已在蘋果Macbook中普及的T2安全芯片：存在無(wú)法修復(fù)的缺陷

最近發(fā)布越獄工具可以讓任何人利用Mac的漏洞來(lái)繞過(guò)蘋果口中值得信賴的T2安全芯片，并獲得深入的系統(tǒng)訪問權(quán)限。該漏洞是一個(gè)研究舊型號(hào)iPhone的研究人員發(fā)現(xiàn)的，T2芯片可以用同樣的方式攻擊，并存在一系列潛在的威脅。

最糟糕的是，盡管蘋果可以減慢黑客攻擊的速度，但該缺陷無(wú)法在每臺(tái)內(nèi)置T2芯片的Mac上修復(fù)。

總體而言，越獄社區(qū)對(duì)macOS和OS X的關(guān)注程度不如iOS，因?yàn)樗鼈儧]有蘋果移動(dòng)生態(tài)系統(tǒng)中內(nèi)置的相同限制和防御系統(tǒng)。但是2017年推出的T2芯片存在一些局限性（雷鋒網(wǎng)注，首款搭載T2芯片的產(chǎn)品是iMac Pro，2018年之后的MacBook都搭載T2芯片）。

蘋果將T2芯片作為一種可信賴的機(jī)制來(lái)保護(hù)諸如加密數(shù)據(jù)存儲(chǔ)、Touch ID和激活系統(tǒng)等重要功能，該功能可與蘋果公司的“查找（Find My）”服務(wù)配合使用。

但T2還包含一個(gè)稱為Checkm8的漏洞，越獄者已經(jīng)在蘋果的A5到A11（2011年至2017年）的芯片中利用了該漏洞?，F(xiàn)在，開發(fā)iOS越獄工具的同一小組Checkra1n已發(fā)布對(duì)T2的支持。

在Mac上，越獄后可以探測(cè)T2芯片并探索其安全功能。它甚至可以在T2上運(yùn)行Linux或在MacBook Pro的Touch Bar上播放毀滅。不過(guò)，越獄也可能成為黑客的武器，以禁用macOS安全功能，例如失去系統(tǒng)完整性保護(hù)和安全啟動(dòng)，并安裝惡意軟件。

結(jié)合中國(guó)安全研究和越獄組織Pangu團(tuán)隊(duì)在7月公開披露的另一個(gè)T2漏洞，越獄也可能用于獲取FileVault加密密鑰并解密用戶數(shù)據(jù)。該漏洞是不可修補(bǔ)的，因?yàn)樵撀┒创嬖谟谟布讓拥牟豢筛牡拇a中。

長(zhǎng)期研究iOS的Will Strafach表示：“ T2是Mac中的一個(gè)小小的黑盒子，它是計(jì)算機(jī)中的一臺(tái)計(jì)算機(jī)，用于進(jìn)行完整性檢查、處理丟失模式等特權(quán)任務(wù)。所以該芯片存在的意義就是難以破解，但現(xiàn)在已經(jīng)完成了。”

對(duì)此問題，蘋果沒有回應(yīng)《連線》雜志的置評(píng)請(qǐng)求。

但是，越獄有一些重要的限制，這使其無(wú)法成為全面的安全危機(jī)。首先是攻擊者需要對(duì)目標(biāo)設(shè)備進(jìn)行物理訪問才能利用它們，該工具只能通過(guò)USB在其他設(shè)備上運(yùn)行。這意味著黑客無(wú)法遠(yuǎn)程大規(guī)模攻擊具有T2芯片的每臺(tái)Mac。當(dāng)然，攻擊者可以越過(guò)目標(biāo)設(shè)備將其越獄然后消失，但是這種方法并不“持久的”，T2芯片重啟后，越獄就失效了。

Checkra1n的研究人員注意到，T2芯片不會(huì)在每次設(shè)備啟動(dòng)時(shí)都重新啟動(dòng)。為了確保Mac不受越獄的威脅，必須完全恢復(fù)T2芯片的默認(rèn)設(shè)置。

