Компания Apple опубликовала документацию по микросхеме безопасности T2, которая встроена в последние модели фирменных ноутбуков, в том числе представленный в начале года MacBook Pro и только что анонсированный MacBook Air.
До сегодняшнего дня о чипе было мало известно. Но теперь выясняется, что это очень интересная микросхема. На неё возложен целый ряд функций безопасности, в том числе хранение и защита ключей шифрования устройства, данных об отпечатков пальцев и функции безопасной загрузки. Кроме того, микросхема аппаратно отключает микрофон встроенной камеры при закрытии крышки ноутбука.
«Это отключение реализовано на аппаратном уровне и поэтому не позволяет никакому программному обеспечению, даже с привилегиями рута или ядра в macOS, и даже программному обеспечению на чипе T2, включать микрофон, когда крышка закрыта», — сказано в опубликованном руководстве, где функции аппаратного отключения микрофона уделяется один абзац.
Там же добавляется, что сама видеокамера при этом не отключается аппаратно, потому что «её поле зрения полностью заблокировано закрытой крышкой».
Apple заявила, что новая функция добавляет «невиданный» уровень безопасности для Mac. Речь идёт о защите от вредоносных программ, троянов и RAT, которые в последнее время получили распространение для операционной системы macOS (под Windows такие программы в огромном количестве существуют давным-давно).
Угроза подключения хакеров к веб-камерам на ноутбуках стала реальностью несколько лет назад, с распространением инструментов удалённого администрирования (RAT). Тогда же среди пользователей распространилась привычка заклеивать веб-камеру ноутбука изолентой или непрозрачным стикером.
До определённого момента некоторые пользователи считали, что веб-камеры на ноутбуках Apple практически невозможно активировать без ведома пользователя, Но в прошлом году был обнаружен зловред Fruitfly, который развеял этот миф.
На первый взгляд зловред довольно простой и состоит всего из двух файлов:
~/.client
SHA256: ce07d208a2d89b4e0134f5282d9df580960d5c81412965a6d1a0786b27e7f044
~/Library/LaunchAgents/com.client.client.plist
SHA256: 83b712ec6b0b2d093d75c4553c66b95a3d1a1ca43e01c5e47aae49effce31ee3 Сам файл .plist просто поддерживает постоянную работу .client. А вот последний гораздо интереснее: это минифицированный и обфусцированный скрипт на Perl, который среди прочего устанавливает соединение с одним из управляющих серверов.
Но самая интересная часть скрипта находится в конце раздела __DATA__. Там обнаружен двоичный файл Mach-O, второй скрипт на Perl и класс Java, который извлекается скриптом, записывается в папку /tmp/ и выполняется. В случае класса Java, он запускается с установкой pple.awt.UIElement в значении true, то есть не отображается в Dock.
Именно этот бинарник и делает сриншоты экрана (с дисплея) и осуществляет доступ к веб-камере. Исследователи отмечают, что для этого зловред применяет поистине «античные» системные вызовы, которые использовались ещё до появления OS X.
SGGetChannelDeviceList
SGSetChannelDevice
SGSetChannelDeviceInput
SGInitialize
SGSetDataRef
SGNewChannel
QTNewGWorld
SGSetGWorld
SGSetChannelBounds
SGSetChannelUsage
SGSetDataProc
SGStartRecord
SGGetChannelSampleDescriptionИз этого они делают вывод, что авторы не имеют опыта современной разработки под Mac, а пользуются старой документацией, что намекает на их иностранное происхождение из региона, где техника Apple не установлена повсеместно. Кроме того, бинарник включает исходник открытой библиотеки libjpeg в версии 1998 года. Так или иначе, но зловред успешно выполняет свои функции и шпионит за пользователями Mac через встроенную веб-камеру ноутбука.
Известно, что шпионаж через веб-камеры ноутбуков используется не только любопытными хакерами для развлечения, но и спецслужбами. В британской разведке GCHQ много лет действовал отдел по разработке таких троянов в рамках программы Optic Nerve. Даже некоторые известные технари вроде Марка Зукерберга заклеивают изолентой веб-камеру на ноутбуке.
