completo e uma proof of concept funcional foram divulgados em 18 de junho de 2026, após uma divulgação coordenada com a Apple Product Security.
Dispositivos afetados
A prova de conceito pública é compatível com os SoCs A12, A13, S4 e S5.
O suporte aos A12X e A12Z é descrito como teoricamente possível, mas ainda não foi implementado.
Entre os aparelhos dessa faixa estão o iPhone XS, XS Max e XR; o iPhone 11, 11 Pro e 11 Pro Max; o iPhone SE de 2ª geração; o iPad Air de 3ª geração, o iPad mini de 5ª geração e o iPad de 8ª geração; o Apple Watch Series 4 e 5; a primeira geração do Apple Watch SE; o HomePod mini; além de outros produtos da Apple baseados nesses chips.
O A11 não é afetado.
Já o A14 e modelos posteriores parecem estar fora do alcance desse caminho de exploração.
A causa raiz é uma falha de hardware no controlador USB Synopsys DWC2.
O controlador armazena os pacotes USB Setup recebidos por DMA, mantém até três em buffer e, ao receber o quarto, redefine o ponteiro de gravação ao decrementá-lo em 24 bytes fixos.
Ele também aceita pacotes menores do que o padrão, incrementando o ponteiro apenas pelo número real de bytes gravados.
Essa incompatibilidade se acumula até gerar um underflow repetível de buffer, fazendo o ponteiro de gravação recuar pela memória em passos de 12 bytes.
O que torna isso explorável no A12 e no A13 é a forma como a Apple configura o USB DART, o Device Address Resolution Table, que funciona como o IOMMU do chip, dentro do SecureROM.
Nos dispositivos afetados, ele opera em modo de bypass, permitindo que o ponteiro de DMA em underflow alcance e sobrescreva qualquer área da SRAM.
O A11 não é afetado porque seu driver USB redefine manualmente o endereço de DMA após cada pacote, de modo que a incompatibilidade nunca se acumula.
Já o A14 e os modelos posteriores parecem configurar o DART corretamente, o que, segundo a Paradigm Shift, torna a vulnerabilidade inexplotável no hardware mais novo.
No A12, o buffer de DMA fica ao lado da pilha da tarefa USB no heap.
A sobrescrita de um registrador de link salvo entrega ao atacante o controle do contador de programa na próxima troca de contexto.
No A13, o desafio é maior.
O Pointer Authentication, ou PAC, protege os endereços de retorno armazenados na pilha.
A Paradigm Shift contornou isso em etapas.
A corrupção de estruturas do heap relacionadas ao DART criou primitivas limitadas de escrita.
A sobrescrita do contador de profundidade de panic fez o chip entrar em loop diante de erros, em vez de reiniciar.
O ajuste cuidadoso do tempo de gravação por DMA evitou corromper os registradores salvos da tarefa USB.
A etapa final sobrescreveu o ponteiro do manipulador de interrupção USB na BSS.
A próxima interrupção USB então executou código fornecido pelo atacante.
Em ambos os caminhos, a execução termina em EL1, o modo privilegiado do chip, dentro do SecureROM.
Após a exploração, o usbliter8 injeta um manipulador personalizado de requisições USB e grava PWND:[usbliter8] na string serial USB do dispositivo.
A partir daí, um atacante pode rebaixar temporariamente o modo de produção do SoC ou inicializar uma imagem bruta do iBoot sem assinatura, sem nenhuma verificação de assinatura, saindo completamente da cadeia de confiança da Apple.
A pesquisa não mostra comprometimento do Secure Enclave.
O Secure Enclave da Apple foi projetado como um limite de proteção separado, isolado do processador principal.
A Paradigm Shift alerta, porém, que o controle em nível de BootROM pode abrir novos caminhos para atacá-lo.
Sem patch de software
O precedente público mais próximo é o checkm8, o exploit de SecureROM de 2019 que colocou permanentemente os dispositivos A5 até A11 fora do alcance de correções da Apple.
Assim como o checkm8, o usbliter8 exige acesso físico e modo DFU, e não pode ser corrigido com atualização de firmware.
O usbliter8 estende essa condição à próxima geração de chips.
Em 19 de junho de 2026, não havia CVE, pontuação CVSS, comunicado de segurança da Apple nem alerta da CISA, e também não havia relatos públicos de exploração em ambiente real.
Para a maioria dos usuários, o risco prático é baixo, já que o atacante precisa do dispositivo físico, do cabo correto e do conhecimento necessário para forçar o modo DFU.
Para ambientes de alta segurança, o problema agora é de aposentadoria de hardware e de custódia do dispositivo.
Se um aparelho usa um dos chips afetados, a barreira física desaparece de forma permanente.
A proteção passa a depender do controle sobre quando e onde o dispositivo pode ser conectado.
É recomendável mapear o hardware A12, A13, S4 e S5 em funções sensíveis, priorizar a substituição por A14 ou versões mais novas e evitar o modo DFU em cabos USB ou hosts não confiáveis.
O código é público.
E é assim que a pesquisa em exploits normalmente deixa de ser apenas uma demonstração e passa a virar ferramenta nas mãos de terceiros.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...