Exploit unpatchable usbliter8 quebra a SecureROM dos chips Apple A12 e A13 e marca o fim do perimetro de confianca em hardware de iPhones XS a 11 Pro Max

Pesquisadores da Paradigm Shift publicaram em 18 de junho um exploit funcional chamado usbliter8 que obtem execucao arbitraria de codigo dentro do SecureROM dos chips Apple A12 e A13. Por residir em silicio (codigo gravado na fabrica), a falha nao pode ser corrigida por atualizacao de software: dispositivos afetados, do iPhone XS ao iPhone 11 Pro Max, alem de iPad Air 3a geracao, iPad mini 5, Apple Watch Series 4/5, HomePod mini e Apple TV HD, permanecerao vulneraveis enquanto estiverem em uso. O ataque exige posse fisica e modo DFU, mas conclui em menos de dois segundos.

O que aconteceu

Apos disclosure coordenado com a Apple Product Security, a Paradigm Shift liberou em 18 de junho de 2026 o write-up tecnico completo e o codigo de proof-of-concept de um exploit que quebra a cadeia de confianca de boot dos SoCs Apple A12 e A13. Batizado de usbliter8, o ataque chega ao nivel EL1 (modo privilegiado do chip) dentro da propria SecureROM, area de codigo nao gravavel e responsavel por validar tudo o que carrega em seguida no boot.

A comparacao publica obrigatoria e com o checkm8 de 2019, exploit que tirou A5 ate A11 do alcance dos patches da Apple e sustentou anos de jailbreaks e forense ofensiva. usbliter8 estende a mesma condicao a geracao seguinte de hardware: dispositivos com A12 e A13 saem definitivamente do perimetro de confianca defensiva da Apple, mesmo que o iOS instalado esteja totalmente atualizado.

O PoC publico cobre A12, A13, S4 e S5; suporte a A12X e A12Z e descrito como teoricamente possivel mas ainda nao implementado. A11 nao e afetado (driver USB redefine o ponteiro DMA a cada pacote), e A14 em diante esta fora do alcance porque a Apple corrigiu a configuracao do IOMMU.

Detalhes da vulnerabilidade

A raiz tecnica esta em um defeito do controlador USB Synopsys DWC2: ele armazena pacotes USB Setup via DMA, mantem buffer de tres pacotes, e na quarta entrada decrementa o ponteiro de escrita por 24 bytes fixos. Como o controlador tambem aceita pacotes menores que o padrao (incrementando o ponteiro apenas pelos bytes efetivamente escritos), a discrepancia acumula um buffer underflow repetivel que caminha para tras pela memoria, 12 bytes por vez.

O que torna o defeito explorabilidade em A12 e A13 e a configuracao do DART (Device Address Resolution Table, o IOMMU do chip) dentro da SecureROM: ele opera em modo bypass, permitindo que o ponteiro DMA, ao retroceder, alcance e sobrescreva SRAM arbitraria. Em A12, o buffer DMA esta adjacente ao stack da tarefa USB, e sobrescrever o link register salvo entrega controle do program counter no proximo context switch.

A13 e mais dificil: o Pointer Authentication (PAC) protege enderecos de retorno na stack. A Paradigm Shift contornou isso em etapas — corromper estruturas heap relacionadas ao DART para criar primitivos de escrita limitados, sobrescrever o contador de profundidade de panico para que o chip entrasse em loop ao inves de reiniciar, e finalmente sobrescrever o ponteiro do USB interrupt handler em BSS. A proxima interrupcao USB executa codigo do atacante.

“O codigo e publico. E geralmente assim que pesquisa de exploit deixa de ser uma demonstracao e passa a ser ferramenta de outra pessoa.”

Paradigm Shift

Pos-exploit, o usbliter8 injeta um handler customizado de requisicoes USB, marca a serial USB do dispositivo com a string PWND:[usbliter8] e habilita carregar imagens iBoot brutas e nao assinadas. O Secure Enclave permanece, em teoria, um perimetro separado: os pesquisadores nao demonstram seu comprometimento, mas alertam que controle no nivel da BootROM abre rotas novas para ataca-lo.

Quem e afetado

• iPhone XS, XS Max, XR (A12)
• iPhone 11, 11 Pro, 11 Pro Max (A13)
• iPhone SE 2a geracao (A13)
• iPad Air 3a geracao, iPad mini 5a geracao, iPad 8a geracao (A12)
• Apple Watch Series 4 e 5 (S4 e S5)
• Apple Watch SE 1a geracao (S5)
• HomePod mini (S5) e Apple TV HD
• Outros produtos Apple construidos sobre esses SoCs

Ate 19 de junho de 2026 nao havia CVE atribuido, nem score CVSS, advisory oficial da Apple ou alerta CISA, e nenhuma exploracao in-the-wild publicamente reportada. Para usuario final, o risco pratico e baixo: o ataque exige posse fisica, hardware especifico (placa baseada no microcontrolador RP2350) e conhecimento para forcar DFU. Para ambientes de alta seguranca, a equacao muda: passa a ser problema permanente de custodia de dispositivo.

Analise

Em termos puramente tecnicos, usbliter8 e o herdeiro natural do checkm8. A diferenca relevante e de contexto: em 2019, ainda havia menor expectativa social e regulatoria sobre o que um aparelho com Secure Boot deve garantir. Em 2026, com biometria, autoridades de chaves moveis, integracao com sistemas financeiros, prontuarios medicos e identidades governamentais (no Brasil, GOV.BR, Carteira de Identidade Nacional Digital, e-Titulo), o significado de uma perda permanente de confianca em hardware e muito maior.

Outro ponto: o mercado forense ofensivo (Cellebrite, Grayshift/Magnet, NSO entre outros) provavelmente ja tinha capacidades semelhantes em circuito fechado. A liberacao publica democratiza, padroniza e reduz custo, transformando capacidade antes restrita em commodity. Para advogados, equipes de inteligencia corporativa, ONGs, jornalistas e funcionarios publicos com aparelhos antigos da Apple, o calculo de risco mudou em 18 de junho.

Para o Brasil, ha implicacao especifica: muito do parque instalado de iPhones em uso no pais ainda esta nessa faixa (XS, XR, 11, SE 2a geracao), por preco e disponibilidade no varejo. Departamentos publicos, gabinetes parlamentares, judiciario, policia, e organizacoes da sociedade civil que ainda mantem esses aparelhos como dispositivos secundarios ou alocados a estagiarios ja precisam revisar politicas de custodia, especialmente em fronteiras, postos de fiscalizacao e apreensoes.

Recomendacoes praticas

• Inventarie hardware Apple com A12, A13, S4 e S5 em uso em funcoes sensiveis
• Acelere refresh de aparelhos para A14 ou mais novo nesses cenarios
• Para alvos de alto risco (jornalistas, defensores de direitos humanos, executivos, autoridades), considerar substituicao imediata por hardware mais recente ou Pixel com GrapheneOS
• Evite conectar dispositivos afetados a portas USB nao confiaveis (lounges, transportes, fronteiras, salas de espera)
• Nao deixe dispositivos vulneraveis fisicamente desacompanhados em viagens internacionais
• Em caso de apreensao ou perda temporaria, trate o aparelho como comprometido: rotacionar senhas, revogar dispositivo de MFA, limpar caches de credenciais corporativas
• Politica de custodia: equipes juridicas, RH e seguranca devem alinhar procedimentos para casos de aparelhos extraviados
• Para defensores em geral, monitorar surgimento de CVE oficial e advisory da Apple, ja que CISA pode adicionar a falha ao KEV

Fonte: The Hacker News