Чип T2 в новых Mac запрещает загрузку с внешних дисков. Решаем проблему
Безопасность пользовательских данных всегда была одним из главных приоритетов для разработчиков Apple. Выпускаемые гаджеты оснащаются как физическими так и программными средствами для шифрования, идентификации пользователя и защиты файлов в случае попадания устройств в руки злоумышленников.
Система регулярно совершенствовалась в данном направлении, но, похоже, в прошлом году купертиновцы серьезно перемудрили.
Речь идет о новом чипе T2, который устанавливается практически во все современные модели Mac.
Зачем нужен чип T2 и что в нем плохого
Все началось в 2016 году с появлением первых моделей MacBook Pro с сенсорной панелью Touch Bar. Тогда за работу этой фишки отвечал чип Apple T1.
Модуль был предельно схож с платой S2, которой оснащались часы Apple Watch Series 2. Оба модуля отвечают за шифрование данных и безопасность. Чип в MacBook при этом контролировал сенсорную панель, хранил связку ключей и выполнял ряд других менее значимых действий.
В конце 2018 года купертиновцы презентовали кардинально обновленный MacBook Air и минорный апдейт линейки MacBook Pro. Одним из новшеств этих ноутбуков стал новый чип Apple T2.
Помимо уже известных задач своего предшественника новый модуль отвечает за шифрование SSD, контролирует загрузку системы и позволяет активировать Siri на Mac при помощи голоса.
T2 имеет жесткую привязку к Touch Bar и в случае поломки последней тоже нуждается в замене. Все, как у связки Touch ID\Face ID с материнской платой в iPhone.
Самую неприятную особенность данного чипа начали замечать пользователи, которые решили переустановить операционную систему на новеньких компьютерах. Чип Apple T2 блокирует загрузку Mac с любого внешнего накопителя. Только загрузка со встроенного SSD или сетевое восстановление системы.
Так не получится установить macOS с загрузочной флешки, загрузиться с любого другого внешнего диска с развернутой ОС. Даже сторонние средства для бекапа не будут работать с подобным ограничением.
Какие компьютеры в зоне риска
На данный момент подобный чип устанавливается на такие устройства:
▪️ iMac Pro
▪️ Mac mini (2018 г.)
▪️ MacBook Air (2018 г. и более поздние модели)
▪️ MacBook Pro (2018 г. и более поздние модели)
Проверить наличие модуля можно по пути – Об этом Mac – Отчет о системе, в разделе Контроллер будет указан установленный на устройстве чип безопасности.
В актуальном модельном ряду компьютеров Apple T2 нет лишь в iMac и Mac Pro. Скорее всего, линейку обновят уже осенью и проблема коснется всех моделей.
Как исправить ситуацию
К счастью, у проблемы есть решение. Ограничение на загрузку с внешнего накопителя программное и его можно отключить.
Вот, что нужно для этого сделать:
1. Перезагрузите Mac и во время включения зажмите сочетание клавиш Command + R. Для настольных компьютеров необходимо подключить проводную клавиатуру.
2. После загрузки из раздела восстановления системы выберите пункт меню Утилиты – Утилита безопасной загрузки.
3. Нажмите Ввести пароль для macOS и пройдите аутентификацию при помощи учетной записи администратора.
4. В открывшемся меню рекомендуем сменить две настройки:
Для безопасной загрузки установить Средний уровень безопасности. Так при сбое macOS на Mac можно будет запустить любую версию операционной системы Apple без подключения к сети. В противном случае ноутбук должен будет выкачать установочный образ последней актуальной системы для компьютера с сайта Apple.
Ниже следует разрешить загрузку с внешних накопителей.
Лишь при включении этих параметров можно будет переустановить macOS с загрузочной флешки, запуститься с другого диска или загрузиться через клонированный на диске раздел.
В случае неработоспособности macOS, повреждения загрузочной области или выхода из строя накопителя Mac без измененных параметров переустановить систему будет крайне проблематично.
Чип Apple T2 — что это и зачем он в MacBook?
Помимо целого ряда технологических усовершенствований в новых моделях Mac, отдельно стоит выделить появление в системе чипа Apple T2 Security Chip. Корпорация активно анонсировала появление «процессора безопасности», но при этом для большинства пользователей до сих пор не известно зачем он нужен и какие функции выполняет. В сегодняшней статье я подробно расскажу что такое T2 Chip и для чего он создан.
