Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 21.06.2026 · 5 min Lesezeit

usbliter8: Unpatchbare BootROM-Lücke in Apple A12/A13-Chips

Paradigm Shift veröffentlicht usbliter8-Exploit gegen Apple A12/A13 SecureROM. Kein Software-Patch möglich.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
usbliter8 Exploit Apple A12 A13 SecureROM

Sicherheitsforscher von Paradigm Shift haben einen Exploit namens "usbliter8" veröffentlicht, der beliebige Code-Ausführung in der SecureROM von Apple A12- und A13-Chips ermöglicht. Der Code ist fest in das Silizium eingebrannt und kann durch kein Software-Update repariert werden. Betroffene Geräte behalten die Schwachstelle für ihre gesamte Lebensdauer. Der vollständige technische Bericht und ein funktionierender Proof-of-Concept wurden am 18. Juni 2026 nach koordinierter Offenlegung mit Apple Product Security veröffentlicht.

Technischer Hintergrund

Die Wurzel des Problems ist ein Hardware-Fehler im Synopsys DWC2 USB-Controller, der in Millionen von Geräten verbaut ist. Der Controller speichert eingehende USB-Setup-Pakete per DMA (Direct Memory Access), puffert bis zu drei Pakete und setzt dann seinen Schreibzeiger zurück, indem er ihn um feste 24 Bytes dekrementiert. Gleichzeitig akzeptiert er kleinere Pakete als den USB-Standard und erhöht den Zeiger nur um die tatsächlich geschriebenen Bytes.

Diese Diskrepanz summiert sich zu einem wiederholbaren Buffer-Underflow: Der Schreibzeiger bewegt sich rückwärts durch den Speicher, zwölf Bytes pro Durchlauf. Was diesen Fehler auf A12 und A13 ausnutzbar macht, ist die Konfiguration des USB-DART (Device Address Resolution Table, die IOMMU des Chips) in der SecureROM. Apple betreibt den DART auf diesen Chips im Bypass-Modus, sodass der underflowende DMA-Zeiger auf beliebige SRAM-Bereiche zugreifen und diese überschreiben kann.

Auf A11 ist die Schwachstelle nicht ausnutzbar, weil der USB-Treiber die DMA-Adresse nach jedem Paket manuell zurücksetzt und der DART korrekt konfiguriert ist. Auf A14 und neueren Chips ist der DART ebenfalls korrekt konfiguriert, sodass der Exploit dort nicht funktioniert. Der Fehler liegt also in einer Kombination aus generischem Hardware-Design (DWC2-Controller) und herstellerspezifischer Konfiguration (Apple DART-Bypass).

Ablauf des Exploits

Der Angriff erfordert physischen Zugriff auf das Zielgerät. Das Gerät muss sich im DFU-Modus (Device Firmware Update) befinden, der über eine spezielle Tastenkombination beim Start erreicht wird. Über USB wird ein spezielles RP2350-basiertes Mikrocontroller-Board angeschlossen, das die präparierten USB-Pakete sendet. Der Exploit ist in unter zwei Sekunden abgeschlossen – noch bevor die signierte Boot-Kette von Apple geladen wird.

Auf A12 liegt der DMA-Puffer neben dem Stack des USB-Tasks auf dem Heap. Das Überschreiben eines gespeicherten Link-Registers gibt dem Angreifer bei nächstem Kontextwechsel die vollständige Kontrolle über den Programmzähler. Auf A13 ist die Situation komplexer: Pointer Authentication (PAC) schützt Stack-Adressen vor Manipulation durch kryptografische Signaturen. Paradigm Shift umgeht diesen Schutz jedoch in einem mehrstufigen Verfahren durch Korrumpierung DART-bezogener Heap-Strukturen, was letztlich zur Kompromittierung der USB-Interrupt-Handler-Logik führt.

Betroffene Geräte

Der öffentliche Proof-of-Concept unterstützt A12, A13, S4 und S5 SoCs. A12X und A12Z sind theoretisch möglich, aber im veröffentlichten PoC noch nicht implementiert. Die vollständige Liste betroffener Gerätefamilien:

  1. iPhone: XS, XS Max, XR (A12), 11, 11 Pro, 11 Pro Max (A13), SE (2. Generation, A13)
  2. iPad: Air (3. Generation, A12), mini (5. Generation, A12), iPad (8. Generation, A12)
  3. Apple Watch: Series 4 (S4), Series 5 (S5), SE (1. Generation, S5)
  4. Weitere: HomePod mini (A12), Apple-TV-Modelle und Studio Display mit betroffenen Chips

Die Liste zeigt, dass das Thema nicht nur die Smartphone-Flotte betrifft, sondern auch IoT-nahe Endpunkte wie die Apple Watch und den HomePod mini, die in Unternehmensumgebungen häufig über MDM-Policies nur teilweise abgesichert sind.

Secure Enclave und checkm8-Vergleich

Ein wichtiger Differenzierungspunkt: Die Secure Enclave wird nach Angaben der Forscher nicht direkt kompromittiert. Passcodes und verschlüsselte Nutzerdaten sind nicht automatisch gefährdet, nur weil der Boot-Prozess manipuliert wurde. Allerdings könnte die Kontrolle auf BootROM-Ebene neue Angriffswege auf die Secure Enclave eröffnen, was Paradigm Shift in ihrem Bericht als mögliche Weiterentwicklung andeutet.

