Jeśli w świecie technologii istnieje absolutna maksyma, to jest nią to, że nic nie jest w 100% bezpieczne. Każde oprogramowanie, urządzenie, chip lub komponent jest podatny na naruszenie bezpieczeństwa z bardzo prostego powodu: wszystko jest tworzone w pierwszej kolejności przez ludzi i są one błędne. Nic prostszego.

Kilkakrotnie pokazano, w jaki sposób hakerom (badaczom bezpieczeństwa) udało się naruszyć bezpieczeństwo systemów SoC firmy Apple dla swoich urządzeń (Axe) i zrobić coś, co potocznie nazywa się jailbreak. Ale co to jest technicznie? Wyjaśnimy to, a także powiemy, co oznacza, że ​​ta technika mogła zostać zastosowana w układach T2, które kontrolują bezpieczeństwo komputerów Mac wprowadzonych w ostatnich latach, takich jak ostatni iMac z 2020 roku, który tutaj analizujemy.

Jailbreak, obejście cyfrowy podpis systemu

Pierwszy iPhone miał już system kontroli wykonywania aplikacji za pomocą podpisu cyfrowego. Innymi słowy, Apple stworzył urząd certyfikacji, który generuje dwa powiązane certyfikaty: jeden publiczny i jeden prywatny. W sposób, w jaki podpisuje Apple: używa klucza prywatnego do szyfrowania danych, a następnie dane mogą zostać zweryfikowane z kluczem publicznym. W ten sposób potwierdza się, że program pochodzi od Apple. Jest to sprawdzenie, czy system robi nawet na każdej stronie wykonania kodu w pamięci.

Mówiąc ogólnie, i żeby było jeszcze jaśniej: do danych obliczany jest skrót lub odcisk palca, co umożliwia weryfikację integralności danych. Jeśli zmieni się pojedynczy bajt danych, odcisk palca jest inny i wtedy możemy wiedzieć, że dane zostały zmodyfikowane i nie są oryginałem, z którego uzyskano hash. Ten skrót jest zaszyfrowany kluczem prywatnym urzędu certyfikacji Apple. Ten klucz prywatny jest całkowicie tajny z oczywistych powodów. Ponadto z czasem jest aktualizowany do nowych algorytmów, które chronią go jeszcze bardziej, a nawet rotują, dzięki czemu w przypadku złamania tego klucza cała historia danych nie byłaby zagrożona.

Weryfikacja podpisu cyfrowego to jeden z podstawowych kroków w bezpieczeństwie urządzeń Apple. Jeśli jakikolwiek kod podczas odszyfrowywania jego skrótu za pomocą klucza publicznego Apple nie ma tego samego skrótu, co odszyfrowywanie, jest on nieprawidłowy i jego wykonanie jest uniemożliwione.

Kiedy bierzesz podpisany kod lub program, dystrybuowana część jest kluczem publicznym certyfikatu. Część, która nie zagraża bezpieczeństwu, nie pozwala na szyfrowanie (tylko odszyfrowywanie) i jest używana do odszyfrowania skrótu. Po odszyfrowaniu hash danych jest ponownie obliczany i porównywany. Jeśli są takie same, dane są poprawnie podpisane cyfrowo przez organ, który po raz pierwszy zaszyfrował skrót kluczem prywatnym.

Jailbreak ma na celu obejście tej weryfikacji: pomiń ją. W ten sposób, gdy urządzenie jest po jailbreaku, nawet jeśli hash kodu lub programu nie jest w żaden sposób zgodny z hashem użytym do szyfrowania lub nawet nie jest podpisany, system nie sprawdzi tego faktu i pozwoli cokolwiek działać na naszym urządzeniu.

Jailbreak oznacza pomijanie sprawdzania, czy uruchamiane programy mają ważny podpis cyfrowy Apple, który otwiera nasze urządzenie na dowolny program i dodatkowo chroni je przed wszelkimi złośliwymi próbami kontrolowania go lub uzyskiwania jego informacji.

Zgodnie z dobrym prawem i ze względów bezpieczeństwa, nigdy nie powinniśmy łamać więzienia urządzenia, ponieważ możemy naruszyć jego integralność, otwierając je na wykonanie dowolnego oprogramowania, a wraz z nim, Nie gwarantujemy, że jakakolwiek piracka aplikacja, ulepszenie lub gra ma jakiekolwiek modyfikacje który instaluje w systemie jakiś rodzaj trackera, który wysyła to, co piszemy na dowolny serwer, który umożliwia naszym kamerom do woli, wydobywa z niego dane, mając swobodny dostęp do systemu plików i wiele innych niebezpieczeństw.

T2 został skompromitowany metodą podobną do jailbreak iPhone’a lub iPada.

Na początku października opublikowano wiadomość, która wynika z ujawnionego w sierpniu odkrycia dotyczącego bezpieczeństwa chipów T2, które kontrolują zabezpieczenia komputerów Mac wprowadzonych w ostatnich latach. Chip, który ma własny system operacyjny o nazwie BridgeOS i to jest odpowiedzialne za szyfrowanie danych i bezpieczny rozruch komputera Mac, aby zapobiec ich złamaniu w podobny sposób jak iPhone lub iPad.