Это процессор второго поколения собственной разработки компании Apple, который взаимодействует с другими элементами управления компьютера для повышения уровня безопасности. Но не только. В задачи T2 входит широкий список функций от улучшения изображения до отключения звука. Более подробно о функциях мы поговорим позже, а пока список устройств Mac в которых установлен данный чип:
Учитывая тенденцию, можно предположить, что на всех новых компьютерных устройствах Эпл с 2018 года, чип T2 будет входить в обязательную комплектацию.
Предназначение Apple T2 для Mac
Давайте разберемся о предназначении «процессора безопасности» и перечислим основные задачи, которые он решает:
Это основной функционал T2 Security Chip, хотя не исключено, что список гораздо шире, а также будет увеличиваться в будущем.
Недостатки и опасность чипа T2
Напоследок, небольшая «ложка дегтя». Высокие технологии часто имеют обратную сторону, которая может сводить на нет все преимущества. И чип безопасности — не исключение. Так было замечено, что Маки оснащенные T2 имеют пониженную ремонтопригодность в случае с неофициальными сервисами.
Пока точно не известно каким образом процессор анализирует вмешательство в систему, но уже подтверждены случаи когда при ремонте в неавторизованном сервисе система отказывалась загружаться. Чип блокирует вмешательство в систему и требует использование специализированного официального ПО. С другой стороны при обращении в профессиональный неавторизованный сервисный центр Apple об этой проблеме можно не беспокоится. Как показывает практика, эти неудобства вполне решаемы.
Еще одной распространенной неисправностью является нестабильность работы системы, при которой возникает ошибка «паника ядра». Объясняется это перегрузкой процессора T2, его неспособностью выдержать нагрузку. Прочем Эпл активно работает над решением данной проблемы, постоянно выпуская обновления программного обеспечения.
На данный момент это основная информация о T2 Security Chip и его предназначении. Следите на нашим блогом, чтобы быть в курсе новостей!
Профессиональный дегустатор яблок со стажем, адепт культа «маководов» и последний из клана MacCloud. Расскажу как готовить повидло, кто бросил яблоко на голову Ньютона, а также все об iMac, MacBook, Mac Pro, Mac mini, iPad, iPhone! Новости, обзоры, советы по использованию и ремонту Apple, естественно прямо из Купертино.
Что из себя представляет чип Apple T2? Подробный разбор
В 2017 году Apple представила iMac Pro. Компания сделала огромный упор на безопасности нового компьютера, добавив в него специальный аппаратный чип Apple T2. Этот сопроцессор используется для хранения паролей, выступает в качестве контроллера аппаратного шифрования и отвечает за многие внутренние процессы компьютера. Роль Apple T2 в работе современных Mac действительно колоссальна, и сегодня вы убедитесь в этом сами.
Сопроцессор второго поколения
Долгое время Apple использовала в своих Mac контроллеры от сторонних производителей. В 2016 году Apple вышел первый Mac с встроенным чипом безопасности T1. Данная разработка показала себя исключительно с положительной стороны, и компания принялась за создание сопроцессоров второго поколения. Плоды этой работы мы уже можем наблюдать в последних моделях iMac Pro, Mac Pro, MacBook Air/Pro и Mac Mini.
Что из себя представляет Apple T2
Именно так выглядит Apple T2 на системной плате.
Apple T2 — это специальный аппаратный ARM-чип со встроенным криптографическим компонентом Secure Enclave. В основе Apple T2 лежит архитектура мобильного процессора A10 Fusion. Чип работает на собственной операционной системе (разновидностью watchOS).
Поскольку процессоры Intel и T2 работают на совершенно разных архитектурах, Apple разработала специальный низкоуровневый USB-мост для взаимодействия. Apple T2 тесно интегрирован в аппаратное и программное обеспечение Mac, но при этом остается независимым компонентом.
В основе Apple T2, помимо аппаратных блоков безопасности, лежит несколько универсальных компонентов — это контроллер управления системой (SMC), процессор обработки изображений для камеры, а также контроллеры для твердотельных накопителей и звуковой подсистемы.
Роль Apple T2 в Mac
При разработке Apple T2 перед инженерами была поставлена задача создать универсальный чип для мониторинга и управления ключевыми аппаратными и программными компонентами компьютера. Благодаря такому подходу, Apple избавилась от большего числа дополнительных модулей от сторонних производителей.
Роль Apple T2 в современных Mac действительно огромна: начиная от обеспечения «безопасной» загрузки операционной системы и заканчивая управлением систем охлаждения и подачей питания. Полный перечень функций выглядит следующим образом:
Последовательность действий при загрузке macOS.
