Beveiligingsonderzoekers van Paradigm Shift hebben een hardwarekwetsbaarheid gemeld in verschillende Apple-apparaten met A12- en A13-chips, plus de S4- en S5-processors voor wearables. De onderzoekers publiceerden een beschrijving van het probleem en een werkend prototype van de exploit usbliter8, die zich richt op SecureROM — de ingebouwde opstartcode die direct in de processor is vastgelegd.
De getroffen lijst omvat iPhone XR, iPhone XS, iPhone XS Max, iPhone 11, iPhone 11 Pro, iPhone 11 Pro Max en de tweede generatie iPhone SE. De kwetsbaarheid raakt ook de derde generatie iPad Air, de vijfde generatie iPad mini en de achtste en negende generatie iPad. Bij wearables gaat het om Apple Watch Series 4, Apple Watch Series 5 en de eerste Apple Watch SE. Daarnaast geldt het probleem voor apparaten op basis van S5, waaronder HomePod mini, en voor de tweede generatie Apple TV 4K met A12 Bionic.
De onderzoekers benadrukken dat de kwetsbaarheid Secure Enclave niet raakt, waardoor wachtwoorden, biometrische gegevens en encryptiesleutels beschermd blijven. Misbruik vereist fysieke toegang tot het apparaat, extra hardware en de nodige technische kennis, zodat het risico voor de meeste gebruikers relatief laag blijft.
Paradigm Shift waarschuwde Apple vooraf, maar het probleem kan niet met een gewone software-update worden verholpen. De fout zit in hardwarecode die al tijdens de productie in de chip is vastgelegd. Gebruikers voor wie apparaatbeveiliging extra belangrijk is, krijgen het advies om nieuwere modellen te overwegen.
Experts verwachten dat de ontdekking vrijwel zeker aandacht zal trekken binnen de jailbreakgemeenschap. Voor Apple wordt dit waarschijnlijk nog een reden om toekomstige processorgeneraties beter te beveiligen en low-level onderdelen van het opstartproces strenger te controleren.