Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Macs mit T2-Chip gehackt – Angriff ähnlich Jailbreaks für iOS-Geräte

Im September 2019 ging eine Meldung durch die Presse, welche Apple gar nicht gefallen hat: Alle iPhones mit Apple A5- bis Apple A11-Prozessor sind angreifbar. Die Schwachstelle wird unter dem Namen "checkm8" ("Schachmatt") gehandelt und ist dahingehend einmalig, dass Apple gegen den Angriff nichts unternehmen kann. Der Grund dahinter ist, dass sich die Hacker eine Lücke im DFU-Modus zunutze machen – der Programmcode für diesen Modus liegt in einem nicht beschreibbaren Read-Only-Memory, genannt SecureROM/bootrom. Hier ist Code hinterlegt, welchen das Gerät als allererstes im Startprozess ausführt. Konkret nutzen die Hacker ein Fehler im USB-Code aus, welcher durch einen Trick das Ausführen von unsigniertem Code auf Ebene des Bootrom erlaubt.


iOS-Schwachstelle nicht zu beheben
Da es sich hierbei um nicht-beschreibbaren Speicher handelt, kann Apple Fehler in diesem Code auch nicht durch ein Software-Update beheben – daher bleiben alle Geräte vom iPhone 5s bis zum iPhone X angreifbar. Neuere Modelle sind von der Schwachstelle nicht betroffen. Die Lücke ermöglicht es, unsignierten Code, welcher nicht von Apple stammt, auszuführen. Auch "Jailbreaks" lassen sich über diese Schwachstelle umsetzen, welche nicht von Apple zu verhindern sind.

Für Sicherheitsforscher aber auch für Hacker hat diese Lücke weitreichende Konsequenzen: Nun ist es auf einfache Art und Weise möglich, an unverschlüsselte Firmware-Images von iPhones zu gelangen. Vormals war dies nur schwer möglich, da die Schlüssel zum Dekodieren von iOS-Updates erraten werden mussten – ein zeitaufwändiger Prozess. Manche dieser Schlüssel ließen sich von iPhone-Vorserien- und Testmodellen extrahieren, welche über eine spezielle iOS-Version verfügten, bei der nicht alle Schutzmaßnahmen aktiv waren.

Mittels der Schwachstelle lässt sich auf das gesamte Dateisystem eines iPhones zugreifen – Schlüssel, welche in der Secure Enclave des Apple-A-Chips gespeichert sind, können aber nicht ausgelesen werden. Hier speichert Apple zum Beispiel Daten bezüglich der Fingerabdrücke, der Gesichtserkennung und Keys für das Entschlüsseln von Dateien.

T2-Chip in Macs mit A-Prozessoren verwandt
Seit dem iMac Pro setzt Apple einen Zusatz-Chip in Macs ein: Den Apple T2-Chip. Jeder aktuelle Mac (bis auf den 2019er iMac) bringt einen T2-Prozessor mit, welcher im System weitreichende Aufgaben übernimmt: Die Verschlüsselung der internen SSD wird über den Koprozessor abgewickelt, aber auch die Steuerung der Face-Time-Kamera und der Touch Bar übernimmt der T2. Der T2-Prozessor ist technisch mit dem Apple A10 verwandt.

DFU-Modus auf dem Mac aktivieren
Ähnlich iPhones und iPads verfügen auch Macs mit T2-Prozessor über einen DFU-Modus. Dieser lässt sich wie folgt aktivieren:

Desktop-Macs
  • Mac komplett ausschalten und Stromkabel ziehen
  • Thunderbolt-Kabel anschließen: Beim iMac Pro an dem Port neben dem Ethernet-Anschluss, beim 2018er Mac mini den Port neben dem HDMI-Anschluss
  • Andere Seite des Thunderbolt-Kabels an einen anderen Mac anschließen
  • Power-Knopf für drei Sekunden halten und zeitgleich das Stromkabel wieder einstecken

