Fény derült az Apple T2 chip néhány ezidáig rejtett képességére

Az iMac Pro tavalyi bejelentésekor már írtunk arról, hogy az új hardver egyik legérdekesebb és legfontosabb alkatrésze az Apple saját fejlesztésű T2 biztonsági koprocesszora.

Az október végén bejelentett MacBook Air és Mac mini is tartalmazni fogja ezt a chipet. Az almás cég ezzel összhangban egy új, hivatalos leírást is közzétett a T2 képességeiről.

A 15 oldalas dokumentum egészen új és szokatlannak mondható részleteket tárt fel a chip működésésből, illetve pontosította a már tavaly év végén is ismert részinformációkat. Bátran kijelenthetjük, hogy a biztonságukért, adataik védelméért aggódó (“tájszóval” paranoid) felhasználók örömmel fogadják ezeket az újonnan feltárt funkciókat.

A leírás öt központi témakörre oszlik. Elsőként a Secure Enclave szerepét tárgyalja, majd a másodikban a háttértár titkosítását részletezi, különös tekintettel az APFS fájlrendszer és a FileVault nyújtotta lehetőségekre. A harmadik rész az indítási folyamat ellenőrzéséről szól, és külön kitér a Windows bootolására is. A negyedik és az ötödik fejezetet rendre a Touch ID-nak, illetve a T2-t tartalmazó MacBookok egy eddig ismeretlen képességnek, a mikrofon fizikai lekapcsolásának szentelték.

Ez utóbbit a következőképpen írja le a biztonsági útmutató:

All Mac portables with the Apple T2 Security Chip feature a hardware disconnect that ensures that the microphone is disabled whenever the lid is closed. This disconnect is implemented in hardware alone, and therefore prevents any software, even with root or kernel privileges in macOS, and even the software on the T2 chip, from engaging the microphone when the lid is closed. (The camera is not disconnected in hardware because its field of view is completely obstructed with the lid closed.)
Azaz:
Minden hordozható Mac, amely az Apple T2 biztonsági chipjével rendelkezik, tartalmaz egy hardveres megszakítót is. Ez biztosítja, hogy a mikrofon minden esetben kikapcsoljon, ha a laptop fedelét lehajtják. Ez egy kizárólag fizikai kapcsoló, így minden szoftver számára lehetetlenné teszi a mikrofon elérését, beleértve a macOS alatt root vagy kernelszintű hozzáféréssel rendelkező programokat és a T2 chip saját szoftverét is. A webkamera nem rendelkezik hasonló védelemmel, mert annak látómezejét amúgy is teljesen kitakarja a gép háza a fedél lecsukott állapotában.
Itt érdemes kitérni még egy másik, műszakilag talán nagyobb szabású biztonsági intézkedésre, ez pedig a bootfolyamat ellenőrzése. Azt már eddig is lehetett tudni, hogy a T2 chip “ellenőrzi” a betöltendő operációs rendszert. Az azonban, hogy ez az ellenőrzés pontosan mit is jelent, egyesek számára meglepő lehet.
Az iDownloadBlog cikke szerint néhány Linux-felhasználó panaszkodott arra, hogy nem tudnak Linux alapú operációs rendszert telepíteni a T2 chippel rendelkező gépükre. Kiderült, hogy ennek az az oka, hogy a beleépített ellenőrzések kizárólag a macOS-t vagy a Boot Camp segítségével telepített Windows 10-et ismerik el biztonságos operációs rendszernek. A biztonsági chip alapbeállításban bármilyen más, harmadik féltől származó rendszer indítását megtagadja.
Szerencsére a problémára létezik egy viszonylag egyszerű (fél)megoldás: a Secure Boot kikapcsolható. Néhányan azonban még ezután sem tudtak linuxos rendszert telepíteni, egyelőre ismeretlen okból. Természetesen ez az átlagfelhasználó számára nem követendő példa, a Secure Boot ellenőrzései okkal vannak a rendszerben, a kikapcsolásuk csökkenti a biztonságot. De ha valakinek mindenképpen szüksége van rá, akkor érdemes tudnia erről a lehetőségről.
Mit gondoltok, hasznosak ezek a fejlesztések a Mac-felhasználók számára?

  1. kchris says:

    mielőtt itt is kialakulna erről a vita leírom:
    LEHET olyan galvanikus leválasztás nélküli mikrofon tiltást megvalósítani ami NEM átugorható szoftveresen, sem simán sem Firmware módosítással. Ehhez vissza kell menni retró-ba: régen nem általános mikrokontroller volt és meg volt írva a logika szoftverben hanem úgy rakták össze a logikát kapuk meg miegymásból hogy szoftver NÉLKÜL is benne volt a működés. Abszolút célhardver… Itt is erről lehet szó - nyilván van fedél érzékelő de annak az állapotát millió célra használják fel, plusz egy ilyen logikának is ez a bemenő jele. Ebben az esetben lehet szó fizikailag megmódosítani ezt a jelet de ha az ICbe van integrálva az elég nehéz…

  2. Az odáig rendben van, hogy ezt egy egyszerű IC-vel meg lehet oldani hardveresen, viszont szerintem itt kell lennie egy olyan ÉS kapcsolatnak pluszban, hogy nincs kimenő videojel (lecsukott, dokkolt gépben is működnie kell szerintem a mikrofonnak). Márpedig hacsak az USB-C csatiba mem dugtak bele egy kis fizikai kapcsót, akkor sajnos ott van a szoftveres módosítás lehetősége.

  3. kchris says:

    ezzel mondasz valamit… de ehhez az kell hogy teszteljek rendesen a gepet hogy mi a helyzet…

A Szifon.com-on megváltozott a hozzászólás rendszer, ezentúl az alábbi gombra kattintva tudsz véleményt alkotni. Bővebben itt olvashatsz erről.

Kérdésed lenne? Megosztanál valamit a többi olvasóval? Használd az új közösségi portálunkat!