Sicherheit für UEFI-Firmware beim Intel-basierten Mac
Ein Intel-basierter Mac mit Apple T2 Security Chip bietet Sicherheit dank der UEFI-Firmware (Intel-Firmware).
Übersicht
Seit 2006 nutzen Mac-Computer mit einer Intel-basierten CPU eine Intel-Firmware, die auf dem Extensible Firmware Interface (EFI) Development Kit (EDK) Version 1 oder Version 2 basiert. EDK2-basierter Code ist mit der UEFI-Spezifikation (Unified Extensible Firmware Interface) konform. In diesem Abschnitt wird die Intel-Firmware als UEFI-Firmware bezeichnet. Die UEFI-Firmware war der erste Code, der auf dem Intel-Chip ausgeführt wurde.
Für einen Intel-basierten Mac ohne Apple T2 Security Chip ist der Vertrauensanker für die UEFI-Firmware der Chip, auf dem die Firmware gespeichert ist. Aktualisierungen der UEFI-Firmware werden von Apple digital signiert und durch die Firmware überprüft, bevor der Speicher aktualisiert wird. Zum Schutz vor Rollback-Angriffen müssen Aktualisierungen stets eine Version aufweisen, die neuer ist als die aktuell vorhandene Version. Ein Angreifer mit direktem Zugriff auf den Mac könnte jedoch Hardware an den Firmware-Speicherchip anschließen und den Chip mit schädlichen Inhalten aktualisieren. Wenn im frühen Startvorgang der UEFI-Firmware (bevor diese den Speicherchip mit einem Schreibschutz versieht) Sicherheitslücken entdeckt werden, könnte auch dies zu einer dauerhaften Infizierung der UEFI-Firmware führen. Hierbei handelt es sich um eine durch die Hardwarearchitektur bedingte Beschränkung, die in den meisten Intel-basierten PCs auftritt und die in allen Intel-basierten Mac-Computern ohne T2-Chip vorhanden ist.
Um physische Angriffe zu verhindern, die die UEFI-Firmware unterwandern, wurde die Architektur von Mac-Computern dahingehend erneuert, dass der Vertrauensanker in der UEFI-Firmware des T2-Chips liegt. Auf diesen Mac-Computern ist der Vertrauensanker für die UEFI-Firmware insbesondere die T2-Firmware, wie im Abschnitt Startvorgang bei Intel-basierten Mac-Computern beschrieben wird.
Unterkomponente Intel Management Engine (ME)
Bei der ME-Firmware (Intel Management Engine) handelt es sich um eine Unterkomponente, die innerhalb der UEFI-Firmware gespeichert ist. Die ME – ein separater Prozessor und separates Subsystem in Intel-Chips – wird in erster Linie für den Schutz von Audio- und Video-Urheberrechten auf Mac-Computern eingesetzt, die nur über Intel-basierte Grafikschnittstellen verfügen. Um die Angriffsfläche dieser Unterkomponente zu reduzieren, führt ein Intel-basierter Mac eine eigene ME-Firmware aus, bei der auf die meisten Komponenten verzichtet wird. Da die ME-Firmware des Mac kleiner als der von Intel bereitgestellte, standardmäßige Mindest-Build ist, fehlen zahlreiche Komponenten, die in der Vergangenheit Gegenstand öffentlicher Angriffe durch Sicherheitsexperten waren.
System Management Mode (SMM)
Intel-Prozessoren verfügen über einen speziellen Ausführungsmodus, der sich vom normalen Betrieb unterscheidet. Dieser Modus wird als System Management Mode (SMM) bezeichnet. Ursprünglich wurde er eingeführt, um zeitkritische Operationen wie beispielsweise die Energieverwaltung zu handhaben. Mac-Computer haben für die Ausführung solcher Aufgaben jedoch schon immer einen eigenen Mikrocontroller verwendet, der als System Management Controller (SMC) bezeichnet wird. Mittlerweile ist der SMC kein separater Mikrocontroller mehr, sondern ein integraler Bestandteil des T2-Chips.