Los investigadores de seguridad de Paradigm Shift han publicado un exploit funcional, denominado usbliter8que logra la ejecución de código arbitrario dentro de la SecureROM de los chips A12 y A13 de Apple.
Ese código se graba en el silicio durante la fabricación. Ninguna actualización de software puede alcanzarlo. Los dispositivos afectados conservarán este defecto mientras permanezcan en uso.
Este no es un ataque remoto. Requiere posesión física del dispositivo, que debe estar en modo DFU y conectado mediante USB a una placa de microcontrolador dedicada basada en RP2350. Con esa configuración, el exploit finaliza en menos de dos segundos, antes de que se cargue la cadena de arranque firmada por Apple.
El artículo técnico completo y una prueba de concepto funcional se hicieron públicos el 18 de junio de 2026, luego de una divulgación coordinada con Apple Product Security.
Dispositivos afectados
La PoC pública admite SoC A12, A13, S4 y S5. La compatibilidad con A12X y A12Z se describe como teóricamente posible pero aún no implementada.
Las familias de dispositivos en ese rango incluyen iPhone XS, XS Max y XR; el iPhone 11, 11 Pro, 11 Pro Max; el iPhone SE (segunda generación); el iPad Air de 3.ª generación, el iPad mini de 5.ª generación y el iPad de 8.ª generación; Apple Watch Series 4 y 5; el Apple Watch SE de primera generación; el HomePod mini; y otros productos Apple construidos con esos chips. A11 no se ve afectado. A14 y posteriores parecen estar fuera del alcance de esta ruta de explotación.
El error
La raíz del problema es una falla de hardware en el controlador USB Synopsys DWC2.
El controlador almacena los paquetes de configuración USB entrantes a través de DMA, almacena en buffer hasta tres y luego restablece su puntero de escritura en el cuarto disminuyéndolo en 24 bytes fijos. También acepta paquetes más pequeños que los estándar, incrementando el puntero sólo por los bytes reales escritos. Esa falta de coincidencia se acumula en un desbordamiento repetible del búfer, lo que hace que el puntero de escritura retroceda a través de la memoria 12 bytes a la vez.
Lo que hace que esto sea explotable en A12 y A13 es cómo Apple configura el USB DART (Tabla de resolución de direcciones del dispositivo, IOMMU del chip) dentro de SecureROM. En los dispositivos afectados, se ejecuta en modo bypass, por lo que el puntero DMA insuficiente puede alcanzar y sobrescribir SRAM arbitraria.
A11 no se ve afectado porque su controlador USB restablece manualmente la dirección DMA después de cada paquete, por lo que la falta de coincidencia nunca se acumula. A14 y posteriores parecen configurar DART correctamente, lo que, según Paradigm Shift, hace que la vulnerabilidad no se pueda explotar en hardware más nuevo.
Obtener la ejecución del código
En A12, el búfer DMA se encuentra junto a la pila de tareas USB en el montón. Sobrescribir un registro de enlace guardado le da al programa atacante el control del contador en el siguiente cambio de contexto.
A13 es más difícil. La autenticación de puntero (PAC) protege las direcciones de retorno almacenadas en la pila. Paradigm Shift lo pasó por alto por etapas. La corrupción de estructuras de montón relacionadas con DART creó primitivas de escritura limitadas. Al sobrescribir el contador de profundidad del pánico, el chip se repitió ante errores en lugar de reiniciarse. La sincronización cuidadosa de la escritura DMA evitó dañar los registros guardados de la tarea USB.
El último paso sobrescribió el puntero del controlador de interrupciones USB en BSS. La siguiente interrupción del USB ejecutó el código proporcionado por el atacante. Cualquiera de las rutas termina con la ejecución en EL1, el modo privilegiado del chip, dentro de SecureROM.
Lo que obtiene un atacante
Después de la explotación, usbliter8 inyecta un controlador de solicitudes USB personalizado y marca PWND:(usbliter8) en la cadena serie USB del dispositivo. A partir de ahí, un atacante puede degradar temporalmente el modo de producción del SoC o iniciar una imagen de iBoot sin firmar y sin verificación de firma, saliendo por completo de la cadena de confianza de Apple.
La investigación no muestra un compromiso de Secure Enclave. Secure Enclave de Apple está diseñado como un límite de protección independiente, aislado del procesador de aplicaciones. Paradigm Shift advierte que el control a nivel de BootROM puede abrir nuevas rutas para atacarlo.
Sin parche de software
El precedente público más cercano es checkm8, el exploit SecureROM de 2019 que dejó permanentemente los dispositivos A5 a A11 fuera de la autoridad de parches de Apple.
Al igual que checkm8, usbliter8 requiere acceso físico y modo DFU y no se puede cerrar con una actualización de firmware. usbliter8 extiende esa condición a la próxima generación de chips.
Hasta el 19 de junio de 2026, no se había emitido ningún CVE, puntuación CVSS, aviso de seguridad de Apple ni alerta CISA, y no se había informado públicamente de ninguna explotación en estado salvaje.
Para la mayoría de los usuarios, el riesgo práctico es bajo: un atacante necesita el dispositivo físico, el cable adecuado y el conocimiento para forzar el modo DFU. Para entornos de alta seguridad, esto ahora es un problema de retirada de hardware y custodia de dispositivos.
Si un dispositivo ejecuta uno de los chips afectados, el límite físico desaparece permanentemente; la seguridad depende de controlar cuándo y dónde se puede conectar el dispositivo. Haga un inventario del hardware A12, A13, S4 y S5 en roles sensibles, priorice las actualizaciones hacia A14 o más reciente y evite el modo DFU sobre cables o hosts USB que no sean de confianza.
El código es público. Por lo general, así es como la investigación de exploits deja de ser una demostración y comienza a ser la herramienta de otra persona.