攻擊者利用 Apple T2 芯片漏洞獲得 root 訪問權限

研究人員聲稱，攻擊者可以利用此問題來獲得root訪問權限。

一位研究人員聲稱，帶有macOS操作系統和T2安全芯片的Apple設備對可能會給不良參與者提供根訪問權限的漏洞利用是開放的。Apple尚未發布修復程序。

該漏洞源于T2芯片，該芯片是Apple芯片的第二代版本，可提供增強的安全性-包括保護其Touch ID功能，以及為加密存儲和安全啟動功能提供基礎。在2018年至2020年之間銷售的Mac具有嵌入式T2芯片，并且受此問題的影響。

獨立安全研究人員Niels H.說，值得注意的是，攻擊者需要對設備進行物理訪問才能發起攻擊。但是，如果他們能夠成功竊取受害者的設備，則攻擊者可以利用此問題來獲得root用戶訪問權限，從而為他們提供多種不同的功能。其中包括強行使用的FireVault2卷密碼（FireVault是Apple在macOS和Mac硬件上加密數據的實現），更改了macOS的安裝并加載了任意內核擴展。

Niels H.在周一IronPeak周一的博客文章中說：“我已經多次就這個問題與蘋果公司聯系，甚至做了令人恐懼的cc tcook@apple.com以獲得曝光 。” “由于我已經有好幾個星期沒有收到回復了，所以我對覆蓋蘋果的眾多新聞網站也都做了同樣的回復，但是那里也沒有回復。為了提高人們的知名度（以及蘋果的官方回應），我特此披露幾乎所有細節。”

Threatpost已與Apple聯系，以了解更多詳細信息，但截止日期之前未收到回復。

困擾T2芯片的問題是兩個現有問題的結合。Niels H.說，首先，T2芯片基于A10處理器-這意味著它可以開放給以前披露的無法修補的漏洞，該漏洞影響著數億部iPhone，從而使攻擊者可以從系統級訪問手機。可以通過稱為checkm8 exploit的越獄黑客來利用此漏洞 。

2019年9月披露的Checkm8利用了所謂的bootROM漏洞。顧名思義，bootROM是指只讀存儲器（ROM），其中包含iPhone的啟動（或啟動）指令。由于內存是只讀的，因此無法通過安全更新修補漏洞。9月，基于BootROM checkm8漏洞的checkra1n越獄也被正式發布并推廣為越獄iOS設備的簡便方法。

Niels H說：“蘋果在向客戶運送的T2安全芯片中保留了一個開放的調試接口，允許任何人無需身份驗證即可進入設備固件更新（DFU）模式。該電纜可用于執行低級CPU和T2調試是Internet上的JTAG / SWD調試電纜。使用調試電纜需要降級，但是要通過生產狀態將其切換，這可以通過checkm8漏洞利用。

對于這種特定的T2芯片問題，攻擊者可以利用checkm8漏洞最初劫持設備。此后，如果T2芯片處于設備固件更新（DFU）模式并且檢測到解密調用，通常T2芯片將以致命錯誤退出。

但是，由于第二個問題（稱為“blackbird vulnerability”），盤古團隊在8月進行了詳細介紹，情況并非如此。blackbird vulnerability使攻擊者能夠攻擊安全飛地處理器（SEP）的安全啟動-最終可以用來規避此檢查。

只要獲得對目標設備的物理訪問權限，攻擊者就需要先竊取設備，然后將硬件或其他連接的組件插入其中。Niels H.說，例如，可以創建一條惡意的USB-C電纜，該電纜可以在啟動時自動利用macOS設備。

他說：“一旦在T2上具有訪問權限，您就具有完全的root訪問權限和內核執行特權，因為內核是在執行之前重寫的。” “好消息是，如果您使用FileVault2作為磁盤加密，則他們將無法立即訪問磁盤上的數據。但是，他們可以在T2固件中注入鍵盤記錄程序，因為它可以管理鍵盤訪問，存儲密碼以在惡意硬件附件的情況下進行檢索或傳輸。”

Niels H.說，如果用戶懷疑自己的系統已被篡改，則可以使用Apple Configurator在T2芯片上重新安裝bridgeOS。對于安全專業人員：“請等待修復，密切關注Checkra1n團隊，并準備更換您的Mac，”他說。