Компания Apple опубликовала документацию по микросхеме безопасности T2, которая встроена в последние модели фирменных ноутбуков, в том числе представленный в начале года MacBook Pro и только что анонсированный MacBook Air.

До сегодняшнего дня о чипе было мало известно. Но теперь выясняется, что это очень интересная микросхема. На неё возложен целый ряд функций безопасности, в том числе хранение и защита ключей шифрования устройства, данных об отпечатков пальцев и функции безопасной загрузки. Кроме того, микросхема аппаратно отключает микрофон встроенной камеры при закрытии крышки ноутбука.

«Это отключение реализовано на аппаратном уровне и поэтому не позволяет никакому программному обеспечению, даже с привилегиями рута или ядра в macOS, и даже программному обеспечению на чипе T2, включать микрофон, когда крышка закрыта», — сказано в опубликованном руководстве, где функции аппаратного отключения микрофона уделяется один абзац.



Там же добавляется, что сама видеокамера при этом не отключается аппаратно, потому что «её поле зрения полностью заблокировано закрытой крышкой».

Apple заявила, что новая функция добавляет «невиданный» уровень безопасности для Mac. Речь идёт о защите от вредоносных программ, троянов и RAT, которые в последнее время получили распространение для операционной системы macOS (под Windows такие программы в огромном количестве существуют давным-давно).

Угроза подключения хакеров к веб-камерам на ноутбуках стала реальностью несколько лет назад, с распространением инструментов удалённого администрирования (RAT). Тогда же среди пользователей распространилась привычка заклеивать веб-камеру ноутбука изолентой или непрозрачным стикером.

До определённого момента некоторые пользователи считали, что веб-камеры на ноутбуках Apple практически невозможно активировать без ведома пользователя, Но в прошлом году был обнаружен зловред Fruitfly, который развеял этот миф.

На первый взгляд зловред довольно простой и состоит всего из двух файлов:

~/.client
SHA256: ce07d208a2d89b4e0134f5282d9df580960d5c81412965a6d1a0786b27e7f044

~/Library/LaunchAgents/com.client.client.plist
SHA256: 83b712ec6b0b2d093d75c4553c66b95a3d1a1ca43e01c5e47aae49effce31ee3


Сам файл .plist просто поддерживает постоянную работу .client. А вот последний гораздо интереснее: это минифицированный и обфусцированный скрипт на Perl, который среди прочего устанавливает соединение с одним из управляющих серверов.

Но самая интересная часть скрипта находится в конце раздела __DATA__. Там обнаружен двоичный файл Mach-O, второй скрипт на Perl и класс Java, который извлекается скриптом, записывается в папку /tmp/ и выполняется. В случае класса Java, он запускается с установкой pple.awt.UIElement в значении true, то есть не отображается в Dock.

Именно этот бинарник и делает сриншоты экрана (с дисплея) и осуществляет доступ к веб-камере. Исследователи отмечают, что для этого зловред применяет поистине «античные» системные вызовы, которые использовались ещё до появления OS X.

SGGetChannelDeviceList
SGSetChannelDevice
SGSetChannelDeviceInput
SGInitialize
SGSetDataRef
SGNewChannel
QTNewGWorld
SGSetGWorld
SGSetChannelBounds
SGSetChannelUsage
SGSetDataProc
SGStartRecord
SGGetChannelSampleDescription


Из этого они делают вывод, что авторы не имеют опыта современной разработки под Mac, а пользуются старой документацией, что намекает на их иностранное происхождение из региона, где техника Apple не установлена повсеместно. Кроме того, бинарник включает исходник открытой библиотеки libjpeg в версии 1998 года. Так или иначе, но зловред успешно выполняет свои функции и шпионит за пользователями Mac через встроенную веб-камеру ноутбука.

Известно, что шпионаж через веб-камеры ноутбуков используется не только любопытными хакерами для развлечения, но и спецслужбами. В британской разведке GCHQ много лет действовал отдел по разработке таких троянов в рамках программы Optic Nerve. Даже некоторые известные технари вроде Марка Зукерберга заклеивают изолентой веб-камеру на ноутбуке.

Комментарии (66)


  1. datacompboy
    05.11.2018 14:10
    +5

    Погодите. если отключение аппаратное, то при чем тут чип?


