Exploit unpatchable usbliter8 quebra a SecureROM dos chips Apple A12 e A13 e marca o fim do perimetro de confianca em hardware de iPhones XS a 11 Pro Max
Pesquisadores da Paradigm Shift publicaram em 18 de junho um exploit funcional que executa codigo arbitrario dentro do SecureROM dos SoCs Apple A12 e A13. Por residir em silicio, a falha nao tem patch possivel: iPhones XS a 11 Pro Max, iPads, Apple Watch S4/S5 e HomePod mini ficam permanentemente fora do perimetro de confianca da Apple.
Pesquisadores da Paradigm Shift publicaram em 18 de junho um exploit funcional chamado usbliter8 que obtem execucao arbitraria de codigo dentro do SecureROM dos chips Apple A12 e A13. Por residir em silicio (codigo gravado na fabrica), a falha nao pode ser corrigida por atualizacao de software: dispositivos afetados, do iPhone XS ao iPhone 11 Pro Max, alem de iPad Air 3a geracao, iPad mini 5, Apple Watch Series 4/5, HomePod mini e Apple TV HD, permanecerao vulneraveis enquanto estiverem em uso. O ataque exige posse fisica e modo DFU, mas conclui em menos de dois segundos.
O que aconteceu
Apos disclosure coordenado com a Apple Product Security, a Paradigm Shift liberou em 18 de junho de 2026 o write-up tecnico completo e o codigo de proof-of-concept de um exploit que quebra a cadeia de confianca de boot dos SoCs Apple A12 e A13. Batizado de usbliter8, o ataque chega ao nivel EL1 (modo privilegiado do chip) dentro da propria SecureROM, area de codigo nao gravavel e responsavel por validar tudo o que carrega em seguida no boot.
A comparacao publica obrigatoria e com o checkm8 de 2019, exploit que tirou A5 ate A11 do alcance dos patches da Apple e sustentou anos de jailbreaks e forense ofensiva. usbliter8 estende a mesma condicao a geracao seguinte de hardware: dispositivos com A12 e A13 saem definitivamente do perimetro de confianca defensiva da Apple, mesmo que o iOS instalado esteja totalmente atualizado.
O PoC publico cobre A12, A13, S4 e S5; suporte a A12X e A12Z e descrito como teoricamente possivel mas ainda nao implementado. A11 nao e afetado (driver USB redefine o ponteiro DMA a cada pacote), e A14 em diante esta fora do alcance porque a Apple corrigiu a configuracao do IOMMU.
Detalhes da vulnerabilidade
A raiz tecnica esta em um defeito do controlador USB Synopsys DWC2: ele armazena pacotes USB Setup via DMA, mantem buffer de tres pacotes, e na quarta entrada decrementa o ponteiro de escrita por 24 bytes fixos. Como o controlador tambem aceita pacotes menores que o padrao (incrementando o ponteiro apenas pelos bytes efetivamente escritos), a discrepancia acumula um buffer underflow repetivel que caminha para tras pela memoria, 12 bytes por vez.
O que torna o defeito explorabilidade em A12 e A13 e a configuracao do DART (Device Address Resolution Table, o IOMMU do chip) dentro da SecureROM: ele opera em modo bypass, permitindo que o ponteiro DMA, ao retroceder, alcance e sobrescreva SRAM arbitraria. Em A12, o buffer DMA esta adjacente ao stack da tarefa USB, e sobrescrever o link register salvo entrega controle do program counter no proximo context switch.
A13 e mais dificil: o Pointer Authentication (PAC) protege enderecos de retorno na stack. A Paradigm Shift contornou isso em etapas â corromper estruturas heap relacionadas ao DART para criar primitivos de escrita limitados, sobrescrever o contador de profundidade de panico para que o chip entrasse em loop ao inves de reiniciar, e finalmente sobrescrever o ponteiro do USB interrupt handler em BSS. A proxima interrupcao USB executa codigo do atacante.
“O codigo e publico. E geralmente assim que pesquisa de exploit deixa de ser uma demonstracao e passa a ser ferramenta de outra pessoa.”
