Sikkerhetsforskere hos Paradigm Shift har meldt om en maskinvaresårbarhet i flere Apple-enheter basert på A12- og A13-brikkene, samt S4- og S5-prosessorene som brukes i bærbar elektronikk. Forskerne har publisert en beskrivelse av problemet og en fungerende prototype av utnyttelsen usbliter8, som retter seg mot SecureROM — den innebygde oppstartskoden som er skrevet direkte inn i prosessoren.
Listen omfatter iPhone XR, iPhone XS, iPhone XS Max, iPhone 11, iPhone 11 Pro, iPhone 11 Pro Max og andre generasjon iPhone SE. Sårbarheten gjelder også tredje generasjon iPad Air, femte generasjon iPad mini og åttende og niende generasjon iPad. Blant bærbare enheter er Apple Watch Series 4, Apple Watch Series 5 og første Apple Watch SE berørt. I tillegg gjelder problemet S5-baserte enheter, inkludert HomePod mini, samt andre generasjon Apple TV 4K med A12 Bionic.
Forskerne understreker at sårbarheten ikke påvirker Secure Enclave, så passord, biometriske data og krypteringsnøkler forblir beskyttet. Utnyttelse krever fysisk tilgang til enheten, ekstra maskinvare og solid teknisk kompetanse, noe som gjør risikoen relativt lav for de fleste brukere.
Paradigm Shift varslet Apple på forhånd, men problemet kan ikke fjernes med en vanlig programvareoppdatering. Feilen ligger i maskinvarekode som ble lagt inn i brikken under produksjonen. Brukere som har særlig strenge sikkerhetskrav, anbefales å vurdere nyere modeller.
Eksperter mener funnet nesten helt sikkert vil vekke interesse i jailbreak-miljøet. For Apple blir saken trolig enda en grunn til å styrke beskyttelsen i fremtidige prosessorgenerasjoner og følge lavnivåkomponenter i oppstarten enda tettere.