iPhone-Sicherheit: Nicht patchbarer Chip-Fehler in A12/ A13 entdeckt
20.06.2026 - 12:53:35 | boerse-global.de
Der iPhone-Konzern veröffentlicht Notfall-Updates für iOS und Zubehör – doch ein alter Chip-Fehler lässt sich nicht reparieren.
Der „usbliter8"-Exploit: Ein permanentes Risiko
Am 18. Juni 2026 veröffentlichte die Sicherheitsfirma Paradigm Shift Details zu „usbliter8", einem nicht patchbaren BootROM-Exploit. Es handelt sich um den ersten derartigen Angriff auf iPhones seit dem checkm8-Exploit aus dem Jahr 2019. Die Ursache liegt in einem Hardware-Fehler im Synopsys DWC2 USB-Controller der A12- und A13-Bionic-Chips.
Viele iPhone-Nutzer übersehen nach dem Update diese gefährliche Einstellung. Ein Apple-Experte erklärt im kostenlosen Ratgeber, wie Sie Ihre Daten und Ihre Privatsphäre mit wenigen Klicks wirklich schützen. Sichere iOS-Updates: Kostenlosen Ratgeber herunterladen
Der Fehler betrifft eine DMA-Pufferunterläufigkeit oder eine fehlende Bereichsprüfung im SecureROM. Dadurch lässt sich Code über USB ausführen, sobald sich das Gerät im DFU-Modus (Device Firmware Upgrade) befindet. Bei A12-Chips wird die Stack-Rückgabeadresse überschrieben, bei A13-Chips nutzen die Forscher einen mehrstufigen Angriff, um die Pointer Authentication Codes (PAC) zu umgehen.
Betroffen ist eine breite Palette an Geräten:
- iPhone XR, XS und 11-Serie sowie das iPhone SE der zweiten Generation
- iPad Air (dritte Generation), iPad mini (fünfte Generation), iPad (8. und 9. Generation)
- Apple Watch Series 4, 5 und SE
- HomePod mini und Apple TV 4K (zweite Generation)
Der Exploit erfordert physischen Zugriff auf das Gerät sowie einen Mikrocontroller wie einen Raspberry Pi oder RP2350. Zwar ermöglicht er das Booten nicht signierter Software und das Herabsetzen von Sicherheitseinstellungen, doch die Secure Enclave bleibt geschützt. Nach einem Neustart wird der injizierte Code gelöscht.
Die praktische Gefahr für die meisten Nutzer bleibt gering – doch eine Software-Lösung gibt es nicht. Wer das Risiko vollständig ausschließen will, muss auf Geräte mit A14-Chips oder neuer umsteigen. Diese sind durch Apples neuere DART-Technologie (Device Address Resolution Table) geschützt.
Dringendes iOS-Update: WebKit-Sandbox geknackt
Parallel zu den Hardware-Enthüllungen veröffentlichte Apple am 20. Juni 2026 iOS 18.3.2. Der Patch schließt eine kritische Sicherheitslücke mit der Kennung CVE-2025-24201. Der Fehler steckt in der WebKit-Engine und könnte Angreifern erlauben, aus der Web-Content-Sandbox auszubrechen.
Sicherheitsexperten raten zur sofortigen Installation. Besonders gefährdet sind Nutzer, die noch eine Version vor iOS 17.2 verwenden.
Weitere Sicherheitsdokumentationen vom Juni 2026 zeigen zusätzliche Korrekturen für macOS, iOS, iPadOS und watchOS:
- CVE-2025-30468: Ein Fehler, der Siri den Zugriff auf private Browser-Tabs ermöglichte
- CVE-2025-31271: FaceTime-Anrufe konnten auf gesperrten Geräten getätigt werden
- CVE-2025-6965: Eine Speicherkorruptionslücke in SQLite
Beats Studio Buds: Mikrofon-Spionage verhindert
Am 19. Juni 2026 veröffentlichte Apple ein Pflicht-Update (Version 1B211) für die Beats Studio Buds. Die Forscher Dennis Heinze und Frieder Steinmetz von der ERNW GmbH entdeckten CVE-2025-20701 – eine Schwachstelle in den Airoha-Bluetooth-Komponenten. Sie erlaubte Angreifern in Reichweite, das Mikrofon nicht gekoppelter Ohrhörer zu aktivieren.
Zwei weitere Lücken (CVE-2025-20700 und CVE-2025-20702) hätten unbefugte Verbindungsübernahmen und Speicherzugriffe ermöglicht. Das Firmware-Update installiert sich automatisch, sobald die Ohrhörer mit einem Apple-Gerät verbunden sind.
Neue Phishing-Welle: „Apple High Alert"
Neben den technischen Schwachstellen warnen Sicherheitsdienste vor einer neuen Social-Engineering-Kampagne namens „Apple High Alert". Anders als die Hardware-Exploits setzt diese auf Phishing, um Anmeldedaten und Zahlungsinformationen zu stehlen.
Hacker nutzen gezielt psychologische Schwachstellen aus, um über gefälschte Nachrichten an Ihre Daten zu gelangen. Dieser kostenlose Report enthüllt aktuelle Methoden der Cyberkriminellen und zeigt Ihnen, wie Sie Betrugsversuche sofort entlarven. Jetzt Anti-Phishing-Paket gratis sichern
Nutzer berichten zudem von iCloud-Speicher-Betrugsmails. Die gefälschten Nachrichten behaupten, Konten seien gesperrt oder Zahlungsmethoden abgelaufen. Sicherheitsexperten raten zur Vorsicht bei ungewöhnlichen Absender-Domains und Rechtschreibfehlern. Denn diese Betrugsmaschen umgehen technische Sicherheitsmaßnahmen, indem sie Nutzer dazu bringen, auf schädliche Links zu klicken.
