苹果T2安全芯片存在无法修复的缺陷

最近发布的一款工具让任何人都可以利用一个不同寻常的Mac漏洞绕过苹果可信的T2安全芯片，获得深入的系统访问权限。这个漏洞也是研究人员一年多来一直在用来越狱的老款iPhone的一个漏洞。但T2芯片以同样的方式易受攻击，这一事实创造了一系列新的潜在威胁。最糟糕的是，虽然苹果可能能够减缓潜在黑客的速度，但这个漏洞在每一台内置T2的Mac上最终都是无法修复的。

总体而言，越狱社区对MacOS和OS X的关注度没有iOS那么高，因为它们没有苹果移动生态系统中内置的限制和围墙花园。但2017年推出的T2芯片创造了一些限制和谜团。苹果将该芯片添加为一种值得信赖的机制，用于保护加密数据存储、Touch ID和激活锁(Activation Lock)等高价值功能，激活锁可与苹果的Find My服务配合使用。但T2也包含一个名为Checkm8的漏洞，越狱者已经在苹果的A5至A11(2011年至2017年)移动芯片组中利用了这个漏洞。现在，为iOS开发该工具的同一个组织Checkra1n发布了对T2旁路的支持。

在Mac电脑上，越狱允许研究人员探测T2芯片并探索其安全功能。它甚至可以用来在T2上运行Linux，或者在MacBook Pro的触摸栏上播放Doom。不过，恶意黑客也可能利用越狱来禁用MacOS安全功能，如系统完整性保护(System Integrity Protection)和安全引导(Secure Boot)和安装恶意软件(Secure Boot And Install Malware)。与中国安全研究和越狱组织盘古团队(Pangu Team)在7月份公开披露的另一个T2漏洞相结合，越狱也可能被用来获取FileVault加密密钥和解密用户数据。该漏洞是无法修补的，因为该漏洞存在于硬件的低级、不可更改的代码中。

长期从事iOS研究的威尔·斯特拉法赫(Will Strafach)表示，T2应该是Mac电脑中这个安全的小黑匣子--你电脑里的一台电脑，负责执行丢失模式、完整性检查和其他特权任务。他也是iOS版“卫士防火墙”(Guardian Firewall)应用的创建者。所以重要的是，这个芯片本来应该更难妥协--但现在它已经成功了。

然而，越狱有几个重要的限制，使这不会成为一场全面的安全危机。首先，攻击者需要物理访问目标设备才能攻击它们。该工具只能通过USB从另一台设备上运行。这意味着黑客不可能远程大规模感染每一台装有T2芯片的Mac电脑。攻击者可以越狱目标设备，然后消失，但危害不会持久，它会在T2芯片重新启动时结束。不过，Checkra1n的研究人员提醒说，T2芯片本身并不会在每次设备重启时重新启动。为了确保Mac电脑不会受到越狱事件的影响，T2芯片必须完全恢复为苹果的默认设置。最后，越狱不会让攻击者立即访问目标的加密数据。它可以让黑客安装键盘记录程序或其他恶意软件，稍后可以窃取解密密钥，也可以使暴力攻击变得更容易，但Checkra1n并不是灵丹妙药。

周二，Checkra1n团队的一名成员在推特上写道，还有很多其他漏洞，包括远程漏洞，毫无疑问，这些漏洞对安全的影响更大。

在与“连线”杂志的一次讨论中，Checkra1n的研究人员补充说，他们认为越狱是透明T2的必要工具。该小组的一名成员说，这是一个独特的芯片，它与iPhone有所不同，因此开放访问有助于更深层次地理解它。它以前是一个完整的黑匣子，现在我们可以研究它，弄清楚它是如何用于安全研究的。

这次利用也并不令人惊讶；自从去年Checkm8最初发现T2芯片后，就很明显T2芯片也以同样的方式容易受到攻击。研究人员指出，虽然T2芯片于2017年在顶级iMac中首次亮相，但它直到最近才在整个Mac系列中推出。配备T1芯片的老款Mac电脑不受影响。尽管如此，这一发现仍然意义重大，因为它破坏了较新Mac电脑的一个关键安全功能。

由于这种紧张局势，越狱长期以来一直是一个灰色地带。它让用户可以自由地在他们的设备上安装和修改他们想要的任何东西，但这是通过利用苹果代码中的漏洞来实现的。业余爱好者和研究人员以建设性的方式利用越狱，包括进行更多的安全测试，并有可能帮助苹果修复更多漏洞，但攻击者总是有可能将越狱武器化以造成伤害。

企业管理公司JAMF的苹果安全研究员、美国国家安全局(NSA)前研究员帕特里克·沃德尔(Patrick Wardle)表示：我已经认为，由于T2容易受到Checkm8的攻击，它已经完蛋了。苹果对此真的无能为力。这并不是世界末日，但这个本应提供所有这些额外安全保护的芯片现在几乎毫无意义。

沃德尔指出，对于使用苹果激活锁(Activation Lock)管理设备并找到我的功能的公司来说，越狱可能在可能的设备盗窃和其他内部威胁方面都是特别有问题的。他还指出，越狱工具对于寻求开发潜在强大攻击的捷径的攻击者来说，可能是一个有价值的起点。他说，你可能会将其武器化，并创建一个可爱的内存植入物，按照设计，这种植入物在重启后就会消失。这意味着恶意软件运行时不会在硬盘上留下痕迹，受害者很难追踪到。

然而，这种情况提出了更深层次的问题，即使用特殊的、受信任的芯片来保护其他进程的基本方法。除了苹果的T2，许多其他技术供应商也尝试过这种方法，并击败了他们的安全飞地，包括英特尔(Intel)、思科(Cisco)和三星(Samsung)。

嵌入式设备安全公司Red Balloon的创始人崔昂(Ang Cui)表示，构建硬件安全机制永远是一把双刃剑。如果攻击者能够拥有安全硬件机制，那么防御者通常会比没有构建硬件时损失更多。从理论上讲，这是一个聪明的设计，但在现实世界中，它通常会适得其反。

在这种情况下，你很可能必须是一个非常高价值的目标才能记录任何真正的警报。但是，基于硬件的安全措施确实会造成最重要的数据和系统所依赖的单点故障。即使Checkra1n越狱没有为攻击者提供无限制的访问权限，它也给了他们比任何人都想要的更多的访问权限。