В июне 2026 года группа исследователей безопасности под названием Paradigm Shift опубликовала рабочий эксплойт usbliter8 с открытым исходным кодом. Это не теоретическая уязвимость и не концепт на бумаге: код работает, проверен на реальных устройствах и доступен всем желающим. Ситуация неприятная по одной конкретной причине: брешь находится в SecureROM — том самом куске кода, который намертво вшит в кремний при производстве и не поддаётся никакому обновлению.
Прецедент уже был. В 2019 году исследователь под псевдонимом axi0mX выпустил checkm8 — аналогичный эксплойт для чипов A5–A11. Тогда Apple тоже не смогла ничего сделать патчем, потому что уязвимость жила в «железе». usbliter8 идёт по той же логике, но уже бьёт по следующему поколению: чипам A12, A13, S4 и S5. Под удар попали iPhone XS, XS Max, XR, iPhone 11, 11 Pro, 11 Pro Max, iPhone SE второго поколения, планшеты iPad Air третьего поколения, iPad mini пятого поколения, iPad восьмого поколения, часы Apple Watch Series 4, Series 5, Apple Watch SE первого поколения и HomePod mini.
Корень проблемы — контроллер Synopsys DWC2 USB и то, как Apple настроила свою реализацию IOMMU под названием DART (Device Address Resolution Table). Внутри SecureROM на A12/A13 DART работает в режиме Bypass Mode: адреса DMA-записей идут напрямую в физическую память без какой-либо трансляции или защиты. Это и стало фатальной деталью.
Сам баг выглядит так: DMA-движок контроллера буферизует входящие USB Setup-пакеты, вмещая до трёх штук. При получении четвёртого пакета указатель записи не перемещается вперёд и не сбрасывается в начало, а уменьшается ровно на 24 байта. Если при этом подавать пакеты короче стандартного размера, указатель сдвигается назад только на фактически записанные байты. Расхождение накапливается итерация за итерацией — каждые 12 байт шаг назад. Поскольку DART не ограничивает адреса DMA, указатель в итоге уходит в произвольную область SRAM, перезаписывая то, что там лежит.
На A11 этот трюк не работает: USB-драйвер вручную сбрасывает DMA-адрес после каждого пакета, накопление расхождения просто невозможно. На A14 и всех последующих чипах DART настроен корректно, без Bypass Mode, то есть DMA-записи физически ограничены. Именно поэтому в таблице затронутых устройств нет ничего новее iPhone 11.
Для A12 путь к выполнению кода прямой: DMA-буфер лежит рядом со стеком задачи USB на куче, перезапись сохранённого Link Register (LR) происходит при очередном переключении контекста, и управление передаётся на код атакующего. Уровень исполнения — EL1 (Exception Level 1), привилегированный режим ARMv8-A. На всё это уходит меньше двух секунд, до того как загружается подписанная цепочка загрузки Apple.
На A13 сложнее: стековые адреса защищены PAC (Pointer Authentication Codes) — механизмом подписи указателей из ARMv8.3. Paradigm Shift обходит это в несколько этапов. Сначала портятся heap-структуры, связанные с DART, что даёт ограниченные примитивы записи. Затем перезаписывается счётчик глубины паники — чип начинает зацикливаться на ошибках вместо перезагрузки, что нужно для стабильной отладки. После этого, с выверенным таймингом DMA-записей, перезаписывается указатель USB Interrupt Handler в сегменте BSS. При следующем USB-прерывании процессор прыгает на код атакующего.
Что можно сделать после получения контроля? Список конкретный:
[]Временно перевести SoC из Production Mode в режим без аппаратных блокировок.
[]Загрузить произвольный, неподписанный образ iBoot без каких-либо проверок подписи.
Цепочка доверия Apple при этом обходится полностью. Secure Enclave исследователи не трогали — он живёт в отдельном домене защиты — однако сами предупреждают: контроль над BootROM теоретически открывает новые пути к атаке на Secure Enclave в будущем.
Для атаки нужен физический доступ к устройству, перевод его в DFU Mode (Device Firmware Upgrade) и подключение к специальной плате на базе микроконтроллера RP2350 (плата от Raspberry Pi). Без этих условий эксплойт не запустится. По состоянию на 19 июня 2026 года</b> ни CVE, ни CVSS-оценки, ни advisory от Apple, ни предупреждения CISA нет. Случаев использования в реальных атаках не зафиксировано.
Для рядового владельца iPhone 11 реальный риск невысок — злоумышленнику нужно заполучить телефон в руки и иметь при себе специализированное железо. Другое дело — корпоративная и государственная среда. Там устройства на A12/A13 в чувствительных ролях теперь представляют постоянную проблему: физическая граница безопасности исчезла навсегда, и никакой патч это не изменит. Таким окружениям стоит провести инвентаризацию всего оборудования на этих чипах, ускорить переход на A14 и новее, жёстче контролировать физический доступ к устройствам и избегать DFU-операций через ненадёжные USB-кабели и хосты. Код эксплойта публичен, а значит путь от исследовательского PoC до готового инструмента для третьих сторон теперь открыт.
