На прошлой неделе сообщалось о том, что чип безопасности Apple T2 Security Chip может быть уязвим к джейлбрейку. Теперь команда, стоящая за этим эксплойтом, опубликовала обширный отчет и демонстрацию.
Собственный сопроцессор Apple T2 присутствует в более новых моделях Mac и отвечает за зашифрованное хранение данных и безопасную загрузку, а также за множество других функций контроллера. Поскольку чип основан на процессоре Apple A10, он уязвим к тому же эксплойту «checkm8», который использовался для джейлбрейка устройств iOS.
Уязвимость позволяет перехватить процесс загрузки T2 для получения доступа к оборудованию. Обычно чип T2 выдает фатальную ошибку, если он находится в режиме обновления прошивки устройства (DFU) и обнаруживает попытку расшифровки, но, используя другую уязвимость, разработанную командой Pangu, хакер может обойти эту проверку и получить доступ к чипу T2.
Получив доступ, хакер обладает полным правами суперпользователя и привилегиями выполнения ядра, хотя и не может напрямую расшифровать файлы, хранящиеся с использованием шифрования FileVault 2. Однако, поскольку чип T2 управляет доступом к клавиатуре, хакер может внедрить кейлоггер и украсть пароль, используемый для расшифровки. Он также может обойти блокировку активации на расстоянии, используемую такими службами, как MDM и Find My. Пароль прошивки не предотвращает этого, поскольку для его ввода также требуется доступ к клавиатуре, который сначала требует работы чипа T2.
Эксплойт может быть реализован без участия пользователя и требует только вставки модифицированного USB-C кабеля. Создав специализированное устройство «размером с зарядное устройство», злоумышленник может перевести чип T2 в режим DFU, запустить эксплойт «checkra1n», загрузить кейлоггер и перехватить все ключи. macOS может остаться неизменной после джейлбрейка, но все ключи все равно могут быть записаны на ноутбуках Mac. Это связано с тем, что клавиатуры MacBook напрямую подключены к T2 и передают данные в macOS.
Практическая демонстрация показывает запуск checkra1n через USB-C с хост-устройства. На целевом Mac просто отображается черный экран, в то время как подключенный компьютер подтверждает успешность эксплойта.
Эти кабели работают, предоставляя доступ к специальным отладочным контактам в порту USB-C для ЦП и других чипов, которые обычно используются только Apple.
Apple не устранила уязвимость безопасности, и она, по-видимому, неустранима. В целях безопасности собственная операционная система T2 SepOS хранится непосредственно в SEPROM чипа, но это также не позволяет Apple исправить эксплойт с помощью обновления программного обеспечения.
Тем временем пользователи могут защитить себя от эксплойта, обеспечивая физическую безопасность своих Mac и избегая подключения ненадежных USB-C кабелей и устройств.
