Intel tabanlı bir Mac’te UEFI firmware güvenliği
Apple T2 güvenlik yongasına sahip Intel tabanlı bir Mac, UEFI (Intel) firmware’ini kullanarak güvenlik sağlar.
Genel Bakış
2006 yılından beri, Intel tabanlı CPU’ya sahip Mac bilgisayarları, Genişletilebilir Firmware Arayüzü (EFI) Geliştirme Paketi (EDK) sürüm 1 veya sürüm 2 tabanlı bir Intel firmware kullanır. EDK2 tabanlı kod, Birleşik Genişletilebilir Firmware Arayüzü (UEFI) özelliklerine uygundur. Bu bölümde Intel firmware, UEFI firmware olarak adlandırılmıştır. UEFI firmware, Intel yongasında çalıştırılan ilk kod idi.
Apple T2 güvenlik yongasına sahip olmayan Intel tabanlı bir Mac’te UEFI firmware için güven kökü, firmware’in saklandığı yongadır. UEFI firmware güncellemeleri Apple tarafından dijital olarak imzalanır ve depolama güncellenmeden önce firmware tarafından doğrulanır. Geri döndürme saldırılarını engellemeye yardımcı olmak için güncellemelerin sürümü her zaman mevcut sürümden daha yeni olmalıdır. Ancak Mac’e fiziksel erişimi olan bir saldırganın, bir donanımla firmware depolama yongasına bağlanıp yongayı kötü amaçlı yazılım içerecek şekilde güncellemesi imkân dahilindedir. Benzer şekilde UEFI firmware başlatma işleminin başlangıcında (depolama yongasına yazmayı sınırlamadan önce) güvenlik açıkları bulunursa UEFI firmware saldırıdan kalıcı olarak etkilenebilir. Bu, çoğu Intel tabanlı PC’de yaygın bir donanım mimarisi sınırlamasıdır ve T2 yongası olmayan tüm Intel tabanlı Mac bilgisayarlarında bulunur.
Mac bilgisayarları, UEFI firmware’i bozan fiziksel saldırıları engellemeye yardımcı olmak üzere UEFI firmware güven kökünü T2 yongasına yerleştirmek için yeniden düzenlenmiştir. Bu Mac bilgisayarlarında UEFI firmware için bu güven kökü Intel tabanlı bir Mac için başlatma işlemi bölümünde açıklandığı gibi özel olarak T2 firmware’dir.
Intel Yönetim Motoru (ME) alt bileşeni
UEFI firmware’de saklanan alt bileşenlerden biri Intel Yönetim Motoru (ME) firmware’dir. Intel yongalarında ayrı bir işlemci ve alt sistem olan ME’nin öncelikli kullanımı, yalnızca Intel tabanlı grafik kartına sahip bir Mac’te ses ve video telif hakkı korumasıdır. Bu alt bileşenin saldırı zeminini azaltmak için Intel tabanlı bir Mac, içinden çoğu bileşenin kaldırıldığı özel bir ME firmware çalıştırır. Sonuçta ortaya çıkan Mac ME firmware, Intel’in sunduğu saptanmış minimum sürümden daha küçük olduğu için geçmişte güvenlik araştırmacıları için genel saldırıların konusu olan birçok bileşen artık yoktur.
Sistem Yönetimi Modu (SMM)
Intel işlemcilerde, normal işlem modundan ayrı özel bir çalıştırma modu vardır. Sistem Yönetimi Modu (SMM) adı verilen bu mod ilk başta güç yönetimi gibi zaman açısından hassas işlemlerde kullanılmak üzere sunulmuştur. Daha önce Mac bilgisayarlarında bu tür işlemleri gerçekleştirmek için Sistem Yönetimi Denetleyici (SMC) adlı ayrı bir mikro denetleyici kullanılıyordu. Artık ayrı bir mikro denetleyici olmayan SMC, T2 yongasına entegre edilmiştir.