Der nächste öffentliche Vorläufer ist checkm8, der 2019 von axi0mX veröffentlichte SecureROM-Exploit für A5- bis A11-Geräte. Wie checkm8 erfordert auch usbliter8 physischen Zugriff und DFU-Modus und kann durch kein Firmware-Update geschlossen werden. usbliter8 erweitert diesen Zustand nun auf die nächste Chip-Generation. Die Parallelen sind deutlich: Nach der Veröffentlichung von checkm8 entstanden innerhalb weniger Monate Jailbreak-Tools wie checkra1n, die später auch für andere Zwecke weiterentwickelt wurden. Ein ähnlicher Baukasten-Effekt ist auch für usbliter8 zu erwarten.

Risikobewertung für Unternehmen

Zum Stand 19. Juni 2026 wurden noch keine CVE-Nummer, kein CVSS-Score und kein Apple Security Advisory veröffentlicht. Auch eine Ausnutzung in freier Wildbahn wurde bislang nicht gemeldet. Für die meisten Nutzer ist das praktische Risiko gering: Ein Angreifer benötigt das physische Gerät, ein spezielles RP2350-Mikrocontroller-Board und das Wissen, um den DFU-Modus zu erzwingen. Der Exploit ist kein Remote-Angriff und kann nicht über das Internet ausgeführt werden.

Für Unternehmen mit verwalteten Geräteflotten und Hochsicherheitsanforderungen ist die Lage jedoch ernster. Weil der Fehler auf Hardware-Ebene liegt und nicht patchbar ist, müssen organisatorische und physische Kontrollen greifen:

  1. Hardware-Inventarisierung: Alle Geräte mit A12-, A13-, S4- und S5-Chips in sensiblen Rollen erfassen. Das betrifft nicht nur iPhones, sondern auch Apple Watches, iPads und den HomePod mini in Besprechungsräumen.
  2. Migration einplanen: Austausch gegen A14 oder neuere Hardware als mittelfristiges Projekt anlegen. Geräte mit betroffenen Chips sollten aus Hochsicherheitsumgebungen entfernt werden.
  3. Physische Zugriffskontrolle: Device-Custody-Richtlinien verschärfen. DFU-Modus über nicht vertrauenswürdige USB-Kabel oder Hosts vermeiden. In sensiblen Bereichen sollten USB-Anschlüsse physisch blockiert oder überwacht werden.
  4. MDM-Überprüfung: Inventar in MDM-Systemen (Intune, Jamf, Workspace ONE) auf betroffene Modelle prüfen und entsprechende Compliance-Regeln definieren.
  5. Überwachung: Ungewöhnliche DFU-Modus-Ereignisse in MDM-Protokollen und USB-Event-Logs überwachen.

Der Proof-of-Concept ist öffentlich auf GitHub verfügbar. Wie die checkm8-Geschichte gezeigt hat, entstehen aus solchen Veröffentlichungen schnell Werkzeuge, die über den ursprünglichen Forschungszweck hinaus weiterentwickelt werden. Für Admins zählt jetzt vor allem die Bestandsaufnahme und eine langfristige Hardware-Migrationsstrategie. Die gute Nachricht: A14 und neuere Chips sind nicht betroffen, sodass ein Upgrade-Pfad existiert.

Quellen

  1. The Hacker News: Unpatchable usbliter8 Exploit Breaks Apple A12 and A13 SecureROM Boot Chain
  2. IT BOLTWISE: usbliter8 - Unpatchbare BootROM-Lücke bei Apple A12/A13
Verwandt

Weiter lesen

Alle Artikel →
Nightmare Eclipse Sicherheitsnews Grafik mit Zero Day Warnung, beschädigtem Microsoft Schutzschild, Lupe und dunkler Cybersecurity Atmosphäre vor Server Hintergrund
20.06.2026 ·4 min

Nightmare Eclipse: Der Zero-Day-Forscher, der Microsoft seit Monaten vorführt

Seit März 2026 veröffentlicht Nightmare Eclipse regelmäßig Exploits für ungepatchte Microsoft-Lücken – immer dienstags, immer am Patchday. Sechs Zero-Days, eine MSRC-Kontroverse und kein Ende in Sicht.
Microsoft Defender Warnmeldung zur RoguePlanet-Lücke CVE-2026-50656 mit beschädigtem Schutzschild, Serverumgebung und ausstehendem Patch Status in moderner Cybersecurity News Grafik
20.06.2026 ·4 min

Gentlemen Ransomware: EDR-Killer deaktivieren Sicherheitssoftware von 48 Herstellern

Eine Sicherheitsverletzung bei der Marktintelligenz-Plattform Klue hat zur Kompromittierung von Salesforce-Umgebungen mehrerer Unternehmen geführt. Die als Icarus bekannte Erpressergruppe erbeutete über einen kompromittierten Legacy-Zugang OAuth-Tokens und extrahierte umfangreiche CRM-Daten.
IT News Grafik zum Klue OAuth Breach: Icarus-Gruppe stiehlt Salesforce-Daten über kompromittierte OAuth-Integration
20.06.2026 ·4 min

Klue OAuth-Breach: Icarus-Gruppe stiehlt Salesforce-Daten über kompromittierte Integration

Eine Sicherheitsverletzung bei der Marktintelligenz-Plattform Klue hat zur Kompromittierung von Salesforce-Umgebungen mehrerer Unternehmen geführt. Die als Icarus bekannte Erpressergruppe erbeutete über einen kompromittierten Legacy-Zugang OAuth-Tokens und extrahierte umfangreiche CRM-Daten.