MacBooks
  • MacBook komplett ausschalten und vom Stromkabel trennen
  • Thunderbolt-Kabel auf der linken Seite des MacBooks einstecken
  • Andere Seite des Thunderbolt-Kabels an einen anderen Mac anschließen
  • Die Einschalttaste, rechte Shift-Taste, linke Control- und Alt-Taste für 3 Sekunden halten

Daraufhin befindet sich der Mac im DFU-Modus und kann ähnlich iOS-Geräten mit neuer Software bestückt werden. Hierzu kann das Apple-eigene Programm "Apple Configurator 2" verwendet werden.


Macs nun auch angreifbar
Schon kurz nach Erscheinen der Schwachstelle "checkm8" wurde vermutet, dass auch andere iDevices nicht vor der Schwachstelle geschützt sind. So lässt sich beispielsweise derzeit auch ein Apple TV der 4. und 5. Generation hacken – aber auch ältere Modelle der Apple Watch sind nicht vor diesen Angriffen sicher.

Da der Apple T2-Chip in modernen Macs mit dem Apple A10-Prozessor technisch verwandt ist, setzt dieser auch auf das selbe SecureROM – und ist somit genau wie die älteren A-Prozessoren angreifbar. Apple setzt beim T2-Chip, welcher die interne Bezeichnung T8012 trägt, auf die Bootrom-Version "3401.0.0.1.16" – diese Version bringt die Schwachstelle im USB-Code noch mit.

Hacker "qwertyoruiopz" hat nun auf Twitter bekanntgegeben, dass die checkm8-Schwachstelle nun erfolgreich ausgenutzt wurde, um den T2-Prozessor zu hacken:


Damit ist es möglich, die Software, welche der T2-Prozessor ausführt, zu patchen oder eine ganz andere zu starten. Zwar ist auch wie bei anderen A-Chips die Secure Enclave sicher – doch zukünftige Jailbreaks sind so auf T2-Macs nicht zu verhindern. Sollte sich Apple dazu entschließen, macOS so abzuriegeln, dass nur noch von Apple freigegebene Software gestartet werden darf, kann dieser Schutz zukünftig ausgehebelt werden.

Unklar ist derzeit, ob sich auch die iCloud-Aktivierungssperre auf diese Art und Weise umgehen lässt – ein Firmware-Passwort sollte sich aber durch den Hack rückgängig machen lassen und bietet somit zukünftig kaum noch Schutz. Auch beim Mac wird sich der Fehler nicht durch ein Software-Update beheben lassen – das SecureRom ist auch im T2-Chip nicht beschreibbar.

Möglichkeiten für Bastler
Abseits von Hacks bieten sich aber auch neue Möglichkeiten für Hobby-Bastler: Da es zukünftig möglich sein wird, völlig anderen Code auf dem T2-Prozessor auszuführen, ist es denkbar, dass Nutzer ein zweites Betriebssystem auf dem Koprozessor ausführen – mit der Touch Bar als Hauptbildschirm.

Implikationen des Hacks
Hat ein Hacker physikalischen Zugriff auf den Mac, ermöglicht das Aushebeln des T2-Chips viele Möglichkeiten, an die Daten auf dem Gerät zu gelangen – zum Beispiel ist das Booten von einem externen Volume möglich oder das Aushebeln des Firmware-Passwortes. Nicht möglich ist es nach derzeitigem Kenntnisstand, dass Malware oder Viren sich auf dem T2 einnisten oder das gar durch den Aufruf einer Webseite oder das Ausführen eines heruntergeladenem Programms das System angreifbar wird.