Комментарии (66)
sena
05.11.2018 14:44+3Если бы кое-кто хотел сделать действительно надёжную защиту от прослушки…
Это можно реализовать весьма дёшево и просто. Достаточно поставить физический выключатель, который будет прерывать электрическую цепь микрофона. Раньше на некоторых моделях ноутбуков такие выключатели были. Причём для вебкамеры можно сделать ещё круче — шторку, когда пластиковая панелька перекрывает объектив и ты сам видишь, что камер закрыта. Так сделано, например, в некоторых моделях Logitech.
mastergril
05.11.2018 17:00Тут почти тоже самое с микрофоном сделано, правда через чип, и есть вопрос нет ли там какого бекдора. Конечно, транзистор, разрывающий цепь питания микрофона и управляемый от железного датчика закрытия было бы сверхнадёжно…
sena
05.11.2018 18:06Тут почти тоже самое с микрофоном сделано
В статье написано, что микрофон выключается когда закрывается крышка. А когда крышка открыта?
Stas911
05.11.2018 17:07+2Черная изолента — наш выбор
Alexeyslav
06.11.2018 10:02Вы же в курсе что черная изолента на самом деле недостаточно черна, если её залепить светодиод питания то он всеравно будет освещать комнату. Для надежности лепить надо фольгу на клеевой основе. Не плёночную фольгу(она полупрозрачна) а именно дубовую толстую фольгу!
creker
05.11.2018 18:23Здесь речь именно об этом. Физический выключатель микрофона при закрытии крышки.
romamix
05.11.2018 18:24Возможно, там не все так просто, есть же ещё юз кейс когда подключен внешний монитор, а крышка закрыта. В таких случаях микрофон не обязательно должен быть отключен.
Alexeyslav
06.11.2018 10:05С внешним монитором можно использовать внешний USB-микрофон(полагаю, штатный микрофонный вход так же отключается), или приоткрыть крышку.
courser
05.11.2018 20:19физический выключатель нельзя выключить дистанционно, если кому-то вдруг этого очень захотелось
Alexeyslav
06.11.2018 09:59Вероятно, следуют тенденции избавляться от всего механического. Механический контакт это ограниченный ресурс и возможные проблемы с этим связанные — недовключится когда надо или не отключится когда не надо… на крышку ведь уже давно стоит твердотельный магнитный сенсор и ни на одном ноуте он ещё не отказывал.
Aytuar
05.11.2018 15:16Странно почему камеру не отключают? Уже ведуться разработки получения изображений «из-за угла» за счёт интерференции света. Т.е. достаточно щёлочки под крышкой ноута для создания снимка или видео. Пока всё это в зачатке, но думаю алгоритм нужный придумают со временем. Хотя через видео можно и подслушать, за счёт колебаний интенсивности света (была статья на хабре), и это уже возможно применяется.
Также нужно отключать звуковые динамики, через них прослушку уже давно сделали (https://habr.com/post/399363/).
Ну и конечно очень не хватает такого выключателя на телефоне. ))sena
05.11.2018 15:47Ну и конечно очень не хватает такого выключателя на телефоне. ))
Да. Когда пуристы сделают, то будет. Есть по предзаказу, но дороговат, как по мне… Ноутбук у них уже есть с выключателями, но тоже дороговато…Alex_Q
05.11.2018 18:47Сравнимо с Google Pixel. За killerswitch можно было бы заплатить, но напрягает отсутствие возможности запустить какой нибудь WhatsApp
advan20092
05.11.2018 15:27+1Доступ к веб-камере не проблема сделать (любая программа может вполне легитимно использовать вебкамеру). Проблема отключить встроенный светодиод. Насколько мне известно в актуальных моделях этого невозможно обойти.
0xf0a00
05.11.2018 15:29+3Ну да, он зараза не управляется программно, в отличие от этого чипа.
a5b
05.11.2018 19:59Ага, не управляется: https://www.usenix.org/system/files/conference/usenixsecurity14/sec14-paper-brocker.pdf
iSeeYou: Disabling the MacBook Webcam Indicator LED (2014)
We build two proofs-of-concept: (1) an OS X application, iSeeYou, which demonstrates capturing video with the LED disabled…
the indicator LED is directly connected to the STANDBY pin on the image sensor. In order to disable the LED, we need to keep STANDBY asserted. Since asserting STANDBY will disable the image sensor output, we need to configure the image sensor to ignore STANDBY before we assert this signal.
Gordon01
05.11.2018 18:02-2Зачем рекламная статья для домохозяек на техническом ресурсе?
На техническом ресурсе про Apple должна быть единственная фраза про все эти «чипы безопасности»: они сделаны только для того, что бы ремонт новых макбуков был невозможен.
courser
05.11.2018 20:17Удивительные факты:
— Микрофон при закрытии крышки можно выключить и без специальной микросхемы.
