最近发布的工具允许任何人利用一个异常的Mac漏洞来绕过Apple值得信赖的T2安全芯片,并获得深入的系统访问权限。该漏洞是一个研究人员已经使用了一年多的时间来越狱旧型号的iPhone了。但是T2芯片以同样的方式易受攻击的事实造成了一系列潜在的威胁。最糟糕的是,尽管Apple可以放慢潜在黑客的速度,但该缺陷最终无法在每台内置T2的Mac上修复。
总体而言,越狱社区对macOS和OS X的关注程度不如对iOS的关注,因为它们没有苹果移动生态系统中内置的相同限制和围墙花园。但是2017年推出的T2芯片存在一些局限性和奥秘。苹果公司将该芯片作为一种受信任的机制来保护诸如加密数据存储,Touch ID和激活锁等高价值功能,该功能可与苹果公司的“查找我”服务配合使用。但是T2还包含一个称为Checkm8的漏洞,越狱者已经在Apple的A5至A11(2011年至2017年)移动芯片组中利用了该漏洞。现在,开发iOS工具的同一小组Checkra1n已发布对T2旁路的支持。
在Mac上,越狱可使研究人员探查T2芯片并探索其安全功能。它甚至可以用于在T2上运行Linux或在MacBook Pro的Touch Bar上播放Doom。但是,越狱也可能被恶意黑客武器化,以禁用macOS安全功能,例如系统完整性保护和安全启动,并安装恶意软件。结合中国安全研究和越狱组织Pangu团队于7月公开披露的另一个T2漏洞,越狱也可能用于获取FileVault加密密钥并解密用户数据。该漏洞是不可修补的,因为该漏洞存在于硬件的低级,不可更改的代码中。
长期的iOS研究人员和《卫报》创始人威尔·斯特拉法奇(Will Strafach)表示:“ T2的本意是Mac中这个小小的黑匣子,它是计算机中的一台计算机,可以处理丢失模式强制执行,完整性检查以及其他特权任务。适用于iOS的防火墙应用程序。“所以意义在于,该芯片本来就难以妥协,但现在已经完成了。”
苹果没有回应《连线》杂志的置评请求。
一些限制
但是,越狱有一些重要的限制,这使其无法成为全面的安全危机。首先是攻击者需要对目标设备进行物理访问才能利用它们。该工具只能通过USB在其他设备上运行。这意味着黑客无法远程感染具有T2芯片的每台Mac。攻击者可以越过目标设备将其越狱然后消失,但是这种折衷并不是“持久的”。T2芯片重启后,它结束。Checkra1n的研究人员确实要注意,T2芯片本身不会在每次设备启动时都重新启动。为了确保Mac不受越狱的危害,必须完全恢复T2芯片苹果的默认设置。最后,越狱不能使攻击者立即访问目标的加密数据。它可能允许黑客安装键盘记录程序或其他恶意软件,这些记录程序或其他恶意软件以后可以获取解密密钥,或者可以使暴力破解更为容易,但Checkra1n并非灵丹妙药。
Checkra1n团队成员在星期二发推文说: “还有许多其他漏洞,包括远程漏洞,无疑会对安全性产生更大的影响。”
在与WIRED的讨论中,Checkra1n研究人员补充说,他们认为越狱是提高T2透明度的必要工具。小组成员说:“这是一种独特的芯片,它与iPhone有所不同,因此更深入地了解开放式访问非常有用。” “以前它是一个完整的黑匣子,我们现在可以对其进行调查,并弄清楚它如何用于安全研究。”
没有惊喜
攻击也不足为奇。自去年最初的Checkm8发现以来,很明显T2芯片也同样受到攻击。研究人员指出,尽管T2芯片于2017年在顶级iMac中首次亮相,但直到最近才在整个Mac系列中推出。带有T1芯片的旧Mac机不受影响。不过,这一发现意义重大,因为它破坏了更新的Mac的关键安全功能。
由于这种紧张关系,越狱一直是一个灰色地带。它使用户可以自由地在其设备上安装和修改所需的内容,但这是通过利用Apple代码中的漏洞来实现的。业余爱好者和研究人员以建设性的方式使用越狱,包括进行更多的安全测试,并有可能帮助Apple修复更多的错误,但攻击者总是有机会利用越狱手段造成伤害。
企业管理公司Jamf的苹果安全研究员,前NSA研究员Patrick Wardle说:“我已经以为T2容易受到Checkm8的攻击,所以它只是吐司。” “苹果真的无能为力对其进行修复。这不是世界末日,但原本应该提供所有这些额外安全性的这种芯片现在几乎无济于事。”
Wardle指出,对于使用Apple的Activation Lock和“查找我”功能来管理其设备的公司而言,越狱在可能的设备盗窃和其他内部威胁方面尤其成问题。他指出,越狱工具对于寻求捷径发展潜在强大攻击的攻击者而言可能是一个宝贵的起点。他说:“您可能可以对此进行武器处理,并创建一个可爱的内存植入物,该植入物在设计上会在重新启动时消失。” 这意味着恶意软件将在硬盘上不留痕迹的情况下运行,并且受害者很难追查。
但是,使用使用特殊的,受信任的芯片来保护其他进程的基本方法会给问题带来更深层次的问题。除了苹果公司的T2之外,许多其他技术供应商都尝试了这种方法,并击败了他们的安全领域,包括英特尔,思科和三星。
“总是一把双刃剑”
嵌入式设备安全公司Red Balloon的创始人Ang Cui表示:“建立硬件'安全'机制始终只是一把双刃剑。“如果攻击者能够拥有安全的硬件机制,则防御者所遭受的损失通常会比没有构建硬件时所遭受的损失还要多。从理论上讲,这是一个明智的设计,但在现实世界中,它通常会适得其反。”
在这种情况下,您可能必须成为一个非常高价值的目标才能注册任何实际警报。但是基于硬件的安全措施确实会造成最重要的数据和系统所依赖的单点故障。即使Checkra1n越狱没有为攻击者提供无限的访问权限,它也可以为攻击者提供比任何人都想要的更多的访问权限。