| 13 октября 2020 г. — 6:35 PT
Обновление внизу: Другая команда с другим кабелем, способным захватить Mac и другие устройства.
Команда T2-эксплойта, нашедшая способ взять под контроль чип безопасности современных Mac, продемонстрировала способ сделать это без вмешательства пользователя — используя всего лишь модифицированный кабель USB-C.
Специальная команда, называющая себя Team t8012 в честь внутреннего названия Apple для чипа, полагает, что отдельные государства уже могут использовать этот подход.
Мы недавно сообщили, что это возможно.
Слухи о том, что чип безопасности T2 в современных Mac может быть взломан, были подтверждены командой, стоящей за исследованием. Комбинация двух различных эксплойтов даст хакеру возможность изменять поведение чипа и даже внедрять в него вредоносное ПО, такое как кейлоггер.
Все Mac, продаваемые с 2018 года, содержат чип T2, и поскольку атака использует код в разделе постоянной памяти чипа, Apple не может его исправить.
Атака включает использование двух эксплойтов, применяемых для джейлбрейка iPhone. Причина, по которой их можно использовать и на Mac, заключается в том, что чип безопасности T2 основан на чипе A10, используемом в старых iPhone.
Теперь команда предоставила практическую демонстрацию. Видео показывает, как они подключают кабель USB-C к Mac и запускают checkra1n. Целевая машина переходит на черный экран, а подключенный компьютер подтверждает успешное выполнение. Обратите внимание, что подключенный компьютер только проверяет успех операции — атака выполняется с помощью всего лишь чипа в кабеле.
Второе видео доказывает, что атака была успешной, изменяя логотип Apple, отображаемый во время загрузки.
Команда T2-эксплойта также работает над демонстрацией установки кейлоггера.
Рик Марк из команды t8012 сообщил мне, что его мотивация участвовать в исследовании T2 заключалась в том, что он был убежден в возможности этого и в том, что это уже может использоваться. В то время как необходимость физического доступа к Mac означает, что он может использоваться только для очень целенаправленных атак, он подозревает, что его используют государства, а возможно, и организованная преступность.
Марк говорит, что Apple ничего не может сделать, чтобы предотвратить эксплойт на существующих Mac с T2, но компания могла бы предоставить инструмент для проверки целостности машины против checkm8 и сообщать о сбоях.
Я предположил, что Apple могла бы исправить проблему в будущих чипах с помощью некоторой формы зашифрованной связи, которая активирует DFU только для устройств с правильными кодами, и он подтвердил, что это сработало бы, «но я думаю, что это снова возлагает на них большое доверие в плане правильного исполнения… без получения каких-либо данных о том, что это произойдет».
Например, сказал Марк, Apple выпустила шесть новых моделей Mac после того, как эксплойт checkm8 стал общедоступным, к тому моменту Apple должна была знать, что чип T2 уязвим.
Одной из интересных вещей, появившихся в результате их исследований, является способ, которым Mac назначает функциональность своим портам USB-C.
Один из интересных вопросов заключается в том, как Mac совместно используют порт USB как с процессором Intel (macOS), так и с T2 (bridgeOS) для DFU. По сути, это отдельные компьютеры внутри корпуса, совместно использующие одни и те же контакты. Схемы MacBook, просочившиеся от поставщиков Apple (быстрый поиск по номеру детали и «схеме»), и анализ пакета обновления прошивки USB-C показывают, что на каждом порту есть компонент, который отвечает как за мультиплексирование (позволяющее совместно использовать порт), так и за завершение подачи питания USB (USB-PD) для зарядки MacBook или подключенных устройств. Дальнейший анализ показывает, что этот порт совместно используется следующими:
- Контроллер Thunderbolt, который позволяет macOS использовать порт как Thunderbolt, USB3 или DisplayPort
- USB-хост T2 для восстановления DFU
- Различные последовательные линии UART
- Отладочные контакты T2
- Отладочные контакты процессора Intel для отладки EFI и ядра macOS
Подобно приведенной выше документации, относящейся к iPhone, отладочные линии Mac доступны только при активации через T2. До ошибки checkm8 для этого требовался специально подписанный Apple пакет, что означает, что у Apple есть «скелетный ключ» для отладки любого устройства, включая производственные машины. Благодаря checkm8 любой T2 может быть понижен, а отладочная функциональность может быть активирована.
Вы можете прочитать пост в блоге здесь. Мы обратились в Apple за комментарием и обновим статью при получении ответа.
Обновление: Это не та же команда и не тот же кабель. Я бы никогда не доверился кабелю USB-C, если бы не знал, откуда он.