Все процессы, выполняемые при запуске компьютера, включая загрузчик EFI, ядро ОС и расширения — проходят проверку на подлинность при каждой загрузке. Это гарантирует высочайший уровень безопасности — ни один сторонний компонент не может быть загружен без ведома пользователя.
Шифрование на «лету»
Чип Apple T2 надежно зашифровывает всю хранящеюся информацию на твердотельных накопителях и жестких дисках. Для этого используется симметричный алгоритм блочного шифрования AES. И всё это — без потер в производительности диска (скорости записи и чтения).
По заявлениям Apple, вся информация максимально защищена — считать данные с диска не получится, даже если вынуть его из компьютера и привлечь экспертов для восстановления данных.
Управление внутренними процессами
Apple T2 отвечает за большинство низкоуровневых системных функций: управление питанием процессора, контроль системы охлаждения, управление ресурсами аккумулятора, контроль температуры, работа датчиков и подсветки и многое другое.
FaceTime-камера
Сопроцессор включает в себя также контроллер обработки изображения. Данный компонент обеспечивает работу технологии распознавания лица, а также отвечает за регулировку баланса белого и экспозиции для обеспечения наиболее качественного изображения.
Touch ID и безопасность данных
Все биометрические данные, как и в iOS-устройствах, хранятся на специальном участке сопроцессора Secure Enclave. Доступ к этой информации есть только у некоторых системных процессов.
Среди других мер безопасности — аппаратное отключение микрофона при переходе в спящий режим, а также защита от несанкционированного запуска FaceTime-камеры.
Голосовой помощник Siri
Сопроцессор безопасности также отвечает за фоновую работу голосового ассистента и функцию «Привет, Siri».
Производительность
Так как многие базовые задачи теперь возложены на Apple T2, центральный процессор менее загружен и способен выполнять больше вычислительных операций. Особенно это заметно на узкоспециализированных задачах, связанных с обработкой видео и фото.
Читайте также: Как чип Apple T2 помогает в профессиональной работе
Недостатки и подводные камни Apple T2
Как и любой компонент, встроенный сопроцессор не лишен своих недостатков.
Появление собственного сопроцессора в Mac — это, несомненно, большой шаг вперед для компании. Apple сумела создать «гибридный» компьютер и объединить две, казалось бы, несовместимые архитектуры. Корпорация в очередной раз продемонстрировала своё мастерство в области проектирования чипов. Вполне вероятно, что Apple продолжит продвигать эту технологию в массы, внедряя чипы безопасности и в другие свои компьютеры. Если всё будет развиваться в таком ключе, можно будет совсем скоро заявить: не за горами появление первых ARM-процессоров для Mac.
Предлагаем подписаться на наш канал в «Яндекс.Дзен». Там вы сможете найти эксклюзивные материалы, которых нет на сайте.
Чип безопасности Apple T2 опасен? В нём обнаружена уязвимость, присущая всем соответствующим ПК Apple
Возможно, и многим iPhone и iPad
Apple уже достаточно давно добавляет в свои ПК выделенные чипы безопасности. Сейчас актуальным является Apple T2. На него завязано немало аппаратных и программных функций, связанных с безопасностью.
И очень занятно узнать, что в этом чипе обнаружили уязвимость, которая может позволить злоумышленникам обойти блокировку активации и выполнять различные вредоносные атаки. Как только злоумышленник получит доступ к чипу T2, он получит полный root-доступ и привилегии выполнения ядра.
Дело в том, что Apple T2 фактически основан на Apple A10, и поэтому он уязвим для эксплойта checkm8. Из этого же следует, что Apple не может исправить проблему обычным обновлением ПО, так как базовая операционная система T2 (SepOS) использует постоянную память по соображениям безопасности. Но в этом и плюс, так как уязвимость фактически не является постоянно активной — для её «активации» требуется аппаратный компонент, к примеру, специально созданный кабель USB-C.
Обнаружил уязвимость независимый исследователь безопасности Нильс X. (Niels H.). Он сообщил о находке Apple, но та не ответила. Также он отмечает, что уязвимость имеется во всех ПК Mac с чипом T2 и процессорами Intel. При этом, возможно, она распространяется и на некоторые смартфоны и планшеты Apple, так как они тоже используют один из компонентов чипа T2 и SepOS. Но в случае устройств, основанных на однокристальных системах Apple A, используют иную систему загрузки, что, возможно, защищает их от описанной уязвимости.