Прецедент уже был. В 2019 году исследователь под псевдонимом axi0mX выпустил checkm8 — аналогичный эксплойт для чипов A5–A11. Тогда Apple тоже не смогла ничего сделать патчем, потому что уязвимость жила в «железе». usbliter8 идёт по той же логике, но уже бьёт по следующему поколению: чипам A12, A13, S4 и S5. Под удар попали iPhone XS, XS Max, XR, iPhone 11, 11 Pro, 11 Pro Max, iPhone SE второго поколения, планшеты iPad Air третьего поколения, iPad mini пятого поколения, iPad восьмого поколения, часы Apple Watch Series 4, Series 5, Apple Watch SE первого поколения и HomePod mini.
Корень проблемы — контроллер Synopsys DWC2 USB и то, как Apple настроила свою реализацию IOMMU под названием DART (Device Address Resolution Table). Внутри SecureROM на A12/A13 DART работает в режиме Bypass Mode: адреса DMA-записей идут напрямую в физическую память без какой-либо трансляции или защиты. Это и стало фатальной деталью.
Сам баг выглядит так: DMA-движок контроллера буферизует входящие USB Setup-пакеты, вмещая до трёх штук. При получении четвёртого пакета указатель записи не перемещается вперёд и не сбрасывается в начало, а уменьшается ровно на 24 байта. Если при этом подавать пакеты короче стандартного размера, указатель сдвигается назад только на фактически записанные байты. Расхождение накапливается итерация за итерацией — каждые 12 байт шаг назад. Поскольку DART не ограничивает адреса DMA, указатель в итоге уходит в произвольную область SRAM, перезаписывая то, что там лежит.
На A11 этот трюк не работает: USB-драйвер вручную сбрасывает DMA-адрес после каждого пакета, накопление расхождения просто невозможно. На A14 и всех последующих чипах DART настроен корректно, без Bypass Mode, то есть DMA-записи физически ограничены. Именно поэтому в таблице затронутых устройств нет ничего новее iPhone 11.
Для A12 путь к выполнению кода прямой: DMA-буфер лежит рядом со стеком задачи USB на куче, перезапись сохранённого Link Register (LR) происходит при очередном переключении контекста, и управление передаётся на код атакующего. Уровень исполнения — EL1 (Exception Level 1), привилегированный режим ARMv8-A. На всё это уходит меньше двух секунд, до того как загружается подписанная цепочка загрузки Apple.
На A13 сложнее: стековые адреса защищены PAC (Pointer Authentication Codes) — механизмом подписи указателей из ARMv8.3. Paradigm Shift обходит это в несколько этапов. Сначала портятся heap-структуры, связанные с DART, что даёт ограниченные примитивы записи. Затем перезаписывается счётчик глубины паники — чип начинает зацикливаться на ошибках вместо перезагрузки, что нужно для стабильной отладки. После этого, с выверенным таймингом DMA-записей, перезаписывается указатель USB Interrupt Handler в сегменте BSS. При следующем USB-прерывании процессор прыгает на код атакующего.
Что можно сделать после получения контроля? Список конкретный:
- []Установить собственный обработчик USB-запросов на постоянной основе.
[]Записать строку
[]Временно перевести SoC из Production Mode в режим без аппаратных блокировок.
[]Загрузить произвольный, неподписанный образ iBoot без каких-либо проверок подписи.
Цепочка доверия Apple при этом обходится полностью. Secure Enclave исследователи не трогали — он живёт в отдельном домене защиты — однако сами предупреждают: контроль над BootROM теоретически открывает новые пути к атаке на Secure Enclave в будущем.
Для атаки нужен физический доступ к устройству, перевод его в DFU Mode (Device Firmware Upgrade) и подключение к специальной плате на базе микроконтроллера RP2350 (плата от Raspberry Pi). Без этих условий эксплойт не запустится. По состоянию на 19 июня 2026 года</b> ни CVE, ни CVSS-оценки, ни advisory от Apple, ни предупреждения CISA нет. Случаев использования в реальных атаках не зафиксировано.
Для рядового владельца iPhone 11 реальный риск невысок — злоумышленнику нужно заполучить телефон в руки и иметь при себе специализированное железо. Другое дело — корпоративная и государственная среда. Там устройства на A12/A13 в чувствительных ролях теперь представляют постоянную проблему: физическая граница безопасности исчезла навсегда, и никакой патч это не изменит. Таким окружениям стоит провести инвентаризацию всего оборудования на этих чипах, ускорить переход на A14 и новее, жёстче контролировать физический доступ к устройствам и избегать DFU-операций через ненадёжные USB-кабели и хосты. Код эксплойта публичен, а значит путь от исследовательского PoC до готового инструмента для третьих сторон теперь открыт.