    1. avia07
      05.11.2018 14:23

      Чип (микросхема) и является аппаратной (железной, а не софтовой) частью устройства.
      На него и возложена данная функция.


      1. datacompboy
        05.11.2018 14:55
        +1

        Но зачем чип, если нужна только пара транзисторов, благо датчик крышки уже и так есть механический?


        1. Squoworode
          05.11.2018 15:09
          +4

          Парой транзисторов не похвалишься, а тут — целый чип безопасности!
          Ну и, конечно, внутри у него неонка и другие функции тоже реализованы (аппаратное подключение аппаратно отключенного микрофона, например).


          1. VT100
            05.11.2018 19:17

            И, навернояка, — программируемый. Т.е., 145%, «железное» выключение можно обойти программно.


            1. creker
              05.11.2018 19:24
              +1

              T2 это, грубо говоря, целый айфон или айвотч внутри мака. Там похожий SoC, ОС, boot chain со всеми проверками подписи и целостности, ядро, драйвера, юзерлевел. В общем, штука очень сложная. Собственно, таким образом secure boot и реализовали — boot chain в iOS очень хорошо продуман и безопасен, и он, собственно, осуществляет безопасную загрузку мака с проверкой подписи. Более того, судя по всему, EFI флешка эмулируется этим самым T2, а не дергаются напрямую регистры чипсета.

              И да, он программируемый. Практически таким же форматом прошивок, который можно на iOS увидеть. Правда первичный загрузчик наверняка так же зашит в процессор как и в айфонах. Было бы логично, раз уже перенесли почти весь айфон внутрь.


              1. duronus
                06.11.2018 10:41

                Intel ME, тоже весь програмируемый, что не мешает находить в нем все новые баги ;-)


                1. creker
                  06.11.2018 23:30
                  +1

                  И? Я как бы не считаю, что объемы кода, который крутится в Т2, это хорошо. Но, если посмотреть, какое количество функций на него переложили, которые и так кому-то пришлось бы выполнять, да еще явно каждый в своем чипе со своей прошивкой, то может быть это и не такое плохое решение. Все эти функции айфоны и так умеют. Поэтому взяли и ляпнули весь SoC с iOS, что дало им целую платформу для дальнейший экспериментов. Уязвимости будут и так, и так, а с T2 хотя бы получится пользоваться благами соседней платформы и не выдумывать все заново.


          1. defusioner
            06.11.2018 13:24

            и другие функции тоже реализованы

            ага, мигание экрана например (из личного опыта)


        1. avia07
          05.11.2018 15:13
          +2

          Вероятно для того, чтобы кто-то заинтересованный в сборе информации не поставил перемычку на эти два транзистора. Пример: кнопки с сенсором Touch ID которые вначале на краденных телефонах пытались заменить, но ничего не вышло. Ну и потом из одного места (чипа) гораздо удобнее управлять и контролировать безопасность. Более компактно, плюс можно еще шифрование добавить.


          1. Lofer
            05.11.2018 16:02

            Вероятно для того, чтобы кто-то заинтересованный в сборе информации не поставил перемычку на эти два транзистора.

            Не очень понятно что там в чипе, но если при закрытии крышки прерывается цепь, то что мешает кинуть шунт в обход чипа (просто соединить микрофонный вход чипа с микрофонным выходом чипа), если там нету преобразования сигнала, а просто электронный ключ? А если крышка не закрыта, а бук просто в спящем режиме?


          1. Andy_Big
            05.11.2018 16:34

            Поставить перемычку на дорожки платы, идущие к чипу, тоже не очень сложно :)


            1. nafgne
              06.11.2018 01:00

              Если только АЦП не интегрирован в тот самый чип.


              1. Andy_Big
                06.11.2018 02:39

                Это может быть, но вряд ли.


          1. Alex_ME
            05.11.2018 17:12
            +1

            Если кто-то настолько заинтересован в сборе информации, что может получить физический доступ к потрохам макбука, чтобы поставить перемычку, я думаю, он может поставить туда еще немного компонентов, чтобы собирать информацию в обход всего.


