Säkerhetsforskare på Paradigm Shift har rapporterat en hårdvarusårbarhet i flera Apple-enheter med chippen A12 och A13, samt processorerna S4 och S5 som används i bärbar elektronik. Forskarna har publicerat en beskrivning av problemet och en fungerande prototyp av exploiten usbliter8, som riktar sig mot SecureROM — den inbyggda startkoden som är lagrad direkt i processorn.
På listan finns iPhone XR, iPhone XS, iPhone XS Max, iPhone 11, iPhone 11 Pro, iPhone 11 Pro Max och andra generationens iPhone SE. Sårbarheten berör även tredje generationens iPad Air, femte generationens iPad mini samt åttonde och nionde generationens iPad. Bland bärbara enheter påverkas Apple Watch Series 4, Apple Watch Series 5 och den första Apple Watch SE. Problemet gäller dessutom S5-baserade enheter, inklusive HomePod mini, samt andra generationens Apple TV 4K med A12 Bionic.
Forskarna betonar att sårbarheten inte påverkar Secure Enclave, så lösenord, biometriska data och krypteringsnycklar är fortsatt skyddade. För att utnyttja felet krävs fysisk åtkomst till enheten, extra hårdvara och tydlig teknisk kompetens, vilket gör risken relativt låg för de flesta användare.
Paradigm Shift informerade Apple i förväg, men problemet kan inte stängas med en vanlig mjukvaruuppdatering. Felet finns i hårdvarukod som skrevs in i chipet redan vid tillverkningen. Användare med särskilt höga säkerhetskrav rekommenderas att överväga nyare modeller.
Experter tror att upptäckten nästan säkert kommer att väcka intresse i jailbreak-kretsar. För Apple blir det sannolikt ännu en anledning att stärka skyddet i kommande processorgenerationer och granska lågnivåkomponenter i uppstarten ännu noggrannare.