蘋果在最新MacBook產品上使用的T2晶片，遭爆含有無法修補的安全漏洞

比利時資安業者IronPeak於本周揭露，蘋果自製的晶片T2含有一安全漏洞，將允許駭客存取硬碟加密機制FileVault2的密碼，變更macOS的安裝，或是載入任何的核心擴充程式，波及2018年至2020年間出品的macOS裝置，涵蓋iMac、Mac mini、MacBook Air與MacBook Pro。

T系列為蘋果替Mac裝置量身打造的安全系統單晶片，T2奠基在蘋果替iPhone 7設計的A10處理器，採用的是由watchOS改造的bridgeOS，並內建系統安全控制器、圖像訊號處理器、音訊控制器及SSD控制器等，此外，T2晶片亦內含一安全飛地協同處理器（SEP），以用來保護Touch ID資料，並作為加密儲存與安全啟動的基礎，另可用來強化FaceTime視訊攝影機的效能。

然而，研究人員卻發現，T2晶片潛藏兩個安全問題，其一是它所利用的A10處理器可被iOS越獄程式checkra1n所攻陷，且蘋果在T2上留下了除錯介面，不需認證即可進入裝置韌體更新模式，並透過纜線連結其它裝置以執行checkra1n，就能挾持受害者裝置；一般而言，當T2處於裝置韌體更新模式並偵測到解密呼叫時，它會出現致命錯誤並退出；然而，T2含有第二個Blackbrid漏洞，將允許駭客攻擊SEP的安全啟動程序，可用來關閉上述偵測行為。

因此，只要駭客能夠實際存取目標裝置，就能插入其它元件或硬體，例如惡意的USB-C纜線，即可在macOS裝置啟動時展開攻擊。

駭客一旦取得T2的存取權，就掌握了核心執行權限，可於T2韌體中注入鍵盤側錄程式，竊取使用者的密碼，或許還可暴力破解FileVault2硬碟加密機制的密碼，變更macOS安裝，或者是載入惡意的核心擴充程式。

最嚴重的部份也許是該漏洞存在於T2的唯讀記憶體中，因此蘋果除了變更硬體之外，無法透過軟體更新來修補，但同時它也只能透過插入硬體或其它元件來開採。

研究人員是在今年的8月18日通報蘋果，但蘋果截至10月7日仍未回應。

研究人員展示以客製化USB-C纜線破解MacBook Pro上的T2晶片

日前才傳出蘋果在macOS裝置上所嵌入的T2晶片含有安全漏洞，本周就有研究人員展示如何透過客製化的USB-C纜線來破解MacBook Pro上的T2晶片，研究人員先在MacBook Pro接上纜線以執行攻擊，在MacBook Pro重新開機之後，其開機時的蘋果商標就被變更了。

T系列為蘋果替Mac裝置量身打造的安全系統單晶片，其中的T2奠基在蘋果替iPhone 7設計的A10處理器，採用的是由watchOS改造的bridgeOS。然而，A10處理器含有一個安全漏洞，允許使用者以纜線連結其它裝置來執行checkra1n攻擊程式，雖然當T2處於裝置韌體更新模式並偵測到解密呼叫時，它會出現致命錯誤並退出；然而，T2含有第二個Blackbird漏洞，將允許駭客攻擊它的安全啟動程序，可用來關閉上述偵測行為。由於相關漏洞存在於T2的唯讀記憶體中，因而無法藉由軟體更新來修補。

T2晶片的安全漏洞是由Rick Mark，以及代號為h0m3us3r、mcmrarm與aunali1等安全研究人員所發現，此次展示相關攻擊的也是同一批人。

研究人員先把客製化的USB-C纜線插入MacBook Pro，以連結第二臺裝置，讓T2進入裝置韌體升級模式（Device Firmware Upgrade，DFU），並透過第二臺裝置執行checkra1n攻擊程式，以變更MacEFI的酬載，重新開機後的MacBook Pro就出現了遭到竄改的蘋果商標。

儘管此次研究人員僅簡單地變更了蘋果商標，但在checkra1n置換了可延伸韌體介面（Extensible Firmware Interface，EFI）之後，其實駭客也可以上傳金鑰紀錄器以捕獲所有的金鑰，因為Mac的可攜式鍵盤是直接連結T2並傳遞至macOS。

此一攻擊示範完全不需要使用者的互動，駭客只需實際存取使用者的macOS裝置，裝上客製化的USB-C纜線便能展開攻擊，而這群研究人員還打算銷售被命名為USB-PD Screamer的客製化纜線，售價為49.99美元。