FALLA DI SICUREZZA NEL CHIPSET APPLE T2

FALLA DI SICUREZZA NEL CHIPSET APPLE T2

6 Ottobre 2020 0 Di Noctis Lucis Caelum

Il chip di sicurezza Apple T2 è un componente in silicio di seconda generazione personalizzato e progettato da Apple per Mac. Attraverso la rielaborazione e l’integrazione di svariati controller presenti in altri computer Mac (come controller di gestione del sistema, processore del segnale di immagine, controller audio e controller SSD), il chip T2 offre nuove funzionalità per il Mac.

Apple

Un ricercatore che si occupa di analisi e sicurezza informatica, Niels H. ha individuato nel chipset T2 di apple una falla di sicurezza a dir poco, grave ed irreparabile.

il T2 sembra proprio avere la stessa vulnerabilità conosciuta come checkm8, (usata per il tool checkra1n del team Pangu per fare il jailbreack) dei dispositivi mobili Apple, quindi detto in soldoni, potrebbe essere utilizzata tranquillamente per bypassare le misure di sicurezza del MAC ed accedere alla macchina e, una volta ottenuti i privilegi di toot, fare qualsiasi cosa.

Grazie ai dischi cifrati da FileVault non sarà semplice accedervi ma sarò possibile installare strumenti per lo scopo, come un keylogger che cattura qualsiasi tasto digitato sulla tastiera e quindi raccogliere dati ed informazioni come credenziali di accesso e così via.

La vulnerabilità riguarda la BootROM dl T2 e non è possibile predisporre aggiornamenti. Vi sono ad ogni modo dei vincoli che rendono molto complesso lo sfruttamento della falla: bisogna prima di tutto accedere fisicamente alla macchina e collegare a questa un dispositivo USB-C ad hoc (appositamente predisposto a questo scopo). Il ricercatore Niels H. riferisce di avere avvisato Apple, ma di non avere ricevuto risposte e ora ha deciso di rendere pubblico il problema per creare consapevolezza sulla questione. Il consiglio è quello di non consentire ad estranei di collegare dispositivi e apparecchiature alle porte USB, un consiglio che vale e dovrebbe valere sempre come regolamento aziendale sulla sicurezza informatica.

Macitynet dalla fonte originale.