Actualizaciones seguras de software
La seguridad es un proceso. No basta con realizar un arranque de confianza de la versión del sistema operativo instalada de fábrica; también debe existir un mecanismo para obtener de forma rápida y segura las actualizaciones de seguridad más recientes. Apple publica periódicamente actualizaciones de software para resolver nuevos problemas de seguridad. Los usuarios de dispositivos iOS y iPadOS reciben notificaciones de actualizaciones en el dispositivo. Los usuarios de Mac pueden encontrar las actualizaciones disponibles en Preferencias del Sistema. Las actualizaciones se proporcionan por vía inalámbrica, para poder instalar rápidamente las correcciones de seguridad más recientes.
Proceso de actualización
El proceso de actualización usa la misma raíz de confianza basada en hardware que utiliza el arranque seguro diseñada para instalar únicamente código firmado por Apple. El proceso de actualización también utiliza autorización del software del sistema para comprobar que únicamente las copias de las versiones del sistema operativo que Apple está firmando activamente se puedan instalar en los dispositivos iOS y iPadOS o en los ordenadores Mac con el ajuste “Seguridad máxima”, configurado como la política de arranque seguro en Utilidad de Seguridad de Arranque. Con estos procesos seguros, Apple puede detener la firma de versiones anteriores del sistema operativo con vulnerabilidades conocidas y ayudar a impedir ataques que intentan restablecer versiones anteriores.
Para una mayor seguridad de las actualizaciones de software, cuando el dispositivo que se va a actualizar se conecta físicamente a un Mac, se descarga e instala una copia completa de iOS o iPadOS. Sin embargo, para las actualizaciones de software de forma remota (OTA) solo se descargan los componentes necesarios para llevar a cabo la actualización. Al no descargar todo el sistema operativo, se mejora la eficiencia de la red. Además, las actualizaciones de software se pueden almacenar en caché en un Mac en el que se ejecute macOS 10.13 o posterior con el almacenamiento en caché del contenido activado, de manera que los dispositivos iOS y iPadOS no tengan que volver a descargar de internet los datos de actualización necesarios (de todos modos, tendrán que ponerse en contacto con los servidores de Apple para completar el proceso de actualización).
Proceso de actualización personalizado
Durante las actualizaciones, se realiza una conexión con el servidor de autorización de instalaciones de Apple, que incluye una lista de medidas criptográficas para cada parte del paquete de instalación que se vaya a instalar (por ejemplo, iBoot, el kernel o una imagen del sistema operativo), un valor antirreproducción aleatorio (el nonce) y el identificador único del dispositivo (ECID).
El servidor de autorización coteja la lista de medidas presentada con las versiones cuya instalación se permite y, si encuentra una coincidencia, añade el ECID a la medida y firma el resultado. Como parte del proceso de actualización, el servidor envía un conjunto completo de datos firmados al dispositivo. La adición del ECID “personaliza” la autorización para el dispositivo que realiza la solicitud. El servidor solo autoriza y firma las medidas conocidas, de modo que ayuda a garantizar que la actualización se lleve a cabo de acuerdo con las especificaciones de Apple.
La evaluación de la cadena de confianza del arranque verifica que la firma procede de Apple y que la medida del ítem cargado desde el dispositivo de almacenamiento, en combinación con el ECID del dispositivo, coincide con lo que cubría la firma. Estos pasos están diseñados para garantizar que, en dispositivos que admiten la personalización, la autorización sea para un dispositivo determinado y que un sistema operativo o versión de firmware anterior de un dispositivo no se puede copiar en otro. El nonce ayuda a impedir que un atacante guarde la respuesta del servidor y la utilice para manipular un dispositivo o modificar el software del sistema de algún otro modo.
El proceso de personalización es el motivo por el que siempre se requiere una conexión de red con Apple para actualizar cualquier dispositivo con un chip diseñado por Apple, incluido un Mac basado en Intel con el chip de seguridad T2 de Apple.
Por último, el volumen de datos del usuario nunca se monta durante una actualización de software, lo que contribuye a impedir que se lea o se escriba nada en ese volumen durante las actualizaciones.
En los dispositivos con un procesador Secure Enclave, ese hardware usa de forma similar el proceso de autorización del software del sistema para comprobar la integridad de tu software y está diseñado para evitar la instalación de versiones anteriores.