最后，越獄不能使攻擊者立即訪問加密數(shù)據(jù)。它可能允許黑客安裝鍵盤記錄程序或其他惡意軟件，這些記錄程序或其他惡意軟件以后可以獲取密碼，或者可以使暴力破解更為容易。

Checkra1n團(tuán)隊(duì)成員在星期二發(fā)推文說(shuō)： “還有許多其他漏洞，包括遠(yuǎn)程漏洞，無(wú)疑會(huì)對(duì)Mac的安全性產(chǎn)生更大的影響?！?/p>

在與《連線》的討論中，Checkra1n研究人員補(bǔ)充說(shuō)，“我們認(rèn)為越獄是提高T2透明度的必要工具。這是一種獨(dú)特的芯片，它與iPhone有所不同，以前它是一個(gè)完整的黑盒子，我們現(xiàn)在可以對(duì)其進(jìn)行探索，并弄清楚它如何用于安全保護(hù)。”

出現(xiàn)攻擊也并不為奇，自去年發(fā)現(xiàn)Checkm8漏洞以來(lái)，T2芯片也同樣受到攻擊。研究人員指出，帶有T1芯片的舊Mac機(jī)不受影響。不過(guò)，這一發(fā)現(xiàn)意義重大，因?yàn)樗茐牧烁碌腗ac的關(guān)鍵安全功能。

由于這種緊張關(guān)系，越獄一直是一個(gè)灰色地帶。它使用戶可以自由地在其設(shè)備上安裝和修改所需的內(nèi)容，但這是通過(guò)利用蘋果代碼中的漏洞來(lái)實(shí)現(xiàn)的。業(yè)余愛好者和研究人員以建設(shè)性的方式利用越獄，包括進(jìn)行更多的安全測(cè)試，并可能幫助蘋果修復(fù)更多的錯(cuò)誤，但是攻擊者總是有可能利用越獄來(lái)傷害他人。

企業(yè)管理公司Jamf的蘋果安全研究員，前NSA研究員Patrick Wardle說(shuō)：“我認(rèn)為T2容易因?yàn)镃heckm8受到攻擊，蘋果真的沒有太多可以修復(fù)的工具。這并非世界末日，但是這種原本可以提供額外安全性的芯片現(xiàn)在幾乎無(wú)濟(jì)于事?！?/p>

Wardle指出，對(duì)于使用蘋果的激活鎖和“查找”功能來(lái)管理其設(shè)備的公司而言，越獄可能在設(shè)備被盜和其他內(nèi)部威脅方面尤其成需要注意。越獄工具對(duì)于尋求捷徑發(fā)展?jié)撛趶?qiáng)大攻擊的攻擊者而言可能是一個(gè)寶貴的起點(diǎn)。

他說(shuō)：“攻擊者可能創(chuàng)建一個(gè)‘漂亮’的內(nèi)存植入，這種植入會(huì)在重新啟動(dòng)時(shí)消失。 這意味著惡意軟件將在硬盤上不留痕跡的情況下運(yùn)行，并且受害者很難追查。

但是，使用特殊的受信任的芯片來(lái)保護(hù)其他進(jìn)程的方法會(huì)帶來(lái)更深層次的問題。除了蘋果的T2之外，許多其他技術(shù)供應(yīng)商都嘗試了這種方法，包括英特爾、思科和三星。

嵌入式設(shè)備安全公司Red Balloon的創(chuàng)始人Ang Cui表示：“建立硬件'安全'機(jī)制永遠(yuǎn)只是一把雙刃劍。如果攻擊者能夠破解安全的硬件機(jī)制，則防御者通常會(huì)比沒有構(gòu)建硬件時(shí)損失更多。理論上這是一個(gè)明智的設(shè)計(jì)，但在現(xiàn)實(shí)世界中通常會(huì)適得其反。”

在這種情況下，可能必須有高價(jià)值的損失才能報(bào)警。但是基于硬件的安全措施確實(shí)會(huì)造成最重要的數(shù)據(jù)和系統(tǒng)所依賴的單點(diǎn)故障。即使Checkra1n越獄沒有為攻擊者提供無(wú)限的訪問權(quán)限，它也可以為攻擊者提供比任何人都想要的更多的權(quán)限。