Pesquisadores da equipe Paradigm Shift publicaram o usbliter8, um exploit que quebra a cadeia de inicialização do iPhone Xs, Xr e 11 diretamente no hardware. A falha vive no SecureROM — código gravado no silício durante a fabricação que nenhuma atualização de software consegue alcançar. Aparelhos afetados carregam a vulnerabilidade para sempre, enquanto estiverem em uso.
Resumo: os pontos-chave
- O que é: exploit de BootROM (SecureROM) que executa código arbitrário em chips Apple A12 e A13 antes mesmo do iOS carregar.
- Gravidade: impossível de corrigir via atualização — o código vulnerável está gravado em silício imutável.
- Aparelhos afetados: iPhone Xs, Xs Max, Xr, iPhone 11 (todas as variantes), iPhone SE (2ª geração), iPad Air 3, iPad mini 5, iPad 8ª geração, Apple Watch S4/S5/SE e HomePod mini.
- Pré-requisitos: acesso físico ao aparelho, modo DFU ativo e placa microcontroladora RP2350 conectada via USB.
- Secure Enclave intacto: senhas e dados criptografados não são comprometidos diretamente, mas novos vetores de ataque ficam abertos.
- Mitigação real: migrar para hardware com A14 ou superior. Não existe patch.
Como o usbliter8 funciona
O usbliter8 é um exploit tethered — que requer conexão física por cabo — descrito em um post técnico detalhado publicado em 18 de junho de 2026 pela equipe da Paradigm Shift. O ataque explora duas fraquezas combinadas: um bug de hardware no controlador USB e uma falha de configuração no firmware do chip.
O controlador USB usado pela Apple em seus chips é o DWC2, fabricado pela Synopsys. Esse componente recebe pacotes de dados do host (o computador ou placa conectada) e os armazena na memória via DMA (acesso direto à memória). O bug está na forma como o controlador gerencia o ponteiro de escrita: ao receber quatro pacotes consecutivos de configuração (Setup packets), o controlador reseta o endereço subtraindo 24 bytes fixos. Porém, quando recebe pacotes menores que o padrão de 8 bytes, incrementa o ponteiro apenas pelo tamanho real escrito. Essa divergência acumula um buffer underflow repetível, fazendo o ponteiro de escrita caminhar para trás na memória, 12 bytes de cada vez.
O segundo ingrediente é a forma como a Apple configura o DART — a unidade de gerenciamento de memória (IOMMU) do chip — dentro do SecureROM. Nos A12 e A13, o DART opera em modo bypass, o que significa que o ponteiro DMA descontrolado consegue alcançar e sobrescrever regiões arbitrárias da memória SRAM. Com isso, o atacante obtém controle do contador de programa (program counter) na próxima troca de contexto. O exploit termina com execução de código no nível EL1, o modo privilegiado do processador, dentro do SecureROM.
Segundo a The Hacker News, todo o processo leva entre 0,7 e 1,2 segundos. O código de prova de conceito está disponível publicamente no GitHub da Paradigm Shift, junto com firmware compilado para placas como Raspberry Pi Pico 2 e Waveshare RP2350.
Quais aparelhos estão na mira
O exploit afeta especificamente os chips A12, S4, S5 e A13 da Apple. A lista de dispositivos é ampla e inclui aparelhos que ainda circulam em grande volume no mercado de usados e em operadoras:
| Chip | Aparelhos afetados |
|---|---|
| A12 | iPhone Xs, Xs Max, Xr; iPad Air (3ª geração); iPad mini (5ª geração); iPad (8ª geração) |
| A13 | iPhone 11, 11 Pro, 11 Pro Max; iPhone SE (2ª geração) |
| S4 / S5 | Apple Watch Series 4, Series 5; Apple Watch SE (1ª geração); HomePod mini |
Os chips A12X e A12Z — usados nos iPad Pro de 2018 e 2020 — são teoricamente vulneráveis, mas o suporte ainda não foi implementado pelos pesquisadores. O A11 (iPhone 8 e X) não é afetado porque seu driver USB reinicia o endereço DMA após cada pacote, impedindo o acúmulo. Chips A14 e posteriores configuram o DART corretamente, o que torna o caminho de exploração inviável, segundo a 9to5Mac.
Por que nenhuma atualização resolve
A palavra-chave aqui é imutável. O SecureROM — também chamado de BootROM — é a primeira camada de código que executa quando o aparelho liga. Ele verifica a assinatura de cada componente subsequente antes de delegar o controle, formando a chamada cadeia de confiança (chain of trust). Esse código não é armazenado em flash, mas gravado fisicamente no silício durante a fabricação do chip. Não há mecanismo de atualização: o que saiu da fábrica é permanente.
Isso significa que a Apple não pode lançar um iOS 18.x ou um patch de segurança que corrija o problema. A única solução é destruir fisicamente o chip ou aposentar o aparelho. A Paradigm Shift é direta sobre isso: usuários afetados devem considerar a migração para hardware mais novo como a mitigação mais eficaz. Não existe solução intermediária.