Nie możemy o tym zapomnieć T2 są oparte na Apple Silicon A10 Fusion SoCwięc wydaje się, że część jego błędów projektowych, które pozwalają na pewne exploity w jego bezpieczeństwie, została odziedziczona przez chipy T2.

W sierpniu błąd znany jako Blackbird został upubliczniony, wykorzystując lukę w zabezpieczeniach wszystkich chipów Apple aż do A11 Bionic, który narusza układ zabezpieczający Secure Enclave i umożliwia wykonanie dowolnego kodu (kod niepodpisany), gdy urządzenie jest w trybie przywracania ustawień fabrycznych (lub DFU). Ten błąd nie jest programem ładowanym do Secure Enclave, jest to wada konstrukcyjna oprogramowania działającego na pamięci ROM samego chipa (w jego głównym programie). Pamięć, której nie można zaktualizować ani nadpisać (jest tylko do odczytu) i dlatego nie można jej załatać.

Exploit Blackbird pozwala wykorzystać lukę bezpieczeństwa w chipie Secure Enclave wszystkich urządzeń Apple, nawet tych z A11 Bionic. Błąd, którego nie można naprawić, ponieważ znajduje się w kodzie zapisanym w pamięci chipa tylko do odczytu.

Do tego niepowodzenia Secure Enclave należy dodać kolejny exploit wykorzystywany do urządzeń jailbreak: checkm8. Wschód Wykorzystuje usterkę, którą można zobaczyć również w rozruchu iPhone’a i iPada (w BootROM). Dlatego sprawdzając, czy uruchamiany system operacyjny jest poprawnie podpisany przez Apple, możesz pominąć to sprawdzenie i uruchomić zmodyfikowany system (taka, która nie weryfikuje żadnego podpisu i jest otwarta). Kolejny błąd, który dotyczy wszystkich urządzeń od A5 (iPhone 4s) po iPhone 8 lub iPhone X z chipem A11 Bionic. Ten ostatni został upubliczniony we wrześniu ubiegłego roku.

Suma dwóch exploitów do ataku na T2

Jak już omówiliśmy, T2 jest odmianą Apple A10 Fusion i ma również te błędy. Wykazano więc, że powszechne użycie Blackbird i Checkm8, pozwalają na kompromis w sprawie chipa i narażaj bezpieczeństwo komputerów Mac dzięki temu chipowi.

Jest to porażka, której nie da się w żaden sposób naprawić, ale to z drugiej strony wymaga fizycznego dostępu do maszyny. Nie możemy w żaden sposób wykorzystać tych awarii zdalnie: musimy mieć przy sobie maszynę, aby wykorzystać ten błąd i zyskać przewagę na sprzęcie.

Co można zrobić lub jakie są konsekwencje? Mogą tworzyć urządzenia (a nawet kable), które podłączane są przez USB-C podczas uruchamiania komputera, pozwalają wykonywać exploity i w zasadzie przejąć kontrolę nad maszyną. Uzyskaj dostęp do roota i kontroluj lub modyfikuj system na dowolnym urządzeniu podłączonym do niego i skonfigurowanym (zwykle w pamięci masowej). Nawet jeśli jest zaszyfrowany.

Oba exploity uruchomione podczas uruchamiania maszyny z urządzeniem podłączonym przez USB-C (nawet kablem z chipem w złączach) mogą umożliwiać modyfikację rozruchu, wstrzykiwanie złośliwego oprogramowania i kontrolowanie komputera.

Jednak dostęp do zaszyfrowanych dysków nie jest trywialny, jeśli używają one FileVault 2, ponieważ te exploity nie pozwalają na uzyskanie klucza, chociaż Tak, można przeprowadzić atak brute force, który znajdzie klucz drużyny w wymaganym czasie. Na przykład, gdy w filmach podłączają pamięć USB i czekają, aż „zrobi swoją magię”. Ponieważ tym, co zapobiega atakowi, jest to, że terminy bezpieczeństwa, które zwykle mają komputery, są stosowane w celu uniknięcia tych praktyk.

W przypadku przejęcia kontroli nad maszyną i zainstalowania złośliwego oprogramowania na poziomie administracyjnym, możemy mieć przypadki instalacji (na przykład) oprogramowania RAT, które może kontrolować nasz sprzęt (Remote Administration Tool), co również jest początkowym zagrożeniem. I uspokój się, jeśli włączysz kamerę internetową, lampka zawsze będzie się świecić Otóż ​​w Macach dioda LED nie ma niezależnego mechanizmu i jest podłączona do kabla zasilającego kamery. Dlatego jest praktycznie niemożliwe, aby włączyć kamerę internetową bez włączonej diody LED.

Ale hej… uspokójmy się trochę.

