Po tym, jak w zeszłym tygodniu zgłoszono, że chip zabezpieczający T2 Apple może być podatny na jailbreaking, zespół odpowiedzialny za ten exploit opublikował obszerny raport i demonstrację.
Koprocesor T2 jest obecny w nowszych komputerach Mac i obsługuje szyfrowaną pamięć masową oraz funkcje bezpiecznego rozruchu, a innych funkcji kontrolera. że Ponieważ chip jest oparty na procesorze Apple A10, jest rowniez podatny na ten sam exploit „checkm8”, który był używany do jailbreak urządzeń iOS.
Luka ta umożliwia przejęcie procesu uruchamiania T2 w celu uzyskania dostępu do sprzętu. Zwykle układ T2 wychodzi z krytycznym błędem, jeśli jest w trybie aktualizacji oprogramowania sprzętowego urządzenia (DFU) i wykryje wywołanie deszyfrujące, ale korzystając z innej luki opracowanej przez zespół Pangu, haker może obejść tę kontrolę i uzyskać dostęp do układu T2.
Po uzyskaniu dostępu haker ma pełny dostęp do roota i uprawnienia do wykonywania jądra, chociaż nie może bezpośrednio odszyfrować plików przechowywanych przy użyciu szyfrowania FileVault 2. Jednak ponieważ chip T2 zarządza dostępem do klawiatury, haker może wrzucic keylogger i ukraść hasło używane do odszyfrowania. Może również ominąć zdalną blokadę aktywacji używaną przez usługi takie jak MDM i Find My. Hasło oprogramowania sprzętowego nie zapobiega temu, ponieważ również wymaga dostępu do klawiatury, który wymaga najpierw uruchomienia układu T2.
Exploit można osiągnąć bez interakcji użytkownika i po prostu wymaga włożenia zmodyfikowanego kabla USB-C. Tworząc wyspecjalizowane urządzenie mniej więcej wielkości ładowarki, atakujący może przełączyć chip T2 w tryb DFU, uruchomić exploit „checkra1n”, załadować rejestrator kluczy i przechwycić wszystkie klucze. MacOS może pozostać niezmieniony przez jailbreak, ale wszystkie klucze mogą być nadal rejestrowane na laptopach Mac. Dzieje się tak, ponieważ klawiatury MacBooka są bezpośrednio podłączone do T2 i przekazywane do systemu macOS.
Praktyczna demonstracja pokazuje, że Checkra1n jest uruchamiany przez USB-C z urządzenia hosta. Docelowy Mac po prostu wyświetla czarny ekran, podczas gdy podłączony komputer potwierdza, że exploit się powiódł.
Kable te działają, umożliwiając dostęp do specjalnych pinów debugowania w porcie USB-C dla procesora i innych chipów, które są zwykle używane tylko przez Apple.
Apple nie naprawił luki w zabezpieczeniach i wydaje się, że nie można go naprawić. Ze względów bezpieczeństwa niestandardowy system operacyjny SepOS T2 jest przechowywany bezpośrednio w pamięci SEPROM chipa, ale zapobiega to również łataniu exploita przez Apple poprzez aktualizację oprogramowania.
W międzyczasie użytkownicy mogą chronić się przed exploitem, zapewniając fizyczne bezpieczeństwo swoich komputerów Mac i unikając wkładania niezaufanych kabli i urządzeń USB-C.