— Специальную микросхему можно выключить и она не будет выключать микрофон.
rzerda
05.11.2018 21:03+2Как вышло, что статья из одного абзаца 14-страничного документа собрала 30+ комментариев? Ожидать ли статей из других абзацев то же документа?
justhabrauser
05.11.2018 21:49+2Автора посмотрите да.
На хабре просто уже нечего читать, поэтому народ набрасывается на любую ализаровщину — «чисто поржать».
Нет, ну правда — смешно же ж читать.
PS. там по соседству не менее профессиональная статься от того же эксперта (о ProcDump). Тоже прикольно.
blind_oracle
05.11.2018 23:25Геркончик бы впаяли и все. Тем более он там уже есть (или датчик Холла). Нет же, нужен Т2-Т3-Т4-...!
igorkozinov
06.11.2018 12:43Даже некоторые известные технари вроде Марка Зукерберга заклеивают изолентой веб-камеру на ноутбуке.
Письмо в издательство Гиль-Эстель:
— А переводчику скажите, что он сам цезел!
Подпись: Цирдан Церабел.
Остановились раз четверо хоббитов на границе двух переводов. Один и говорит спутникам:
— Запомните, я теперь никакой не Торбинс. Спросят — так Бэггинс.trimtomato
06.11.2018 15:03К тому же, если уж очень хочется, то он Закерберг, а не Зукерберг. Хотя зачем?! В русском языке он Цукерберг и никак иначе.
nfw
06.11.2018 13:53затрудняет прослушку
Не понятно кому затрудняет, обычным хакерам ваш голос вряд ли понадобится, разве что весьма сомнительной комбинации со звонками родственникам или в колл-центры с распознаванием голосов (сомнительной как минимум в свете к стремлению к массовости заражения и, соответственно, автоматического получения дохода с зараженных машин). Ну а КОМУ НАДО и так могут все что нужно послушать прямо с потока от какой-нибудь Сири.
P.S. Ах да, была же еще история с массовыми взломами ради забавы года 4 назад, где в том числе устраивали реалити-шоу с трансляцией видео с веб-камер и звука с микрофона компьютера жертв, но мне кажется вряд ли пользователи маков массово устанавливают себе пиратские сборки ОС со встроенными средствами удаленного администрирования.
IGR2014
07.11.2018 12:53Люди, которые спорят про геркон и скотч — только для вас есть уникальный новый способ понадёжней:
Молоток и кусачки. Молоток и кусачки — разбил камеру и перекусил провода микрофона, пусть теперь АНБ кусает свои локти. Молоток и кусачки — выбор настоящихпараноиковсекретных агентов
snuk182
07.11.2018 19:52Контроль на уровне железа, на случай, если кто-то вздумает сменить ось. Не только микрофона.
datacompboy
Погодите. если отключение аппаратное, то при чем тут чип?
avia07
Чип (микросхема) и является аппаратной (железной, а не софтовой) частью устройства.
На него и возложена данная функция.
datacompboy
Но зачем чип, если нужна только пара транзисторов, благо датчик крышки уже и так есть механический?
Squoworode
Парой транзисторов не похвалишься, а тут — целый чип безопасности!
Ну и, конечно, внутри у него
неонкаи другие функции тоже реализованы(аппаратное подключение аппаратно отключенного микрофона, например).VT100
И, навернояка, — программируемый. Т.е., 145%, «железное» выключение можно обойти программно.
creker
T2 это, грубо говоря, целый айфон или айвотч внутри мака. Там похожий SoC, ОС, boot chain со всеми проверками подписи и целостности, ядро, драйвера, юзерлевел. В общем, штука очень сложная. Собственно, таким образом secure boot и реализовали — boot chain в iOS очень хорошо продуман и безопасен, и он, собственно, осуществляет безопасную загрузку мака с проверкой подписи. Более того, судя по всему, EFI флешка эмулируется этим самым T2, а не дергаются напрямую регистры чипсета.
