UEFI-laiteohjelmiston suojaus Intel-pohjaisessa Macissa
Apple T2 Security ‑sirulla varustetussa Intel-pohjaisessa Macissa on suojaus, jossa käytetään UEFI-laiteohjelmistoa (Intel).
Yleiskatsaus
Vuodesta 2006 alkaen Mac-tietokoneet, joissa on Intel-pohjainen prosessori, ovat käyttäneet Intel-laiteohjelmistoa, joka perustuu EFI-käyttöliittymän (Extensible Firmware Interface) EDK-kehityspaketin versioon 1 tai 2. EDK2-pohjainen koodi noudattaa UEFI (Unified Extensible Firmware Interface) ‑määrityksiä. Tässä osiossa Intel-laiteohjelmistoa kutsutaan UEFI-laiteohjelmistoksi. UEFI-laiteohjelmisto oli ensimmäinen Intel-sirulla suoritettava koodi.
Intel-pohjaisessa Macissa, jossa ei ole Apple T2 Security -sirua, UEFI-laiteohjelmiston luottamuksen perusta on siru, jonne laiteohjelmisto on tallennettu. Apple allekirjoittaa UEFI-laiteohjelmistopäivitykset digitaalisesti ja laiteohjelmisto tarkistaa tämän allekirjoituksen ennen päivitystä. Heikennyshyökkäyksiä auttaa estämään se, että päivityksissä täytyy aina olla uudempi versio kuin nykyinen versio. Hyökkääjä, jolla on fyysinen pääsy Maciin, voisi kuitenkin mahdollisesti päästä laitteiston avulla käsiksi laiteohjelmiston muistisiruun ja päivittää siruun haitallista sisältöä. Samalla tavoin jos haavoittuvuuksia löydetään UEFI-laiteohjelmiston käynnistyksen alkuvaiheesta (ennen kuin se estää kirjoittamisen muistisirulle), tämä voisi johtaa UEFI-laiteohjelmiston pysyvään tartuntaan. Tämä on laitteiston arkkitehtoninen rajoitus, joka on yhteinen useimmille Intel-pohjaisille PC-tietokoneille. Se on olemassa myös kaikissa Intel-pohjaisissa Mac-tietokoneissa, joissa ei ole T2-sirua.
UEFI-laiteohjelmistoa muuttavien fyysisten hyökkäysten estämiseksi Mac-tietokoneiden arkkitehtuuri uudistettiin siten, että UEFI-laiteohjelmiston luottamuksen perusta on T2-sirussa. Näissä Mac-tietokoneissa UEFI-laiteohjelmiston luottamuksen perusta (RoT) on T2-laiteohjelmisto, kuten osiossa Intel-pohjaisen Macin käynnistysprosessi kerrotaan.
Intel Management Engine (ME) ‑alikomponentti
Yksi UEFI-laiteohjelmistoon tallennettu alikomponentti on Intel ME (Management Engine) -laiteohjelmisto. ME:tä (erillistä prosessoria ja alijärjestelmää Intel-siruilla) käytetään etupäässä ääni- ja videosisällön tekijänoikeussuojaukseen Macissa, jossa on vain Intel-pohjainen näytönohjain. Tämän alikomponentin hyökkäysmahdollisuuksien vähentämiseksi Intel-pohjaisessa Macissa on muokattu ME-laiteohjelmisto, josta useimmat komponentit on poistettu. Koska tuloksena oleva Macin ME-laiteohjelmisto on pienempi kuin oletusarvoinen minimikoonnos, jonka Intel tarjoaa, siinä ei enää ole monia tietoturvatutkijoiden aiemmin julkisesti arvostelemia komponentteja.
Järjestelmänhallintatila (SMM)
Intel-prosessoreissa on normaalista toiminnasta eroava erityinen suoritustila. Tämä järjestelmänhallintatila (SMM) tehtiin alun perin sellaisten toimintojen käsittelyyn, joissa aika on merkittävä tekijä, kuten virranhallinnan käsittelyyn. Mac-tietokoneet ovat aiemmin käyttäneet kyseisten tehtävien suorittamiseen erillistä mikro-ohjainta nimeltä järjestelmänhallintayksikkö (SMC). Järjestelmänhallintayksikkö ei ole enää erillinen mikro-ohjain, vaan se on integroitu T2-siruun.