Kommentare

Tayfun
Tayfun11.03.20 10:46
Wie schön das die SSD‘s im Mac Pro und im iMac Pro den T2 Chip benötigen
-5
iQuaser
iQuaser11.03.20 11:12
Und was heißt das jetzt? Ist die Festplattenverschlüsselung als Sicherheit -
falls jemand den Mac klaut - damit obsolet? Ist der Mac nun noch sicher oder nicht?
0
Mendel Kucharzeck
Mendel Kucharzeck11.03.20 11:15
iQuaser
Die Implikationen bezüglich SSD-Verschlüsselung sind noch nicht hundertprozentig klar – dafür ist es noch zu früh

Edit: Nach Aussage von einem der Hacker sind zwar die File-Vault-Keys sicher, aber man erlangt unendlich viele Versuche diese zu erraten. Das Erraten ist praktisch kaum möglich und würde in der Praxis zu lange dauern.
+7
Wiesi
Wiesi11.03.20 11:40
Wer sicher gehen will, muß das Boot-Rom austauschen. Weil sich bei Apple kaum etwas austauschen läßt, kauft man besser gleich einen neuen Rechner, bzw. ein neues iPhone. Das Recht auf Reparatur bekommt hier eine ganz neue Begründung. Ein Sinneswandel auf Customer value statt shareholder value wäre schön.
Everything should be as simple as possible, but not simpler
+2
Mendel Kucharzeck
Mendel Kucharzeck11.03.20 11:43
Wiesi
Bei fast allen modernen Geräten ist die initiale Startroutine wie auch ein Flash-Modus in einem ROM integriert, welches sich nicht tauschen oder beschreiben lässt.
+2
Wiesi
Wiesi11.03.20 12:12
Mendel Kucharzeck
Wenns alle machen, muß es noch lange nicht richtig sein. Apple sollte ja besser sein als die andern. Daß ein leicht austauschbares Boot-ROM ein neues Sicherheitsrisiko mit sich bringt, ist mir bewußt.

Letztendlich muß das ROM zwar logisch aber nicht physisch mit dem Rechner fest verkoppelt sein. Das erfordert eine entsprechende Verschlüsselung, die auf den einzelnen Rechner geprägt ist. Das bedeutet auch, daß Apple das Monopol auf die Programmierung des ROM behalten muß. Natürlich wird auch der Fertigungsprozess komplizierter.

Eine alte Regel lautet: "Programme im ROM müssen unbedingt.wasserdicht sein." Deswegen wäre es wohl besser, das Boot-Program so kurz zu halten, daß es gut überschaubar wird und fehlerfrei programmiert werden kann. Etwas länger als die "bootstraps" aus alten Zeiten darf es aber schon sein.
Everything should be as simple as possible, but not simpler
+4
MikeMuc11.03.20 12:16
Mendel Kucharzeck
Wiesi
Bei fast allen modernen Geräten ist die initiale Startroutine wie auch ein Flash-Modus in einem ROM integriert, welches sich nicht tauschen oder beschreiben lässt.
Dann muß Apple halt zusehen, wie sie den Chip mit dem Bootrom ausgelotet kriegen und einen neuen mit "dichtem" Bootrom wieder auf die Platine kriegen. Dieser Vorgang macht zwar keinen Spaß, aber auch hier gilt der alte Werbespruch einer bekannten japanischen Automarke
+1
gfhfkgfhfk11.03.20 13:07
iQuaser
Letztendlich muß das ROM zwar logisch aber nicht physisch mit dem Rechner fest verkoppelt sein. Das erfordert eine entsprechende Verschlüsselung, die auf den einzelnen Rechner geprägt ist.
Das ist nicht notwendig. Wichtig ist nur, dass das ROM vor unbefugten Schreibzugriffen geschützt ist. Früher hat man das durch einen simplen Hardwareschalter realisiert – unknackbar für jede Malware. Das Problem ist, dass Apple nicht nur Malware den Zugriff vor dem ROM nehmen will, sondern auch dem Eigentümer des Computers, weil man das für das Rechtemanagment braucht. Apples Devices als Content Abspielplattform sind darauf angewiesen.