            1. abbaboka
              06.11.2018 22:46

              Если кто-то настолько заинтересован в сборе информации


              Разве речь идет об защите от всего?

              Apple писала только о троянах и т.п. софтверных внедренцах. Не обещала защиты от аппаратны или «вообще от всего».


              1. Alex_ME
                06.11.2018 22:47

                Это ответ на комментарий


                Вероятно для того, чтобы кто-то заинтересованный в сборе информации не поставил перемычку на эти два транзистора.


        1. Maximuzzz
          05.11.2018 15:14
          +1

          Ну вот и поместили они эту «пару транзисторов» в чип вместе с остальными, которые занимаются прочими задачами.


        1. vvzvlad
          05.11.2018 15:35

          Потому что они займут площадь, равную половине этого чипа


          1. datacompboy
            05.11.2018 16:02
            -1

            ну вообще они нужны рядом с микрофоном, так что они займут ровно нисколько на матери.

            что-то мне подсказывает, что там таки два транзистора и стоят, на дорожке от микрофона к звуковухе. а от этого чипа туда только сигнал протянут.

            потому что если синал микрофона вместо того чтоб через ключи увести в звуковуху напрямую завели на «чип безопасности», и уже с него потом в звуковуху, то во-1х дорожки съели площади в разы больше, чем жалких два ключа, во-2х кучу звона можно насобирать + излучаем сигнал в эфир, в-3их это просто палево, ага.


            1. vvzvlad
              05.11.2018 16:05

              Мне кажется, там микрофоны цифровые.


              1. datacompboy
                05.11.2018 16:54

                тогда тем более, они значит уже usb карта, и нам по прежнему надо рубить линию данных, а не заводить её в чип и обратно. разве нет?


                1. vvzvlad
                  06.11.2018 13:53

                  А, простите, кроме USB все остальные цифровые интерфейсы уже отменили? Там I2C или SPI какой-нибудь с большой вероятностью.


              1. markmariner
                06.11.2018 09:36

                Что это значит? Что на выходе из устройства «микрофон» цифровой сигнал?


                1. vvzvlad
                  06.11.2018 13:55

                  Ага


        1. tuxi
          05.11.2018 17:00
          +2

          Я так думаю, что сначала просто выясняется, кому мы отключаем прослушку и надо ли отключать :) Шутка конечно, но «в каждой шутке...» как говорится.


          1. Lofer
            05.11.2018 17:40
            +3

            Полагаете, Apple наконец придумала тариф и механизм платной подписки удаленненного доступа для АНБ для прослушки? :))


            1. tuxi
              05.11.2018 22:45
              -1

              :)))))))


        1. arthi7471
          05.11.2018 20:56
          +1

          Геркон и магнит сделают то же самое.


          1. Hardcoin
            06.11.2018 14:55

            С вероятностью 99.99%. Что означает тысячи проблемных устройств (с проблемами типа залипания геркона). Я правда, не знаю, с какой вероятностью сработает чип Т2, если с такой же, тогда можно и геркон. Но, возможно, вероятность выше.


            1. Lt_Flash
              07.11.2018 10:22

              Датчик Холла уже стоит на крышке, никаких герконов нет. Или еще один поставить, или этот же использовать.


              1. Hardcoin
                07.11.2018 10:30

                Да, датчик Холла надёжнее, насколько я знаю. Я отвечал только про геркон, использовать геркон — так себе идея в этом случае.


    1. creker
      05.11.2018 18:22

      Не при чем. Речь о том, что ноуты с Т2 чипами содержат эту функцию. Она никак не связана с самим T2 чипом, просто так обозначается поколение устройств, которые содержат эту фичу. Там же упоминается, что и сам T2 чип не в силах включить микрофон обратно. Это железное отключение.


  1. sena
    05.11.2018 14:44
    +3

    Если бы кое-кто хотел сделать действительно надёжную защиту от прослушки…

    Это можно реализовать весьма дёшево и просто. Достаточно поставить физический выключатель, который будет прерывать электрическую цепь микрофона. Раньше на некоторых моделях ноутбуков такие выключатели были. Причём для вебкамеры можно сделать ещё круче — шторку, когда пластиковая панелька перекрывает объектив и ты сам видишь, что камер закрыта. Так сделано, например, в некоторых моделях Logitech.


