usbliter8: Kritische Hardware-Lücke in Millionen Apple-Geräten
Veröffentlicht: 12.07.2026 um 10:13 Uhr, Redaktion boerse-global.de
Die Lücke namens „usbliter8“ sitzt im SecureROM und dem USB-Controller Synopsys DWC2. Da der Fehler tief in der Hardware verankert ist, lässt er sich nicht per Software-Update beheben.
Physischer Zugriff nötig
Die Schwachstelle erlaubt die Ausführung von beliebigem Code. Voraussetzung: Ein Angreifer muss während eines Firmware-Updates physischen Zugriff über USB haben. Weil der Fehler im Festwertspeicher (ROM) des Prozessors liegt, kann Apple keine digitalen Korrekturen nachliefern.
Betroffen sind Geräte mit den Chips A12, A13, S4 und S5. Dazu gehören die iPhones der 11er-Serie, die Baureihen XR, XS und XS Max sowie das iPhone SE der zweiten Generation. Auch verschiedene iPads sind anfällig: das iPad Air der dritten Generation, das iPad mini 5 und die iPad-Pro-Modelle von 2018 und 2020.
Bei den Wearables trifft es die Apple Watch Series 4, Series 5 und die erste Apple Watch SE. Auch der HomePod mini, das Studio Display und das Apple TV 4K der zweiten Generation stehen auf der Liste.
Empfehlungen und Prämien
Experten raten Nutzern mit sensiblen Daten zur Migration auf neuere Hardware. Das ist die einzige dauerhafte Lösung. Apple selbst hat sein Prämienprogramm angepasst: Für physische Exploits gibt es bis zu 500.000 US-Dollar. Wer einen Remote-Exploit ohne physischen Zugriff findet, kassiert bis zu zwei Millionen US-Dollar.
Die usbliter8-Lücke ist nicht per Update behebbar – nur neue Hardware schafft Abhilfe. Unser Leitfaden zeigt, welche Geräte betroffen sind und wie Sie Ihre Daten bis zur Migration schützen. Kostenlosen Sicherheits-Leitfaden jetzt anfordern
Um das Risiko zu minimieren, empfehlen Sicherheitsanalysten strenge Kontrolle der physischen Gerätesicherheit. Unternehmen sollten zudem Zero-Trust-Architekturen und EDR-Systeme (Endpoint Detection and Response) implementieren.
Klage gegen OpenAI
Parallel zur Hardware-Lücke verschärft Apple sein Vorgehen gegen Industriespionage. In einer am 10. Juli 2026 eingereichten Klage wirft das Unternehmen OpenAI sowie den Ex-Mitarbeitern Chang Liu und Tang Yew Tan systematischen Diebstahl von Geschäftsgeheimnissen vor. Liu habe eine Authentifizierungslücke in einem Cloud-Speicher genutzt, um vertrauliche Dokumente zu Hardware-Entwicklungen herunterzuladen. Der Zugriff erfolgte, nachdem er bereits bei OpenAI tätig war. OpenAI hat die Vorwürfe zurückgewiesen.
Aktuelle Updates und Ausblick
Angreifer brauchen nur physischen Zugriff über USB, um beliebigen Code auszuführen. Wer sensible Daten auf betroffenen Geräten hat, muss sofort handeln. Die Checkliste im Report hilft Ihnen, Risiken zu minimieren. Jetzt Sofort-Maßnahmen-Checkliste sichern
Apple veröffentlichte vor wenigen Tagen iOS 26.4.2. Das Update schließt die Lücke CVE-2026-28950 in den Benachrichtigungsdiensten. US-Behörden hatten diese zuvor genutzt, um gelöschte Signal-Nachrichten wiederherzustellen – Fragmente der Mitteilungen blieben in den Logdateien der Benachrichtigungen erhalten. Das Update sorgt nun für eine nachträgliche Bereinigung.
Auf der WWDC kündigte Apple „Trust Insights“ an. Das System soll ab September mit iOS 27 per Metadaten-Analyse auf dem Gerät vor Betrugsversuchen schützen – ohne die Kommunikationsinhalte zu analysieren. Hintergrund: KI-gestütztes Phishing hat laut Marktbeobachtern inzwischen eine Erfolgsquote von 54 Prozent.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
