I ricercatori di Paradigm Shift hanno reso pubblico il 18 giugno 2026 usbliter8, un exploit funzionante e non sanabile via software che ottiene esecuzione arbitraria nel SecureROM dei chip Apple A12 e A13. La vulnerabilità risiede nel controller USB Synopsys DWC2 e nella configurazione errata dell'IOMMU DART, permettendo corruzione DMA con accesso fisico e dispositivo in modalità DFU. Il codice proof-of-concept è già su GitHub.
- L'exploit usbliter8 colpisce il SecureROM di Apple A12, A13, S4 e S5: codice in silicio non modificabile dopo la fabbricazione.
- La causa è un bug hardware nel controller USB Synopsys DWC2 che genera DMA underflow, combinato con DART in bypass mode che espone la SRAM.
- Su A12 la corruzione sovrascrive il link register salvato; su A13 richiede bypass multi-stadio del Pointer Authentication (PAC).
- L'esecuzione avviene a livello EL1 (privilegiato) nel SecureROM in meno di due secondi, prima del caricamento della boot chain firmata da Apple.
Il meccanismo: come un pacchetto USB corrompe il SecureROM
Il controller USB Synopsys DWC2 gestisce i pacchetti di setup memorizzandoli via DMA in un buffer circolare. Secondo la ricerca di Paradigm Shift, il controller accumula fino a tre pacchetti, poi resetta il puntatore di scrittura decrementando di 24 byte al quarto. Se il pacchetto in ingresso è più piccolo del previsto, il controller incrementa il puntatore solo dei byte effettivamente scritti: il mismatch produce un underflow ripetibile, con il puntatore che arretra di 12 byte per iterazione.
Su A12 e A13 il DART — l'IOMMU interno del chip — gira in bypass mode. Il puntatore DMA fuoriuscito dal buffer può quindi raggiungere e sovrascrivere SRAM arbitraria. Su A12 il buffer DMA è adiacente allo stack del task USB nell'heap: sovrascrivendo il link register salvato, l'attaccante ottiene il controllo del program counter al prossimo context switch. Su A13 il PAC protegge gli indirizzi di ritorno, rendendo necessaria una catena più complessa: corruzione di strutture heap DART, sovrascrittura del panic depth counter per evitare reboot, sincronizzazione temporizzata delle scritture DMA, infine sovrascrittura del puntatore al gestore interrupt USB nella sezione BSS.
"The final step overwrote the USB interrupt handler pointer in BSS. The next USB interrupt then ran attacker-supplied code. Either path ends with execution at EL1, the chip's privileged mode, inside SecureROM." — The Hacker News sulla ricerca Paradigm Shift
Perché A12 e A13: la generazione di mezzo
La distribuzione della vulnerabilità traccia un confine netto tra generazioni di silicio Apple. A11 non è interessato: il driver USB ripristina manualmente l'indirizzo DMA dopo ogni pacchetto, neutralizzando la condizione di underflow. A14 e successivi configurano correttamente DART, rendendo l'exploit non percorribile indipendentemente dal bug del controller Synopsys. A12 e A13 restano nella zona cieca — abbastanza nuovi per non aver ereditato il workaround software di A11, abbastanza vecchi per non beneficiare della correzione hardware di A14.
Secondo 9to5Mac e MacRumors, i dispositivi interessati comprendono iPhone XS/XR e serie 11, iPad Air 3, iPad mini 5, iPad ottava e nona generazione, Apple Watch Series 4/5/SE prima generazione, HomePod mini, Studio Display e Apple TV 4K seconda generazione. A12X e A12Z sono teoricamente vulnerabili ma non implementati nel PoC attuale.
Le capacità post-exploitation e i limiti dell'attacco
L'esecuzione EL1 nel SecureROM consente due operazioni critiche: la demozione temporanea del SoC dalla production mode e l'avvio di immagini iBoot non firmate, aggirando i controlli di firma della catena di trust Apple. Questo posiziona usbliter8 in continuità con checkm8, l'exploit BootROM di axi0mX del 2019 per dispositivi A5-A11, ma estende la superficie a una generazione di chip successiva.