    1. ris58h
      05.11.2018 16:27
      +1

      Шторка есть у Thinkpad-ов текущего поколения.


    1. mastergril
      05.11.2018 17:00

      Тут почти тоже самое с микрофоном сделано, правда через чип, и есть вопрос нет ли там какого бекдора. Конечно, транзистор, разрывающий цепь питания микрофона и управляемый от железного датчика закрытия было бы сверхнадёжно…


      1. sena
        05.11.2018 18:06

        Тут почти тоже самое с микрофоном сделано

        В статье написано, что микрофон выключается когда закрывается крышка. А когда крышка открыта?


        1. Ilyasyakubov
          05.11.2018 20:57
          +1

          А когда крышка открыта, микрофон аппаратно не отключается ;)


    1. Stas911
      05.11.2018 17:07
      +2

      Черная изолента — наш выбор


      1. Alexeyslav
        06.11.2018 10:02

        Вы же в курсе что черная изолента на самом деле недостаточно черна, если её залепить светодиод питания то он всеравно будет освещать комнату. Для надежности лепить надо фольгу на клеевой основе. Не плёночную фольгу(она полупрозрачна) а именно дубовую толстую фольгу!


        1. eisaev
          06.11.2018 17:54

          … и заземлить для надёжности!


    1. creker
      05.11.2018 18:23

      Здесь речь именно об этом. Физический выключатель микрофона при закрытии крышки.


    1. romamix
      05.11.2018 18:24

      Возможно, там не все так просто, есть же ещё юз кейс когда подключен внешний монитор, а крышка закрыта. В таких случаях микрофон не обязательно должен быть отключен.


      1. Alexeyslav
        06.11.2018 10:05

        С внешним монитором можно использовать внешний USB-микрофон(полагаю, штатный микрофонный вход так же отключается), или приоткрыть крышку.


    1. courser
      05.11.2018 20:19

      физический выключатель нельзя выключить дистанционно, если кому-то вдруг этого очень захотелось


    1. Alexeyslav
      06.11.2018 09:59

      Вероятно, следуют тенденции избавляться от всего механического. Механический контакт это ограниченный ресурс и возможные проблемы с этим связанные — недовключится когда надо или не отключится когда не надо… на крышку ведь уже давно стоит твердотельный магнитный сенсор и ни на одном ноуте он ещё не отказывал.


  1. Aytuar
    05.11.2018 15:16

    Странно почему камеру не отключают? Уже ведуться разработки получения изображений «из-за угла» за счёт интерференции света. Т.е. достаточно щёлочки под крышкой ноута для создания снимка или видео. Пока всё это в зачатке, но думаю алгоритм нужный придумают со временем. Хотя через видео можно и подслушать, за счёт колебаний интенсивности света (была статья на хабре), и это уже возможно применяется.
    Также нужно отключать звуковые динамики, через них прослушку уже давно сделали (https://habr.com/post/399363/).
    Ну и конечно очень не хватает такого выключателя на телефоне. ))


    1. sena
      05.11.2018 15:47

      Ну и конечно очень не хватает такого выключателя на телефоне. ))

      Да. Когда пуристы сделают, то будет. Есть по предзаказу, но дороговат, как по мне… Ноутбук у них уже есть с выключателями, но тоже дороговато…


      1. Alex_Q
        05.11.2018 18:47

        Сравнимо с Google Pixel. За killerswitch можно было бы заплатить, но напрягает отсутствие возможности запустить какой нибудь WhatsApp


  1. advan20092
    05.11.2018 15:27
    +1

    Доступ к веб-камере не проблема сделать (любая программа может вполне легитимно использовать вебкамеру). Проблема отключить встроенный светодиод. Насколько мне известно в актуальных моделях этого невозможно обойти.


    1. 0xf0a00
      05.11.2018 15:29
      +3

      Ну да, он зараза не управляется программно, в отличие от этого чипа.