Após a exploração, o usbliter8 injeta um manipulador USB personalizado e marca o aparelho com a string PWND:[usbliter8] no número de série USB. A partir daí, o atacante pode rebaixar o modo de produção do chip ou inicializar uma imagem iBoot sem assinatura, escapando completamente da cadeia de confiança da Apple. Em termos práticos: o aparelho deixa de ser confiável para qualquer verificação de integridade.
De checkm8 a usbliter8
O usbliter8 é o sucessor espiritual do checkm8, o lendário exploit de BootROM publicado em 2019 pelo pesquisador axi0mX. O checkm8 afetou todos os chips da Apple de A5 a A11 — do iPhone 4S ao iPhone X — e provou que o SecureROM não era intocável. Como também era uma falha de hardware, a Apple nunca conseguiu corrigi-la via software. Dispositivos com A5 a A11 continuam vulneráveis até hoje.
O usbliter8 estende essa condição para a próxima geração de chips. Assim como o zero-day RoguePlanet no Microsoft Defender mostrou que mesmo defesas atualizadas caem, o usbliter8 prova que nem o silício é intocável. A diferença técnica principal está na complexidade: o A13 usa PAC (Pointer Authentication Code), um recurso de segurança projetado especificamente para impedir que atacantes redirecionem a execução de código corrompendo endereços de retorno na pilha. A Paradigm Shift contornou o PAC em etapas: corrompendo estruturas de heap relacionadas ao DART para criar primitivas de escrita limitadas, sobrescrevendo o contador de profundidade de pânico para impedir o reinício do chip e sincronizando o tempo das escritas DMA para não destruir registradores salvos. O passo final sobrescreveu o ponteiro do manipulador de interrupção USB em BSS, fazendo a próxima interrupção USB executar código fornecido pelo atacante.
O resultado final é o mesmo: execução no nível EL1 dentro do SecureROM. A cadeia de boot está comprometida e não há volta.
Quem corre risco real
É fundamental dimensionar o risco corretamente. O usbliter8 não é um ataque remoto. Exige posse física do aparelho, o aparelho precisa estar em modo DFU e o atacante precisa de uma placa microcontroladora específica conectada por cabo Lightning. Para o usuário médio, isso significa que o cenário de exploração mais provável envolve roubo do aparelho ou acesso não autorizado em um momento de distração.
O perfil de risco muda drasticamente para jornalistas, ativistas, executivos, profissionais de segurança e qualquer pessoa que carregue informações sensíveis no iPhone. Ameaças que envolvem apreensão de aparelhos em fronteiras, confisco em checkpoints ou simplesmente um cabo USB conectado a um carregador público ganham uma nova dimensão — como já vimos em casos de espionagem documentados em celulares de oficiais. A regra básica de segurança física — nunca deixar o aparelho fora de vista, nunca conectar a um host desconhecido — passa a ser não uma precaução paranoica, mas uma necessidade técnica.
A Paradigm Shift alerta que, embora o usbliter8 não comprometa diretamente o Secure Enclave (SEP) — a região isolada que protege senhas, biometria e chaves de criptografia —, o controle de BootROM abre novos vetores para tentar atacá-lo. O SEP foi projetado como barreira separada, isolada do processador de aplicações. Mas com controle total sobre o processo de inicialização, pesquisadores futuros podem encontrar caminhos.
Inventário e proteção necessária
A recomendação da Paradigm Shift é direta: identifique aparelhos com chips A12, A13, S4 e S5 em funções sensíveis e planeje a substituição por hardware com A14 ou superior. Em ambientes corporativos, isso significa fazer inventário de todos os dispositivos móveis em uso, especialmente aqueles usados por executivos e equipes com acesso a dados confidenciais.
Para aparelhos pessoais que não podem ser substituídos imediatamente, as práticas de mitigação são:
- Nunca conectar o iPhone a um host USB desconhecido ou não confiável, inclusive em aeroportos, cafés e estações de carga pública.
- Usar adaptadores de dados que bloqueiem pinos de dados, permitindo apenas carga elétrica.
- Manter o aparelho sob custódia física constante em situações de risco elevado.
- Considerar a troca para iPhone 12 ou superior quando possível — o chip A14 não é vulnerável a este caminho de exploração. Para segurança de autenticação, vale revisar alternativas modernas como as passkeys que estão substituindo senhas.
Até 19 de junho de 2026, nenhum número de CVE, pontuação CVSS, aviso de segurança da Apple ou alerta da CISA havia sido emitido, e nenhuma exploração em campo havia sido reportada publicamente. Mas o código de prova de conceito está disponível para qualquer pessoa com uma placa de US$ 8 e um cabo Lightning. Como a The Hacker News observa, é assim que pesquisa de exploit deixa de ser demonstração e passa a ser ferramenta de uso geral.
Referências
- Paradigm Shift — Introducing usbliter8 (write-up técnico original)
- The Hacker News — Unpatchable ‘usbliter8’ Exploit Breaks Apple A12 and A13 SecureROM Boot Chain
- 9to5Mac — New unpatchable exploit targets Apple devices with A12 and A13 chips
- GitHub — prdgmshift/usbliter8 (prova de conceito e firmware)