Los investigadores de seguridad de Paradigm Shift han publicado un exploit funcional llamado usbliter8 que ejecuta código arbitrario dentro de SecureROM de los chips A12 y A13 de Apple.
Ese código se graba en la silicona durante la fabricación. Las actualizaciones de software no pueden alcanzar esto. Los dispositivos afectados tendrán este defecto mientras estén en uso.
Este no es un ataque remoto. Esto requiere posesión física del dispositivo, ponerlo en modo DFU y conectarlo vía USB a una placa de microcontrolador dedicada basada en RP2350. Con esta configuración, el exploit se completa en menos de 2 segundos antes de que se cargue la cadena de arranque firmada por Apple.
Tras una divulgación coordinada con Apple Product Security, el 18 de junio de 2026 se publicó la documentación técnica completa y una prueba de concepto funcional.
Dispositivos afectados
La PoC pública admite SoC A12, A13, S4 y S5. La compatibilidad con A12X y A12Z se describe como teóricamente posible, pero aún no se ha implementado.
La familia de dispositivos de esta gama incluye iPhone XS, XS Max y XR. iPhone 11, 11 Pro, 11 Pro Max. iPhone SE (segunda generación). iPad Air de 3.ª generación, iPad mini de 5.ª generación, iPad de 8.ª generación. Apple Watch Series 4 y 5; Apple Watch SE de primera generación. HomePod mini. y otros productos Apple construidos con esos chips. A11 no se ve afectado. A partir de A14, esta ruta de explotación parece inaccesible.
bicho
El problema subyacente es un defecto de hardware en el controlador USB Synopsys DWC2.
El controlador almacena los paquetes de configuración USB entrantes a través de DMA, almacena en buffer hasta tres, los reduce en 24 bytes fijos y restablece el puntero de escritura en el cuarto. También acepta paquetes más pequeños e incrementa el puntero según los bytes realmente escritos. A medida que se acumula esta discrepancia, se produce un desbordamiento insuficiente del búfer, lo que hace que el puntero de escritura avance hacia atrás a través de la memoria 12 bytes a la vez.
Lo que hace que esto sea explotable en el A12 y el A13 es la forma en que Apple configura el USB DART (tabla de resolución de direcciones del dispositivo, el IOMMU del chip) dentro de SecureROM. Los dispositivos afectados se ejecutan en modo bypass, lo que permite que un puntero DMA de flujo insuficiente alcance y sobrescriba SRAM arbitraria.
A11 no se ve afectado. El controlador USB restablece manualmente la dirección DMA de cada paquete, para que no se acumulen discrepancias. A partir de A14, DART parece estar configurado correctamente y, según Paradigm Shift, esta vulnerabilidad ya no se puede explotar en hardware más nuevo.
Obtener ejecución de código
En A12, el búfer DMA se coloca en el montón adyacente a la pila de tareas USB. Sobrescribir el registro de enlace guardado le da al atacante el control del contador del programa en el siguiente cambio de contexto.
A13 es difícil. La autenticación de puntero (PAC) protege la dirección de retorno almacenada en la pila. Un cambio de paradigma lo evitó gradualmente. La corrupción de las estructuras del montón relacionadas con DART creó primitivas de escritura limitadas. Sobrescribir el contador de profundidad de pánico ahora hace que el chip se repita en caso de error sin reiniciarse. Se evitó la corrupción de registros guardados en tareas USB al sincronizar cuidadosamente las escrituras DMA.
El último paso fue sobrescribir el puntero del controlador de interrupciones USB en BSS. La siguiente interrupción del USB provocó la ejecución del código proporcionado por el atacante. Ambos caminos terminan con la ejecución en EL1, el modo privilegiado del chip en SecureROM.
Lo que gana el atacante
Después de la explotación, usbliter8 inyecta un controlador de solicitudes USB personalizado y marca la cadena de serie USB del dispositivo con PWND:(usbliter8). A partir de ahí, el atacante puede degradar temporalmente el SoC del modo de producción o iniciar una imagen de iBoot sin procesar y sin firmar sin verificar la firma, abandonando por completo la cadena de confianza de Apple.
Esta investigación no indica ningún compromiso del Secure Enclave. Secure Enclave de Apple está diseñado como un límite protector independiente de los procesadores de aplicaciones. Paradigm Shift advierte que el control a nivel de BootROM podría abrir nuevos vectores de ataque.
Sin parches de software
El precedente público más cercano es checkm8, un exploit de SecureROM de 2019 que coloca permanentemente a los dispositivos A5-A11 fuera de los privilegios de parcheo de Apple.
Al igual que checkm8, usbliter8 requiere acceso físico y modo DFU, y no se puede cerrar con una actualización de firmware. usbliter8 extiende ese requisito a la próxima generación de chips.
Hasta el 19 de junio de 2026, no se han emitido CVE, puntuaciones CVSS, avisos de seguridad de Apple ni alertas CISA, y no se han informado públicamente vulnerabilidades reales.
Para la mayoría de los usuarios, el riesgo práctico es bajo. El atacante necesita un dispositivo físico, los cables adecuados y el conocimiento para forzar el modo DFU. Para entornos de alta seguridad, esto ahora es una cuestión de retiro de hardware y almacenamiento de dispositivos.
Si un dispositivo ejecuta uno de los chips afectados, el límite físico se pierde permanentemente. La seguridad proviene de controlar cuándo y dónde se pueden conectar los dispositivos. Haga un inventario del hardware A12, A13, S4 y S5 con funciones confidenciales, priorice las actualizaciones a A14 o posterior y evite el modo DFU con hosts o cables USB que no sean de confianza.
El código está disponible públicamente. Por lo general, así es como la investigación de exploits deja de ser una demostración y comienza a convertirse en una herramienta de otra persona.
Source link
