En upatchbar BootROM-sårbarhed rammer iPhone XS, XR og iPhone 11-serien. Fejlen sidder i chippen og kan ikke rettes med software — heller ikke af Apple.
Foto: Cristian Lopez / Unsplash
En upatchbar sikkerhedsfejl i Apples A12- og A13-chips rammer millioner af iPhones — og Apple kan aldrig rette den. Sikkerhedsfirmaet Paradigm Shift offentliggjorde den 18. juni 2026 tekniske detaljer om sårbarheden, der er døbt usbliter8. Fejlen sidder i selve chipkoden og kan ikke løses via en software-opdatering — hverken nu eller i fremtiden.
usbliter8 er en BootROM-sårbarhed — også kaldet en SecureROM-fejl. BootROM er den allerførste kode, en iPhone kører, når den tændes. Den er fysisk indbrændt i chippen under produktionen og kan aldrig ændres efterfølgende. Finder man en fejl her, er den permanent.
Ifølge 9to5Mac udnytter exploitet en hardware-fejl i USB-controlleren kombineret med en konfigurationsfejl i chipmikrofirmwaren. Angrebet fungerer ved at sende specialkonstruerede USB-data til enheden, mens den er i DFU-tilstand (Device Firmware Update). Det forvirrer USB-controlleren til at skrive data til den forkerte del af hukommelsen — og det giver en angriber kontrol over enhedens opstartsproces.
Konkret betyder det, at en angriber kan køre sin egen kode, inden iOS overhovedet loader. Signaturkontroller kan omgås, og modificeret systemsoftware kan startes på enheden.
Sårbarheden rammer et bredt udvalg af Apple-enheder:
Paradigm Shift antyder, at A12X- og A12Z-modeller — brugt i iPad Pro fra 2018 og 2020 — potentielt også kan rammes, men understøttelse af disse er endnu ikke implementeret i den publicerede version af exploiten.
Her er det vigtigt at skelne mellem, hvad der teknisk er muligt, og hvad der reelt udgør en risiko for den gennemsnitlige bruger.
Det afgørende begrænsende krav er: fysisk adgang. Exploiten kræver, at en angriber har din telefon i hånden og kan tilslutte en USB-kabel, mens enheden sættes i DFU-tilstand. Det er ikke et angreb, der kan udføres trådløst, via e-mail eller ved at besøge en hjemmeside. Det kræver, at nogen har fat i din telefon.
Derudover er der det gode nyheder, at Secure Enclave — den del af chippen, der opbevarer krypterede data som adgangskoder, biometriske data og betalingskort — ifølge Paradigm Shift ikke kompromitteres direkte. Dine adgangskoder og krypterede brugerdata er altså stadig beskyttet.
Det er dog ikke en fuldkommen beroligelse. Paradigm Shifts egne forskere bemærker, at exploiten "åbner bredere angrebsvektorer mod Secure Enclave" — med andre ord: den er en bro til yderligere angreb, selv om den ikke er et direkte gennembrud i sig selv.
Apple har ikke kommenteret usbliter8-sårbarhedens tilstedeværelse eller planerne fremad. Da fejlen sidder i hardware, er der ingen softwareopdatering, Apple kan levere. Alle berørte enheder vil leve med denne sårbarhed, så længe de er i brug.
Paradigm Shifts anbefalede løsning er klar: "Berørte brugere bør være opmærksomme på, at opgradering til nyere hardware er den mest effektive afhjælpning."
Hvis du bruger en iPhone XS, XR eller iPhone 11-serie og ønsker at eliminere risikoen fuldstændigt, er svaret altså at skifte til en iPhone 12 eller nyere — udstyret med A14-chip eller nyere, der ikke er ramt. Har du en Apple Watch Series 4 eller Series 5, er en opgradering til Series 6 eller nyere tilsvarende.
Det bør nævnes, at BootROM-exploits i Apples univers historisk har haft en dobbelt funktion: de er dels et sikkerhedsproblem, dels hvad jailbreak-fællesskabet kalder en "nøgle til fri tilpasning". Exploiten checkm8 fra 2019 udnyttede en tilsvarende hardware-fejl i A5–A11-chips og er stadig i brug i dag. usbliter8 er i essens en udvidelse af det princip til A12- og A13-generationerne.
For den gennemsnitlige bruger er det uinteressant. For dem der ønsker fuld softwarekontrol over deres enhed — eksempelvis til sikkerhedsforskning — åbner usbliter8 en ny dør.
usbliter8 er en alvorlig teknisk sårbarhed, men dens reelle risiko for de fleste brugere er begrænset af kravet om fysisk adgang. Du risikerer ikke at blive ramt af exploiten blot ved at bruge din telefon normalt. Den udgør dog en reel trussel i situationer, hvor nogen midlertidigt kan få fat i din enhed — og den kan aldrig lappes.
For iPhone XS-, XR- og 11-serie-ejere er budskabet klart: den sikreste løsning er på sigt at skifte til nyere hardware. Resten er god cyberhygiejne — hold din telefon tæt og lad ikke fremmede tilslutte USB-kabler.
Bob Iger bekræfter: Disney og Apple havde reelle fusionssamtaler. Apple viste ikke nok interesse. Hvad ville det ellers have ændret for tech og streaming?
15. juni 2026·4 min læsning
Google Audio Memory til Pixel 10 lytter til samtaler og musik hele dagen. Behandling sker on-device — men funktionen vækker alvorlig privatlivsdebat.
15. juni 2026·5 min læsning
UK-domstol godkender iCloud-retssag mod Apple. 40 millioner brugere søger 3 mia. pund — ca. 28 mia. kr. Apple afviser alle anklagerne om cloud-monopol.
15. juni 2026·4 min læsning