P.S. Man muss keine ROMs auslöten, dass kann man mit einer Programmierzange lösen. Platine spannungsfrei machen, Zange ansetzen und das FlashROM neu programmieren.
+2
Wiesi
Wiesi11.03.20 13:36
gfhfkgfhfk

Ich bin leicht verwirrt:

1. Du zitierst meinen Post unter dem Pseudonym iQuaser.

2. Ich bin davon ausgegangen, daß mit "ROM" entweder ein auf dem Chip integrierter Festwertspeicher oder aber ein EPROM gemeint ist. Keinesfalls aber ein FlashROM.

Ein ROM, dessen Inhalt man jederzeit löschen und überschreiben kann, ist nun wirklich kein read only memory.
Everything should be as simple as possible, but not simpler
+2
Bananenbieger11.03.20 17:06
gfhfkgfhfk
Früher hat man das durch einen simplen Hardwareschalter realisiert – unknackbar für jede Malware.
Ein Hardwareschalter schützt aber nicht, wenn der Bösewicht physischen Zugriff auf das Gerät hat.
+1
gfhfkgfhfk11.03.20 20:49
Wiesi
1. Du zitierst meinen Post unter dem Pseudonym iQuaser.
Entschuldigung, da ging etwas bei zitieren schief.
Wiesi
2. Ich bin davon ausgegangen, daß mit "ROM" entweder ein auf dem Chip integrierter Festwertspeicher oder aber ein EPROM gemeint ist. Keinesfalls aber ein FlashROM.
FlashROMs sind mittlerweile Standard. D.h. es wird nur ein ganz kleiner Codeanteil im ROM auf der CPU ausgeführt, und der dient nur dazu z.B. EFI zu laden bzw. ein spezielles OS für den T2 Chip – mehr nicht.

Die Situation vor Einführung des T2 Chips gibt folgender Vortrag gut wieder.

Der T2 Chip überprüft nun das ROM des Intel Prozessor, ob es darin Veränderungen gab. Aber das ROM des T2 Chips selbst ist eben auch angreifbar, und auch das lässt sich bei physischen Zugriff auf das System flashen.
Bananenbieger
Ein Hardwareschalter schützt aber nicht, wenn der Bösewicht physischen Zugriff auf das Gerät hat.
Bei physischen Zugriff auf das Geräte kann er die FlashROMs ohnehin jederzeit reprogrammieren. Sollte nur signierter ROM Code von der Intel CPU ausgeführt werden, kann man den T2 Chip selbst angreifen. Daher ist der T2 Chip nichts als eine Eskalationsstufe, die es einem schwerer macht, aber nicht unmöglich das System anzugreifen.

Sicher ist nur das, was Du in Deinem Kopf mit Dir herum trägst. D.h. der Algorithmus für die Festplattenverschlüsselung darf auf keinerlei Key in der Hardware angewiesen sein, sondern muss mit der Passworteingabe von Dir ausreichende Sicherheit gewährleisten. Security Chips sind bisher immer früher oder später geknackt worden.
+1
iQuaser
iQuaser11.03.20 21:46
Joah... Von mir kann das Zitat nicht stammen - viel zu technisch
+1
Wiesi
Wiesi11.03.20 21:54
gfhfkgfhfk
Wenn sicherheitskritische Firmware auf einem flashbaren EPROM ausgelagert ist, dann sollte diese zumindest so signiert sein, daß ein Dritter sie nicht unbemerkt patchen kann. Sollte die FW des T2 chips nicht signiert sein, dann ist das ist das ganze nur Show.
Everything should be as simple as possible, but not simpler
+1
Marcel Bresink12.03.20 09:08
Wiesi
Wenn sicherheitskritische Firmware auf einem flashbaren EPROM ausgelagert ist, dann sollte diese zumindest so signiert sein, daß ein Dritter sie nicht unbemerkt patchen kann.

