Sikre softwareopdateringer
Sikkerhed er en løbende proces. Det er ikke nok at starte det operativsystem, der blev installeret på fabrikken – der skal også være en mekanisme, der hurtigt og sikkert kan hente de nyeste sikkerhedsopdateringer. Apple frigiver regelmæssigt softwareopdateringer for at imødegå potentielle sikkerhedsproblemer. Brugere af iOS- og iPadOS-enheder modtager opdateringsnotifikationer på enheden. Mac-brugere finder de tilgængelige opdateringer i Systemindstillinger. Opdateringer leveres trådløst, hvilket sikrer hurtig implementering af de seneste sikkerhedsopdateringer.
Opdateringsprocessen
Opdateringsprocessen bruger den samme hardwarebaserede tillidsrod, der bruges af Sikker start, og som sikrer, at kun kode signeret af Apple installeres. Opdateringsprocessen bruger også godkendelse af systemsoftware til at sørge for, at kun ægte kopier af de operativsystemversioner, der er aktivt signeret af Apple, kan installeres på iOS- og iPadOS-enheder og på Mac-computere med indstillingen Fuld sikkerhed slået til som sikker start-politik i Startsikkerhedsværktøj. Disse sikre processer betyder, at Apple kan ophøre med at signere ældre operativsystemversioner med kendte sikkerhedshuller, og gør det svært at gennemføre nedgraderingsangreb.
Sikkerheden ved softwareopdateringer øges, ved at en fuld kopi af iOS eller iPadOS hentes og installeres, når en enhed er sluttet fysisk til en Mac. Ved OTA-softwareopdateringer (Over The Air) hentes kun de komponenter, der kræves for at gennemføre en opdatering, i stedet for hele operativsystemet. Det sker af hensyn til netværkseffektiviteten. Desuden kan softwareopdateringer opbevares i bufferen på en Mac med macOS 10.13 eller en nyere version, hvor Indlæsning af indhold i buffer er slået til, så iOS- og iPadOS-enheder ikke behøver at hente den nødvendige opdatering igen fra internettet. (De skal stadig kontakte Apple-servere for at gennemføre opdateringen).
Personliggjort opdateringsproces
Under en opgradering eller opdatering oprettes der forbindelse til Apples godkendelsesserver til installering, som sender en liste med kryptografiske målinger for hvert af de elementer i installeringspakken, der skal installeres (f.eks. iBoot, kernen og operativsystembilledet), en tilfældig værdi, der forhindrer genafspilning (nonce-værdien), og enhedens unikke ECID (Exclusive Chip Identification).
Godkendelsesserveren holder den modtagne liste med målinger op mod de versioner, det er tilladt at installere, og hvis den finder et match, føjer den ECID til målingen og signerer resultatet. Serveren overfører et komplet sæt signerede data til enheden som led i opgraderingen. Tilføjelsen af ECID “personliggør” godkendelsen af den enhed, der sender anmodningen. Da godkendelse og signering kun sker for kendte målinger, er serveren med til at sikre, at opdateringerne foretages præcis, som Apple har fastlagt.
Evalueringen i godkendelseskæden på starttidspunktet kontrollerer, at signaturen stammer fra Apple, og at målingen for det emne, der indlæses fra lagerenheden, sammen med enhedens ECID modsvarer det, som signaturen dækker. Disse trin har til formål at sikre, at godkendelsen på enheder, der understøtter personlig indstilling, er til en bestemt enhed, og at et ældre operativsystem eller en ældre firmwareversion fra en enhed ikke kan kopieres til en anden. Nonce-værdien er med til at forhindre en person med ondsindede hensigter i at opsnappe serverens svar og bruge det til at modificere en enhed eller ændre systemsoftwaren.
Den personlige indstilling er årsagen til, at der altid kræves netværksforbindelse til Apple, før en enhed med en chip designet af Apple, herunder en Intel-baseret Mac med Apple T2-sikkerhedschippen, kan opdateres.
Som en ekstra foranstaltning aktiveres brugerens dataenhed på disken aldrig under en softwareopdatering for at forhindre læsning fra eller skrivning til enheden under opdateringer.
På enheder med Secure Enclave benytter denne hardware på lignende vis godkendelse af systemsoftware til at kontrollere integriteten af systemets software og være med til at forhindre nedgraderinger.