Il Secure Enclave — il coprocessore separato che gestisce dati biometrici — non è direttamente compromesso dall'exploit. Secondo la fonte, i ricercatori di Paradigm Shift hanno tuttavia segnalato che il controllo del BootROM "opens up wider attack vectors to compromise the Secure Enclave". Allo stato attuale, questo rimane un percorso teorico non documentato.
L'attacco richiede accesso fisico al dispositivo, connessione USB a una scheda microcontrollore basata su RP2350, e posizionamento in DFU mode. Non è un vettore remoto. Il PoC ha accumulato oltre 280 stelle su GitHub nelle ore successive alla pubblicazione.
Cosa fare adesso
Per gli utenti con dispositivi A12 o A13, le opzioni sono vincolate dalla natura hardware della falla. Il SecureROM è scritto in silicio alla fabbrica; nessun aggiornamento iOS o iPadOS può modificarlo. I ricercatori di Paradigm Shift, citati da 9to5Mac, indicano che "migrating to newer hardware remains the most effective mitigation".
Le organizzazioni che impiegano dispositivi A12/A13 in ruoli sensibili — giornalisti sotto sorveglianza, attivisti, personale diplomatico — devono rivalutare il modello di minaccia. Il controllo fisico del dispositivo non è più sufficiente a garantire integrità della boot chain. Il brief non documenta se Apple emetterà un CVE, un punteggio CVSS o un advisory di sicurezza formale per questa falla hardware. Non risulta, al 19 giugno 2026, alcun avviso CISA o altra comunicazione istituzionale su gestione di flotte governative o enterprise.
Per l'utente generale, il rischio pratico resta limitato dalla necessità di accesso fisico, ma i confini di fiducia nel mercato dell'usato e nella rivendita di hardware enterprise si spostano. Il codice proof-of-concept è pubblico: come ha riportato The Hacker News, "The code is public. That is usually how exploit research stops being a demo and starts being someone else's tool."
Domande frequenti
Può Apple correggere usbliter8 con un aggiornamento?
No. La vulnerabilità risiede nel SecureROM, codice permanente in silicio. Apple non può modificarlo via software. Solo l'acquisizione di hardware A14 o successivi elimina la superficie di attacco.
Il mio iPhone 11 è a rischio se non lo perdo di mano?
L'exploit richiede accesso fisico, DFU mode e attrezzatura dedicata. Il brief non documenta vettori remoti né exploitation in-the-wild. Il rischio diretto per l'utente che mantiene il controllo fisico del dispositivo è basso, ma la compromissione è possibile in scenari di accesso fisico non autorizzato.
Cosa differenzia usbliter8 da checkm8?
Entrambi colpiscono il BootROM/SecureROM in modo unpatchabile, ma checkm8 interessa A5-A11 mentre usbliter8 estende la capacità a A12 e A13. Su A13 l'exploit affronta inoltre la complessità aggiunta del Pointer Authentication, assente nelle generazioni precedenti.
Fonti
- https://thehackernews.com/2026/06/unpatchable-usbliter8-exploit-breaks.html
- https://9to5mac.com/2026/06/18/new-unpatchable-exploit-targets-apple-devices-with-a12-and-a13-chips/
- https://appleinsider.com/articles/26/06/18/a12-a13-apple-devices-face-an-unpatchable-securerom-vulnerability
- https://www.macrumors.com/2026/06/18/a12-and-a13-chips-facing-exploit/
- https://apple.gadgethacks.com/news/unpatchable-iphone-exploit-a12-a13-chips-usbliter8-explained/
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.
Fonti
- https://thehackernews.com/
- https://thehackernews.com/p/upcoming-hacker-news-webinars.html
- https://thehackernews.com/search/label/Threat%20Intelligence
- https://thehackernews.com/search/label/Vulnerability
- https://thehackernews.com/search/label/Cyber%20Attack