Actualizaciones seguras del software
La seguridad es un proceso; no basta con arrancar de manera confiable la versión del sistema operativo instalada de forma predeterminada, sino que también debe existir un mecanismo que permita obtener de manera rápida y segura las últimas actualizaciones de seguridad. Apple publica periódicamente actualizaciones de software para solucionar problemas de seguridad emergentes. Los usuarios de dispositivos iPhone y iPad reciben notificaciones de actualizaciones en el dispositivo; mientras que los usuarios de computadoras Mac pueden revisar si hay actualizaciones disponibles en Configuración del Sistema (macOS 13 o versiones posteriores) o Preferencias del Sistema (macOS 12 o versiones anteriores). Las actualizaciones se entregan por vía inalámbrica, para la adopción rápida de las últimas correcciones de seguridad.
Seguridad del proceso de actualización
El proceso de actualización utiliza la misma raíz de confianza basada en hardware que el arranque seguro usa y que está diseñada para instalar únicamente código firmado por Apple. El proceso de actualización también utiliza la autorización del software del sistema para revisar que sólo las copias de las versiones del sistema operativo que estén actualmente firmadas por Apple se puedan instalar en los dispositivos iPhone y iPad, o en las computadoras Mac que tengan Máxima seguridad como la política de seguridad configurada para el arranque seguro en la app Utilidad de Seguridad de Arranque. Con estos procesos seguros, Apple puede dejar de firmar versiones anteriores del sistema operativo con vulnerabilidades conocidas y, por lo tanto, ayuda a prevenir ataques de retroceso.
Para ofrecer una mayor seguridad al actualizar el software, cuando un dispositivo está conectado físicamente a una Mac, se descarga e instala una copia completa de iOS o de iPadOS. Sin embargo, en el caso de las actualizaciones de software inalámbricas (OTA) sólo se descargan los componentes necesarios para llevar a cabo la actualización en lugar de descargar todo el sistema operativo. De este modo, se mejora la eficiencia de la red. Además, las actualizaciones de software se pueden almacenar en la memoria caché de una Mac con macOS 10.13 o versiones posteriores que tenga activada la función de almacenamiento de contenido en caché, de tal forma que los dispositivos iPhone y iPad no tengan que volver a descargar de Internet la actualización necesaria. Sin embargo, aún será necesario ponerse en contacto con los servidores de Apple para completar el proceso de actualización.
Proceso de actualización personalizado
Durante las actualizaciones, se pone cierta información a disposición del servidor de autorización de instalaciones de Apple, el cual incluye una lista de mediciones criptográficas para cada parte del paquete de instalación que se vaya a instalar (por ejemplo, iBoot, el kernel y la imagen del sistema operativo), un valor de antirreproducción y el identificador de chip exclusivo (ECID) del dispositivo.
El servidor de autorización coteja la lista de medidas presentada con las versiones cuya instalación se permite y, si encuentra una coincidencia, agrega el ECID a la medición y firma el resultado. Como parte del proceso de actualización, el servidor envía un conjunto completo de datos firmados al dispositivo. Agregar ECID “personaliza” la autorización para el dispositivo que realiza la solicitud. El servidor sólo autoriza y firma las medidas conocidas, de modo que ayuda a garantizar que la actualización se lleve a cabo de acuerdo con las especificaciones de Apple.
La evaluación de la cadena de confianza del tiempo de arranque verifica que la firma sea de Apple y que la medición del elemento que se carga desde el dispositivo de almacenamiento, junto con el identificador de chip exclusivo (ECID) del dispositivo, coincidan con lo que cubre la firma. Estos pasos están diseñados para garantizar que, en dispositivos compatibles con la personalización, la autorización se realice para un dispositivo específico y que no se pueda copiar un sistema operativo anterior de la versión del firmware de un dispositivo a otro. El valor de antirreproducción ayuda a impedir que un atacante guarde la respuesta del servidor y la utilice para manipular un dispositivo o modificar el software del sistema de algún otro modo.
El proceso de personalización es la razón por la que siempre se requiere una conexión de red a Apple para actualizar cualquier dispositivo que tenga un Apple Chip, incluidas las computadoras Mac basadas en Intel que tienen el chip de seguridad T2 de Apple.
En los dispositivos con Secure Enclave, este hardware utiliza de forma similar el proceso de autorización de software del sistema para revisar la integridad de su software, y está diseñado para impedir la instalación de versiones anteriores.