Najlepszą rzeczą, jaką możemy zrobić, jeśli czujemy, że możemy być w niebezpieczeństwie, to nie pozwolić naszemu zespołowi „zaskoczyć”. I umieść w nim dobry klucz w FileVault, aby przynajmniej sprawić trochę więcej kłopotów z dostępem do danych. Ponieważ nie jest to atak, który można przeprowadzić zdalnie, niebezpieczeństwo jest mniejsze, ale są to rzeczy, na które jesteśmy zawsze narażeni dzięki technologii, ponieważ nikt nie jest uratowany i nic nie jest w 100% bezpieczne.

Ta informacja nie jest jednak pozbawiona kontrowersji, ponieważ nawet zespoły ds. bezpieczeństwa odpowiedzialne za exploity na iOS kwestionują, czy ten atak rzeczywiście został przeprowadzony i że nie mówimy o zwykłym dowodzie koncepcji lub szumie, aby spróbować zaistnieć w mediach. Nie mówimy o tym, że nie ma możliwości przeprowadzenia ataków, co jest bardzo realne: mówimy o tym, że przeprowadzono jakiś prawdziwy exploit, który go wykorzystuje i stanowi realne zagrożenie. To znaczy: dziura jest, ale sama z siebie nic nie robi i pytanie brzmi, czy ktoś naprawdę zdołał skorzystać z tych porażek.

Jeśli uważamy, że nasz zespół mógł zostać skompromitowany, istnieje częściowe rozwiązanie, które jest ponownie zainstaluj system BridgeOS z układu T2, więc atakujący musiałby ponownie skompromitować nasz sprzęt. Możesz postępować zgodnie z instrukcjami tutaj. Możemy sprawdzić, czy zostaliśmy zaatakowani, sprawdzając integralność danych SMC komputera za pomocą tego narzędzia i zobaczyć, czy zostaliśmy zaatakowani.

Ponieważ Apple całkowicie zmieni architekturę startową i działanie Maca za pomocą Apple Silicon, oczywistym jest, że exploit ten w żaden sposób na niego nie wpłynie, chociaż upieram się, że nie oznacza to, że w ciągu X czasu zostanie pobrana kolejna usterka i zaczął się od nowa. W bezpieczeństwie nigdy nie możemy być w 100% pewni.

AKTUALIZACJA: Po jeszcze dokładniejszym zbadaniu dostępnej obecnie dokumentacji, również przeprowadzonej przez innych ekspertów ds. bezpieczeństwa, Mogę potwierdzić, że błąd jest jeszcze MNIEJ niepokojący (Aż w komentarzach niektórzy z Was chcą spalić Apple Park).

  • Obecnie, jak wskazaliśmy, eksploatację awarii można przeprowadzić tylko w trybie DFU, więc wykazano, że Zaszyfrowanych dysków nie można uzyskać dostępu lub próbować naruszyć ich bezpieczeństwo. Powinni znać nasze hasło, aby móc coś zrobić. Nie można atakować brutalną siłą chociaż na początku tak uważano i dlatego odzwierciedliłem to w artykule. Wykazano, że nie może.
  • Domyślnie porty USB-C w maszyny z chipem T2 mają system bezpieczeństwa, który uniemożliwia im rozpoczęcie jakiegokolwiek procesu, jeśli maszyna nie jest uruchomionawięc najpierw musiałbyś mieć maszynę włączoną i z ustawionym kluczem do odblokowania dysku.
  • Wymagana będzie nazwa użytkownika i hasło administratora aby mieć dostęp do oprogramowania układowego i móc je modyfikować.
  • Konieczne byłoby również włączenie kluczy oprogramowania układowego i zamontowanie dostępu root.
  • wykrył i zgłosił błąd, nowe żetony T2 pojawią się z poprawionym błędemaby jeszcze bardziej zminimalizować ryzyko, ponieważ jest to prosta zmiana wersji oprogramowania układowego pamięci ROM Secure Enclave i samego układu w bezpiecznym rozruchu.

Podsumowując, nie tylko musimy mieć fizyczny dostęp do sprzętu, ale musimy być jego administratorami, mieć odblokowany dysk i mieć dostęp, czy pozostawić Maca z fabryki bez żadnych informacji.

Powtarzam: podobnie jak słynne awarie Spectre i Meltdown, jedno jest poważnym błędem, a drugie to okoliczności, które muszą zaistnieć, aby go wykorzystać. W tym sensie, zbiegi okoliczności, które muszą wystąpić, aby wykorzystać awarię T2 są dość mało prawdopodobne.

I nie możemy zapomnieć, że każdego dnia na wszystkich systemach operacyjnych: Windows, Linux, Android, iOS, Mac… jako audytor bezpieczeństwa te błędy muszą być traktowane poważnie i to właśnie zrobiłem w artykule: bądź profesjonalny i podawaj prawdziwe informacje, tak jak w wielu innych przypadkach. ** Każdy, kto chce zobaczyć miękkość Apple, zostaw swojego ducha nienawiści ** i poinformuj się, tak jak zrobiliśmy to w tym artykule.

Podziękowania dla @Dekkar za informacje zawarte w tym artykule.