Sikre softwareopdateringer
Sikkerhed er en løbende proces. Det er ikke nok at starte det operativsystem, der blev installeret på fabrikken – der skal også være en mekanisme, der hurtigt og sikkert kan hente de nyeste sikkerhedsopdateringer. Apple frigiver regelmæssigt softwareopdateringer for at imødegå potentielle sikkerhedsproblemer. Brugere af iPhone- og iPad-enheder modtager opdateringsnotifikationer på enheden. Mac-brugere finder tilgængelige opdateringer i Systemindstillinger (macOS 13 og nyere versioner) eller Systemindstillinger (macOS 12 og tidligere versioner). Opdateringer leveres trådløst, hvilket sikrer hurtig implementering af de seneste sikkerhedsopdateringer.
Sikkerhed i opdateringsprocessen
Opdateringsprocessen bruger den samme hardwarebaserede tillidsrod, der bruges af Sikker start, og som sikrer, at kun kode signeret af Apple installeres. Opdateringsprocessen bruger også godkendelse af systemsoftware til at sørge for, at kun ægte kopier af de operativsystemversioner, der er aktivt signeret af Apple, kan installeres på iPhone- og iPad-enheder og på Mac-computere med indstillingen Fuld sikkerhed slået til som sikker start-politik i Startsikkerhedsværktøj. Disse sikre processer betyder, at Apple kan ophøre med at signere ældre operativsystemversioner med kendte sikkerhedshuller, og gør det svært at gennemføre nedgraderingsangreb.
Sikkerheden ved softwareopdateringer øges, ved at en fuld kopi af iOS eller iPadOS hentes og installeres, når en enhed er sluttet fysisk til en Mac. Ved OTA-softwareopdateringer (Over The Air) hentes kun de komponenter, der kræves for at gennemføre en opdatering, i stedet for hele operativsystemet. Det sker af hensyn til netværkseffektiviteten. Desuden kan softwareopdateringer opbevares i bufferen på en Mac med macOS 10.13 eller en nyere version, hvor Indlæsning af indhold i buffer er slået til, så iPhone- og iPad-enheder ikke behøver at hente den nødvendige opdatering igen fra internettet. (De skal stadig kontakte Apple-servere for at gennemføre opdateringen).
Personliggjort opdateringsproces
Under en opgradering eller opdatering stilles der visse oplysninger til rådighed for Apples godkendelsesserver til installering, som sender en liste med kryptografiske målinger for hvert af de elementer i installeringspakken, der skal installeres (f.eks. iBoot, kernen og operativsystembilledet), en tilfældig værdi, der forhindrer genafspilning, og enhedens unikke ECID (Exclusive Chip Identification).
Godkendelsesserveren holder den modtagne liste med målinger op mod de versioner, det er tilladt at installere, og hvis den finder et match, føjer den ECID til målingen og signerer resultatet. Serveren overfører et komplet sæt signerede data til enheden som led i opgraderingen. Tilføjelsen af ECID “personliggør” godkendelsen af den enhed, der sender anmodningen. Da godkendelse og signering kun sker for kendte målinger, er serveren med til at sikre, at opdateringerne foretages præcis, som Apple har fastlagt.
Evalueringen i godkendelseskæden på starttidspunktet kontrollerer, at signaturen stammer fra Apple, og at målingen for det emne, der indlæses fra lagerenheden, sammen med enhedens ECID modsvarer det, som signaturen dækker. Disse trin har til formål at sikre, at godkendelsen på enheder, der understøtter personlig indstilling, er til en bestemt enhed, og at et ældre operativsystem eller en ældre firmwareversion fra en enhed ikke kan kopieres til en anden. Værdien, der forhindrer genafspilning, er med til at forhindre, at en person med ondsindede hensigter opsnapper serverens svar og bruger det til at modificere en enhed eller ændre systemsoftwaren.
Den personlige indstilling er årsagen til, at der altid kræves netværksforbindelse til Apple, før en enhed med en chip designet af Apple, herunder en Intel-baseret Mac med Apple T2-sikkerhedschippen, kan opdateres.
På enheder med Secure Enclave benytter denne hardware på lignende vis godkendelse af systemsoftware til at kontrollere integriteten af systemets software og være med til at forhindre nedgraderinger.