Das ist bereits lange der Fall. Der Angriff basiert meines Wissens darauf, den T2-Prozessor so gezielt mit falschen Daten zu füttern, dass er bei der Prüfung der Signatur abstürzt und beim Wiederaufsetzen danach an eine Stelle der gefälschten Firmware springt, an der er die Signaturprüfung bereits als "erledigt und bestanden" ansieht.
0
Wiesi
Wiesi12.03.20 09:55
Marcel Bresink

Vielen Dank für die Erläuterung. Bleibt die Frage offen, warum nicht zuerst mit einem unkomplizierten Programm aus dem Festwertspeicher, die gesamte Firmware geprüft wird, bevor diese gestartet wird. Vermutlich ist die FW so aufgebaut, daß das nicht so einfach geht. Insbesondere muß dazu ein Teil der Signatur in den Festwertspeicher übernommen werden. Bleibt dann wiederum die Frage offen, warum bei einen sicherheitskritischen Baustein, nicht zuerst an die Sicherheit gedacht wird.
Everything should be as simple as possible, but not simpler
0
gfhfkgfhfk12.03.20 10:38
Wiesi
Bleibt die Frage offen, warum nicht zuerst mit einem unkomplizierten Programm aus dem Festwertspeicher, die gesamte Firmware geprüft wird, bevor diese gestartet wird.
Es gibt kein „unkompliziertes Programm“ was in der Lage wäre dies zu gewährleisten. Unkompliziert wären zwar eine Passwort gesicherte Prüfsummenberechnung, aber die Algorithmen sind allesamt für so genannten Hashkollisionen anfällig, d.h. man kann falsche ROMs unterschieben die trotzdem als korrekt anerkannt werden. Eine komplette Verschlüsselung des ROM Inhaltes wäre sicherer, aber dann hat zumindest jedes Geräte einer Bauserie einen Generalschlüssel für die Entschlüsselung der ROMs. Nur auch das ist angreifbar wie genau hängt von der Konstruktion ab z.B. .

Mit passender Physiklabortechnik lässt sich der Betriebszustand einer CPU immer auslesen, d.h. man kommt auch an alle Informationen heran. D.h. Generalschlüssel in der Hardware sind prinzipiell ausspähbar z.B. durch Geheimdienst oder die OK. Die Frage ist lohnt es sich einige hunderttausende in Labortechnik zu investieren, um einen Generalschlüssel für z.B. das aktuelle MBP zu extrahieren?

Dazu kommt immer die Problematik, dass Konstruktionsfehler es ermöglichen Sicherheitsbarrieren zu überwinden. Das ist ja die Grundlage für diesen Jailbreak.
0
Wiesi
Wiesi12.03.20 11:54
Im großen und ganzen stimme ich Dir zu, aber in Nuancen liegen wir doch auseinander. Die Programme für einen (einigermaßen) sicheren Hashcode sind bekannt (und genormt) und wirklich unkompliziert. Da kann man höchstens einen Tipfehler einbauen, und den findet der Compiler. Wenn ein solches Programm in einem "unkomplizierten" Prozessor ohne multithreading und ohne out of order processing abläuft, dann sind auch Seitenkanal-Angriffe sehr schwer. Zur Not kann man auch den Daten-Cache noch abschalten.

Alles läuft darauf hinaus, daß sicherheitskritische Systemteile eine eigenständige, möglichst einfache Architektur haben müssen. Und das erfordert eben eine andere Architektur als heute üblich. Das Problem ist, daß man Sicherheit nicht nachträglich einbauen kann, sondern von Anfang an im Fokus haben muß.

Es gibt also noch Luft nach oben, und ich bin (im Prinzip) weniger pessimistisch als Du. Aber ich bezweifle, daß die Hersteller von allgemeinen Gebrauchsgütern der Sicherheit die notwendigen Prioritäten einräumen werden. Bestes Beispiel: Hausgeräte-Automation.
Everything should be as simple as possible, but not simpler
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.