usbliter8 knackt Apples unveränderliche Boot-Kette : Exploit ermöglicht Codeausführung in SecureROM von A12- und A13-Chips
Ein neuer SecureROM-Exploit trifft Apple-Geräte mit A12- und A13-Chips an einer Stelle, die sich nicht nachträglich reparieren lässt: im Silizium selbst. usbliter8 ist kein Angriff aus der Ferne, verschiebt aber die Risikobewertung für ältere Geräte in sensiblen Umgebungen deutlich.
Sicherheitsforscher von Paradigm Shift haben mit usbliter8 einen funktionierenden Exploit veröffentlicht, der beliebigen Code direkt im SecureROM von Apples A12- und A13-Chips ausführen kann. Genau das macht den Fund technisch brisant: SecureROM-Code wird bei der Herstellung in den Chip gebrannt. Er ist damit außerhalb der Reichweite klassischer Software- und Firmware-Updates. Ein betroffenes Gerät bleibt verwundbar, solange es genutzt wird.
Der Angriff ist allerdings kein Massenrisiko über das Netz. Ein Angreifer benötigt physischen Zugriff auf das Gerät, muss es in den Device Firmware Update Mode (DFU) versetzen und per USB mit einer speziellen Mikrocontroller-Platine auf Basis des RP2350 verbinden. Unter diesen Bedingungen läuft der Exploit in weniger als zwei Sekunden durch – noch bevor Apples signierte Boot-Kette greift. Paradigm Shift veröffentlichte die technische Analyse und einen funktionsfähigen Proof of Concept (PoC) am 18. Juni 2026 nach koordinierter Offenlegung gegenüber Apple Product Security.
Welche Geräte betroffen sind
Der öffentliche PoC unterstützt System-on-Chips (SoC) der Reihen A12, A13, S4 und S5. Unterstützung für A12X und A12Z sei theoretisch möglich, aber bislang nicht umgesetzt.
Betroffen sind damit Gerätefamilien wie iPhone XS, XS Max und XR, iPhone 11, 11 Pro und 11 Pro Max, iPhone SE der zweiten Generation, iPad Air der dritten Generation, iPad mini der fünften Generation, iPad der achten Generation, Apple Watch Series 4 und 5, Apple Watch SE der ersten Generation, HomePod mini sowie weitere Produkte mit diesen Chips. A11 ist nicht betroffen. A14 und spätere Chipgenerationen scheinen über diesen Angriffspfad nicht erreichbar zu sein.
Der Fehler sitzt im USB-Controller
Die technische Ursache liegt in einem Hardwarefehler im DWC2-USB-Controller von Synopsys. Dieser Baustein ist dafür zuständig, eingehende USB-Kommandos schon sehr früh beim Start des Geräts entgegenzunehmen. Dafür schreibt er sogenannte USB-Setup-Pakete per Direct Memory Access (DMA) direkt in einen Speicherpuffer. DMA bedeutet: Der Controller darf Daten selbstständig in den Arbeitsspeicher schreiben, ohne dass der Hauptprozessor jeden einzelnen Schritt steuert.
Genau dabei entsteht das Problem. Der Controller kann mehrere solcher Pakete zwischenspeichern. Beim vierten Paket setzt er seinen internen Schreibzeiger zurück, damit wieder Platz im Puffer entsteht. Dieser Rücksprung ist jedoch fest auf 24 Byte eingestellt. Zugleich akzeptiert der Controller auch zu kurze USB-Pakete. Bei solchen Paketen bewegt er den Schreibzeiger nur um die tatsächlich empfangene Datenmenge weiter.
Dadurch geraten zwei Zählweisen auseinander: Beim Vorwärtszählen berücksichtigt der Controller die echte Paketgröße, beim Zurücksetzen geht er aber immer von der festen Standardgröße aus. Wiederholt ein Angreifer dieses Muster gezielt, läuft der Schreibzeiger Schritt für Schritt rückwärts aus dem vorgesehenen Puffer heraus. Die Folge ist ein Pufferunterlauf: Daten landen nicht mehr dort, wo sie hingehören, sondern in benachbarten Speicherbereichen.
Auf Apples A12- und A13-Chips wird dieser Fehler gefährlich, weil die USB Device Address Resolution Table (DART) in dieser frühen Startphase nicht als Schutzbarriere wirkt. DART ist die Ein-/Ausgabespeicherverwaltungseinheit des Chips. Sie soll eigentlich begrenzen, wohin Gerätekomponenten wie der USB-Controller per DMA schreiben dürfen. Im SecureROM der betroffenen Geräte läuft DART jedoch im Bypass-Modus. Der fehlerhafte USB-Schreibvorgang kann deshalb Bereiche des Static Random Access Memory (SRAM) erreichen, die eigentlich geschützt sein müssten.
A11-Geräte sind davon nicht betroffen, weil ihr USB-Treiber die DMA-Adresse nach jedem Paket manuell zurücksetzt. Der fehlerhafte Zeiger kann sich dort also nicht Paket für Paket verschieben. Bei A14 und neueren Chips scheint Apple DART so zu konfigurieren, dass der USB-Controller nicht mehr frei in kritische Speicherbereiche schreiben kann. Paradigm Shift bewertet diesen Angriffspfad auf neuerer Hardware deshalb als nicht ausnutzbar.
Von Speicherfehler zu Codeausführung
Auf A12 liegt der DMA-Puffer direkt neben dem Stack der USB-Aufgabe im Heap. Wird ein gespeichertes Link Register überschrieben, erhält der Angreifer beim nächsten Kontextwechsel Kontrolle über den Program Counter.