Paradigm Shift
Pos-exploit, o usbliter8 injeta um handler customizado de requisicoes USB, marca a serial USB do dispositivo com a string PWND:[usbliter8] e habilita carregar imagens iBoot brutas e nao assinadas. O Secure Enclave permanece, em teoria, um perimetro separado: os pesquisadores nao demonstram seu comprometimento, mas alertam que controle no nivel da BootROM abre rotas novas para ataca-lo.
Quem e afetado
- iPhone XS, XS Max, XR (A12)
- iPhone 11, 11 Pro, 11 Pro Max (A13)
- iPhone SE 2a geracao (A13)
- iPad Air 3a geracao, iPad mini 5a geracao, iPad 8a geracao (A12)
- Apple Watch Series 4 e 5 (S4 e S5)
- Apple Watch SE 1a geracao (S5)
- HomePod mini (S5) e Apple TV HD
- Outros produtos Apple construidos sobre esses SoCs
Ate 19 de junho de 2026 nao havia CVE atribuido, nem score CVSS, advisory oficial da Apple ou alerta CISA, e nenhuma exploracao in-the-wild publicamente reportada. Para usuario final, o risco pratico e baixo: o ataque exige posse fisica, hardware especifico (placa baseada no microcontrolador RP2350) e conhecimento para forcar DFU. Para ambientes de alta seguranca, a equacao muda: passa a ser problema permanente de custodia de dispositivo.
Analise
Em termos puramente tecnicos, usbliter8 e o herdeiro natural do checkm8. A diferenca relevante e de contexto: em 2019, ainda havia menor expectativa social e regulatoria sobre o que um aparelho com Secure Boot deve garantir. Em 2026, com biometria, autoridades de chaves moveis, integracao com sistemas financeiros, prontuarios medicos e identidades governamentais (no Brasil, GOV.BR, Carteira de Identidade Nacional Digital, e-Titulo), o significado de uma perda permanente de confianca em hardware e muito maior.
Outro ponto: o mercado forense ofensivo (Cellebrite, Grayshift/Magnet, NSO entre outros) provavelmente ja tinha capacidades semelhantes em circuito fechado. A liberacao publica democratiza, padroniza e reduz custo, transformando capacidade antes restrita em commodity. Para advogados, equipes de inteligencia corporativa, ONGs, jornalistas e funcionarios publicos com aparelhos antigos da Apple, o calculo de risco mudou em 18 de junho.
Para o Brasil, ha implicacao especifica: muito do parque instalado de iPhones em uso no pais ainda esta nessa faixa (XS, XR, 11, SE 2a geracao), por preco e disponibilidade no varejo. Departamentos publicos, gabinetes parlamentares, judiciario, policia, e organizacoes da sociedade civil que ainda mantem esses aparelhos como dispositivos secundarios ou alocados a estagiarios ja precisam revisar politicas de custodia, especialmente em fronteiras, postos de fiscalizacao e apreensoes.
Recomendacoes praticas
- Inventarie hardware Apple com A12, A13, S4 e S5 em uso em funcoes sensiveis
- Acelere refresh de aparelhos para A14 ou mais novo nesses cenarios
- Para alvos de alto risco (jornalistas, defensores de direitos humanos, executivos, autoridades), considerar substituicao imediata por hardware mais recente ou Pixel com GrapheneOS
- Evite conectar dispositivos afetados a portas USB nao confiaveis (lounges, transportes, fronteiras, salas de espera)
- Nao deixe dispositivos vulneraveis fisicamente desacompanhados em viagens internacionais
- Em caso de apreensao ou perda temporaria, trate o aparelho como comprometido: rotacionar senhas, revogar dispositivo de MFA, limpar caches de credenciais corporativas
- Politica de custodia: equipes juridicas, RH e seguranca devem alinhar procedimentos para casos de aparelhos extraviados
- Para defensores em geral, monitorar surgimento de CVE oficial e advisory da Apple, ja que CISA pode adicionar a falha ao KEV
Fonte: The Hacker News