      1. a5b
        05.11.2018 19:59

        Ага, не управляется: https://www.usenix.org/system/files/conference/usenixsecurity14/sec14-paper-brocker.pdf
        iSeeYou: Disabling the MacBook Webcam Indicator LED (2014)


        We build two proofs-of-concept: (1) an OS X application, iSeeYou, which demonstrates capturing video with the LED disabled…
        the indicator LED is directly connected to the STANDBY pin on the image sensor. In order to disable the LED, we need to keep STANDBY asserted. Since asserting STANDBY will disable the image sensor output, we need to configure the image sensor to ignore STANDBY before we assert this signal.


        1. 0xf0a00
          05.11.2018 22:00
          +1

          Это для нашей безопасности! Вы не понимаете..!


  1. hdfan2
    05.11.2018 17:26
    +3

    инструментов удалённого администрирования (RAT)

    Прекрасный акроним.


    1. pae174
      05.11.2018 22:14

      Это не акроним :-)
      www.imdb.com/title/tt3836512


  1. Gordon01
    05.11.2018 18:02
    -2

    Зачем рекламная статья для домохозяек на техническом ресурсе?
    На техническом ресурсе про Apple должна быть единственная фраза про все эти «чипы безопасности»: они сделаны только для того, что бы ремонт новых макбуков был невозможен.


  1. courser
    05.11.2018 20:17

    Удивительные факты:
    — Микрофон при закрытии крышки можно выключить и без специальной микросхемы.
    — Специальную микросхему можно выключить и она не будет выключать микрофон.


  1. rzerda
    05.11.2018 21:03
    +2

    Как вышло, что статья из одного абзаца 14-страничного документа собрала 30+ комментариев? Ожидать ли статей из других абзацев то же документа?


    1. justhabrauser
      05.11.2018 21:49
      +2

      Автора посмотрите да.
      На хабре просто уже нечего читать, поэтому народ набрасывается на любую ализаровщину — «чисто поржать».
      Нет, ну правда — смешно же ж читать.

      PS. там по соседству не менее профессиональная статься от того же эксперта (о ProcDump). Тоже прикольно.


  1. blind_oracle
    05.11.2018 23:25

    Геркончик бы впаяли и все. Тем более он там уже есть (или датчик Холла). Нет же, нужен Т2-Т3-Т4-...!


    1. easty
      06.11.2018 06:02

      Начало положено… Ждём т800 и т1000


  1. igorkozinov
    06.11.2018 12:43

    Даже некоторые известные технари вроде Марка Зукерберга заклеивают изолентой веб-камеру на ноутбуке.


    Письмо в издательство Гиль-Эстель:
    — А переводчику скажите, что он сам цезел!
    Подпись: Цирдан Церабел.



    Остановились раз четверо хоббитов на границе двух переводов. Один и говорит спутникам:
    — Запомните, я теперь никакой не Торбинс. Спросят — так Бэггинс.


    1. trimtomato
      06.11.2018 15:03

      К тому же, если уж очень хочется, то он Закерберг, а не Зукерберг. Хотя зачем?! В русском языке он Цукерберг и никак иначе.


  1. nfw
    06.11.2018 13:53

    затрудняет прослушку

    Не понятно кому затрудняет, обычным хакерам ваш голос вряд ли понадобится, разве что весьма сомнительной комбинации со звонками родственникам или в колл-центры с распознаванием голосов (сомнительной как минимум в свете к стремлению к массовости заражения и, соответственно, автоматического получения дохода с зараженных машин). Ну а КОМУ НАДО и так могут все что нужно послушать прямо с потока от какой-нибудь Сири.
    P.S. Ах да, была же еще история с массовыми взломами ради забавы года 4 назад, где в том числе устраивали реалити-шоу с трансляцией видео с веб-камер и звука с микрофона компьютера жертв, но мне кажется вряд ли пользователи маков массово устанавливают себе пиратские сборки ОС со встроенными средствами удаленного администрирования.


  1. IGR2014
    07.11.2018 12:53

    Люди, которые спорят про геркон и скотч — только для вас есть уникальный новый способ понадёжней:
    Молоток и кусачки. Молоток и кусачки — разбил камеру и перекусил провода микрофона, пусть теперь АНБ кусает свои локти. Молоток и кусачки — выбор настоящих параноиков секретных агентов


  1. snuk182
    07.11.2018 19:52

    Контроль на уровне железа, на случай, если кто-то вздумает сменить ось. Не только микрофона.