A13 ist schwieriger, weil Pointer Authentication (PAC) Rücksprungadressen auf dem Stack schützt. Paradigm Shift umging diesen Schutz schrittweise. Manipulierte DART-Strukturen im Heap lieferten begrenzte Schreibprimitive. Ein überschriebenes Panic-Depth-Counter-Feld sorgte dafür, dass der Chip bei Fehlern nicht neu startet, sondern in einer Schleife bleibt. Präzises DMA-Timing verhinderte, dass gespeicherte Register der USB-Aufgabe zerstört werden.
Am Ende überschrieben die Forscher den Zeiger auf den USB-Interrupt-Handler im Block Started by Symbol (BSS). Der nächste USB-Interrupt führte dadurch Angreifer-Code aus. Beide Wege enden mit Codeausführung auf Exception Level 1 (EL1), also im privilegierten Modus des Chips, innerhalb des SecureROM.
Was ein Angreifer gewinnt
Nach erfolgreicher Ausnutzung injiziert usbliter8 einen eigenen USB-Request-Handler und schreibt „PWND:[usbliter8]“ in die USB-Seriennummer des Geräts. Anschließend kann ein Angreifer den Produktionsmodus des SoC temporär herabstufen oder ein rohes, unsigniertes iBoot-Image ohne Signaturprüfung starten. Damit verlässt das Gerät Apples Vertrauenskette vollständig.
Ein Kompromittieren der Secure Enclave zeigt die Forschung nicht. Apples Secure Enclave ist als eigene Schutzgrenze konzipiert und vom Application Processor isoliert. Paradigm Shift warnt jedoch, dass Kontrolle auf BootROM-Ebene neue Wege für Angriffe auf diese Schutzkomponente eröffnen kann.
Warum es keinen Software-Patch geben kann
Der naheliegende Vergleich ist checkm8, jener SecureROM-Exploit aus dem Jahr 2019, der Apple-Geräte von A5 bis A11 dauerhaft außerhalb der Patch-Kontrolle brachte. Auch usbliter8 benötigt physischen Zugriff und DFU-Modus, lässt sich aber nicht per Firmware schließen. Der neue Exploit erweitert dieses Problem auf die nächste Chipgeneration.
Mit Stand vom 19. Juni 2026 gab es keine Common Vulnerabilities and Exposures (CVE), keine Bewertung nach dem Common Vulnerability Scoring System (CVSS), keine Apple-Sicherheitsmeldung, keine Warnung der Cybersecurity and Infrastructure Security Agency (CISA) und keine öffentlich gemeldete Ausnutzung in realen Angriffen.
Für die meisten Nutzer ist die Gefahr im Alltag begrenzt. Der Angriff funktioniert nicht aus der Ferne und auch nicht einfach über eine manipulierte Webseite, eine Nachricht oder eine App.
Was tun?
Anders sieht es in besonders schutzbedürftigen Umgebungen aus, etwa bei Behörden, Forschungseinrichtungen, kritischen Infrastrukturen oder Unternehmen mit hohem Spionagerisiko. Dort reicht die Aussage „Apple kann das per Update beheben“ nicht aus, denn genau das ist bei einem SecureROM-Fehler nicht möglich. Die betroffenen Geräte müssen deshalb wie dauerhaft verwundbare Hardware behandelt werden.
Praktisch bedeutet das: Organisationen sollten alle Geräte mit A12-, A13-, S4- und S5-Chips erfassen, ihren Einsatz in sensiblen Bereichen prüfen und sie schrittweise durch Modelle mit A14- oder neuerer Hardware ersetzen. Bis dahin sollten solche Geräte besonders streng verwahrt werden. Vor allem der DFU-Modus darf nicht an unbekannten USB-Kabeln, fremden Rechnern oder nicht kontrollierter Service-Hardware genutzt werden.
Dass der Exploit-Code öffentlich verfügbar ist, verschärft die Lage. Was zunächst als Forschungsnachweis beginnt, kann nun von anderen analysiert, angepasst und in eigene Werkzeuge eingebaut werden. Damit steigt nicht automatisch das Risiko für jeden einzelnen Nutzer, aber die Hürde für gezielte Angriffe sinkt.
FAQ: usbliter8 und betroffene Apple-Geräte
Was ist usbliter8?
usbliter8 ist ein SecureROM-Exploit für Apple-Chips der Reihen A12 und A13. Er ermöglicht Codeausführung sehr früh im Boot-Prozess, bevor Apples signierte Boot-Kette greift.
Kann Apple usbliter8 per Update schließen?
Nein. Der Fehler liegt im SecureROM beziehungsweise im Zusammenspiel mit der Hardware. SecureROM-Code wird bei der Herstellung in den Chip gebrannt und kann später nicht wie Software aktualisiert werden.
Ist usbliter8 aus der Ferne ausnutzbar?
Nein. Der Angriff benötigt physischen Zugriff auf das Gerät, den DFU-Modus und spezielle USB-Hardware. Webseiten, Apps oder Nachrichten reichen für diesen Angriff nicht aus.
Welche Geräte sind betroffen?
Betroffen sind Geräte mit A12-, A13-, S4- und S5-Chips, darunter iPhone XS, iPhone XR, iPhone 11, iPhone SE 2, einige iPads, Apple Watch Series 4 und 5 sowie der HomePod mini.
Was sollten Unternehmen tun?
Organisationen sollten betroffene Geräte inventarisieren, ihren Einsatz in sensiblen Bereichen prüfen und sie schrittweise durch Modelle mit A14- oder neuerer Hardware ersetzen. Bis dahin sind strenge physische Kontrolle und kontrollierte USB-Nutzung wichtig.