أمن البرنامج الثابت لـ UEFI في Mac مستند إلى Intel
يُقدّم Mac المستند إلى Intel المزود برقاقة Apple T2 أمنية وسائل تأمين باستخدام البرنامج الثابت UEFI (Intel).
نظرة عامة
منذ 2006، تستخدم أجهزة كمبيوتر Mac المزودة بوحدة معالجة مركزية تستند إلى Intel برنامجًا ثابتًا من Intel يستند إلى الإصدار 1 أو الإصدار 2 من مجموعة أدوات التطوير (EDK) لواجهة البرامج الثابتة القابلة للتوسعة (EFI). تتوافق التعليمات البرمجية التي تستند إلى EDK2 مع مواصفات واجهة البرامج الثابتة القابلة للتوسعة الموحدة (UEFI). ويشير هذا القسم إلى برنامج Intel الثابت باعتباره برنامج UEFI الثابت. كان برنامج UEFI الثابت أول تعليمة برمجية يتم تنفيذها على شريحة Intel.
بالنسبة لأجهزة كمبيوتر Mac المستندة إلى Intel التي لا تحتوي على شريحة Apple T2 الأمنية، يكون جذر الثقة لبرنامج UEFI الثابت الشريحة المخزّن عليها البرنامج الثابت. وتوقّع Apple تحديثات برنامج UEFI الثابت رقميًا ويتحقق منها البرنامج الثابت قبل تحديث وحدة التخزين. للمساعدة على منع هجمات التراجع، يجب أن تحتوي التحديثات دائمًا على إصدار أحدث من الإصدار الموجود. ومع ذلك، من المحتمل أن يتمكن للمهاجم الذي لديه وصول مادي إلى الـ Mac استخدام المكونات المادية لتوصيل شريحة تخزين البرامج الثابتة وتحديث الشريحة لوضع محتوى ضار. وبالمثل، إذا تم العثور على ثغرات أمنية في عملية التمهيد المبكرة لبرنامج UEFI الثابت (قبل أن تقيّد الكتابة على شريحة التخزين)، فقد يؤدي ذلك أيضًا إلى إصابة دائمة في برنامج UEFI الثابت. وهذا عبارة عن قيد بنيوي في المكونات المادية شائع في معظم أجهزة الكمبيوتر المستندة إلى Intel وموجود في جميع أجهزة كمبيوتر Mac المستندة إلى Intel التي بدون شريحة T2.
للمساعدة في منع الهجمات المادية التي تُفسد برنامج UEFI الثابت، وضعنا تصميمًا جديدًا لأجهزة كمبيوتر Mac لغرس جذور الثقة في برنامج UEFI الثابت في شريحة T2. على أجهزة كمبيوتر Mac هذه، يكون جذر الثقة لبرنامج UEFI الثابت هو برنامج T2 الثابت على وجه الخصوص، كما هو موضح في قسم عملية التمهيد على Mac مستند إلى Intel.
المكون الفرعي لمحرك إدارة Intel (ME)
يعد البرنامج الثابت لمحرك إدارة Intel (ME) أحد المكونات الفرعية المخزنة داخل برنامج UEFI الثابت. ويُستخدم ME—وهو معالج منفصل ونظام فرعي في شرائح Intel—بشكل أساسي لحماية حقوق النشر الخاصة بالصوت والفيديو على Mac يحتوي على رسومات تستند إلى Intel فقط. لتقليل الأجزاء المعرضة للهجوم في هذا المكون الفرعي، تقوم أجهزة كمبيوتر Mac المستندة إلى Intel بتشغيل برنامج ME ثابت مخصص تمت إزالة معظم المكونات منه. نظرًا لأن برنامج ME الثابت على الـ Mac الناتج أصغر من الحد الأدنى الافتراضي للبنية التي توفرها Intel، فإن العديد من المكونات التي تعرضت لهجمات عامة من قبل الباحثين الأمنيين في الماضي لم تعد موجودة.
نمط إدارة النظام (SMM)
لدى معالجات Intel نمط تنفيذ خاص متميز عن التشغيل العادي. ذلك النمط، الذي يُسمى نمط إدارة النظام (SMM)، تم تقديمه في الأصل للتعامل مع العمليات الحساسة للوقت مثل إدارة الطاقة. لكن لتنفيذ مثل هذه الإجراءات، كانت أجهزة كمبيوتر Mac قديمًا تستخدم وحدة تحكم دقيقة منفصلة تسمى وحدة تحكم إدارة النظام (SMC). لم تعد SMC وحدة تحكم دقيقة منفصلة، فقد تم دمجها في شريحة T2.