И да, он программируемый. Практически таким же форматом прошивок, который можно на iOS увидеть. Правда первичный загрузчик наверняка так же зашит в процессор как и в айфонах. Было бы логично, раз уже перенесли почти весь айфон внутрь.
duronus
Intel ME, тоже весь програмируемый, что не мешает находить в нем все новые баги ;-)
creker
И? Я как бы не считаю, что объемы кода, который крутится в Т2, это хорошо. Но, если посмотреть, какое количество функций на него переложили, которые и так кому-то пришлось бы выполнять, да еще явно каждый в своем чипе со своей прошивкой, то может быть это и не такое плохое решение. Все эти функции айфоны и так умеют. Поэтому взяли и ляпнули весь SoC с iOS, что дало им целую платформу для дальнейший экспериментов. Уязвимости будут и так, и так, а с T2 хотя бы получится пользоваться благами соседней платформы и не выдумывать все заново.
defusioner
ага, мигание экрана например (из личного опыта)
avia07
Вероятно для того, чтобы кто-то заинтересованный в сборе информации не поставил перемычку на эти два транзистора. Пример: кнопки с сенсором Touch ID которые вначале на краденных телефонах пытались заменить, но ничего не вышло. Ну и потом из одного места (чипа) гораздо удобнее управлять и контролировать безопасность. Более компактно, плюс можно еще шифрование добавить.
Lofer
Не очень понятно что там в чипе, но если при закрытии крышки прерывается цепь, то что мешает кинуть шунт в обход чипа (просто соединить микрофонный вход чипа с микрофонным выходом чипа), если там нету преобразования сигнала, а просто электронный ключ? А если крышка не закрыта, а бук просто в спящем режиме?
Andy_Big
Поставить перемычку на дорожки платы, идущие к чипу, тоже не очень сложно :)
nafgne
Если только АЦП не интегрирован в тот самый чип.
Andy_Big
Это может быть, но вряд ли.
Alex_ME
Если кто-то настолько заинтересован в сборе информации, что может получить физический доступ к потрохам макбука, чтобы поставить перемычку, я думаю, он может поставить туда еще немного компонентов, чтобы собирать информацию в обход всего.
abbaboka
Разве речь идет об защите от всего?
Apple писала только о троянах и т.п. софтверных внедренцах. Не обещала защиты от аппаратны или «вообще от всего».
Alex_ME
Это ответ на комментарий
Maximuzzz
Ну вот и поместили они эту «пару транзисторов» в чип вместе с остальными, которые занимаются прочими задачами.
vvzvlad
Потому что они займут площадь, равную половине этого чипа
datacompboy
ну вообще они нужны рядом с микрофоном, так что они займут ровно нисколько на матери.
что-то мне подсказывает, что там таки два транзистора и стоят, на дорожке от микрофона к звуковухе. а от этого чипа туда только сигнал протянут.
потому что если синал микрофона вместо того чтоб через ключи увести в звуковуху напрямую завели на «чип безопасности», и уже с него потом в звуковуху, то во-1х дорожки съели площади в разы больше, чем жалких два ключа, во-2х кучу звона можно насобирать + излучаем сигнал в эфир, в-3их это просто палево, ага.
vvzvlad
Мне кажется, там микрофоны цифровые.
datacompboy
тогда тем более, они значит уже usb карта, и нам по прежнему надо рубить линию данных, а не заводить её в чип и обратно. разве нет?
vvzvlad
А, простите, кроме USB все остальные цифровые интерфейсы уже отменили? Там I2C или SPI какой-нибудь с большой вероятностью.
markmariner
Что это значит? Что на выходе из устройства «микрофон» цифровой сигнал?
vvzvlad
Ага
tuxi
Я так думаю, что сначала просто выясняется, кому мы отключаем прослушку и надо ли отключать :) Шутка конечно, но «в каждой шутке...» как говорится.
Lofer
Полагаете, Apple наконец придумала тариф и механизм платной подписки удаленненного доступа для АНБ для прослушки? :))
tuxi
:)))))))
arthi7471
Геркон и магнит сделают то же самое.
Hardcoin
С вероятностью 99.99%. Что означает тысячи проблемных устройств (с проблемами типа залипания геркона). Я правда, не знаю, с какой вероятностью сработает чип Т2, если с такой же, тогда можно и геркон. Но, возможно, вероятность выше.
Lt_Flash
Датчик Холла уже стоит на крышке, никаких герконов нет. Или еще один поставить, или этот же использовать.
Hardcoin
Да, датчик Холла надёжнее, насколько я знаю. Я отвечал только про геркон, использовать геркон — так себе идея в этом случае.
creker
Не при чем. Речь о том, что ноуты с Т2 чипами содержат эту функцию. Она никак не связана с самим T2 чипом, просто так обозначается поколение устройств, которые содержат эту фичу. Там же упоминается, что и сам T2 чип не в силах включить микрофон обратно. Это железное отключение.