Разрекламированный чип безопасности Apple содержит неустранимую брешь. Все современные MacBook под угрозой взлома
Микросхема безопасности T2 в современных компьютерах Apple не защищает пользовательские данные должным образом, так как сама содержит серьезную уязвимость. Из-за нее хакер может обойти работу чипа и добраться до информации в памяти ПК, и устранить эту брешь никак нельзя.
Опасный чип безопасности
В чипе безопасности T2, который Apple устанавливает в свои ноутбки и ПК с 2017 г., найдена опасная уязвимость. Как пишет портал ZDnet, ее нельзя устранить программным путем, что навлекает на все MacBook, iMac и другие компьютеры Apple угрозу взлома, от которого невозможно спастись.
Сам по себе Т2 представляет собой сопроцессор, занимающийся обработкой звука и функции ввода-вывода, и нужен он в первую очередь для снижения нагрузки на центральный процессор. Но основная его функция – это именно обеспечение безопасности пользовательских данных. На него завязаны процесс авторизации при помощи Touch ID, шифрование, пароли KeyChain и многое другое.
Т2 представляет собой второе поколение чипа безопасности Т1, дебютировавшего в 2016 г. Рассказывая о Т2 в рамках анонса десктопа iMac Pro 2017, ставшего первым ПК с таким чипом, Apple рекламировала его как средство, в разы повышающее безопасность пользовательской информации и защищенность компьютера от взлома.
А уязвим Т2 к взлому при помощи эксплойта Checkm8, использующегося для джейлбрейка iPhone. Хакеры могут использовать его для обхода микросхемы и получения полного доступа к устройству на базе macOS.
Информация о существовании проблемы получила широкое распространение среди пользователей. К примеру, тема на Reddit, созданная пользователем LayinLo_usmc на момент публикации материала около 11 часов назад, набрала свыше 40 комментариев. Схожие посты стали появляться и в Twitter.
Алгоритм взлома и возможные последствия
Способ обхода T2 при помощи эксплойтов для iPhone стал возможен по той причине, что в основе этой микросхемы лежит процессор А10, выпущенный Apple в 2016 г. и использующийся в смартфонах iPhone 7 и 7 Plus, а также в планшетах iPad 6 и iPad 7. И А10, и Т2 уязвимы к Checkm8.
По информации бельгийской ИБ-компании IronPeak, для взлома чипа безопасности Apple нужно прямое подключение к устройству на macOS через USB-C. Оно необходимо для запуска джейлбрейка Checkra1n 0.11.0 непосредственно во время загрузки компьютера.
Это действие позволяет хакеру перехватить процесс загрузки мини-ОС bridgeOS, хранящейся в ROM-памяти внутри Т2, и позволяет делать бесконечное число попыток обойти работу этой микросхемы и получить доступ к «железу» и памяти компьютера.
После этого у хакера появляется почти полный root-доступ – он по-прежнему не сможет напрямую расшифровывать файлы, закодированные с использованием шифрования FileVault 2. Однако, поскольку чип T2 управляет доступом с клавиатуры, хакер может внедрить кейлоггер и украсть пароль, используемый для дешифрования. После этого вся информация в памяти взломанного компьютера окажется открытой для злоумышленника.
Как защититься от взлома
Поскольку проблема с чипом Т2 не может быть устранена путем обновления программного обеспечения, владельцам Mac-устройств с этой микросхемой на борту придется справляться своими силами. Единственное, что можно сделать – не разрешать никому, в том числе и самому себе, подключать к своим компьютерам подозрительные устройства с коннектором USB-C. Также не стоит использовать кабели USB-С сомнительного происхождения. Удаленный взлом ПК, например, через интернет или по Bluetooth, невозможен – нужно именно прямое аппаратное подключение, и именно по USB-C.
Портал MacRumors пишет, что проблема может не затронуть новые компьютеры Apple на базе ее собственных ARM-процессоров, о переходе на которые в своих Mac она заявила летом 2020 г. Не исключено, что чипа Т2 ввиду особенностей современных процессоров А-серии в них не будет, но этот вопрос пока остается открытым.
Другие проблемы, связанные с Т2
Сопроцессор Т2, впервые появившийся в iMac Pro 2017 (вышел в декабре 2017 г.), доставляет неприятности пользователям и сотрудникам сервисных центров на протяжении почти всего периода своего существования. К примеру, из ноутбуков MacBook Pro 2018 исчез порт, который в моделях 2016 г. и 2017 г. позволял спасти данные в случае поломки материнской платы.
Он располагался прямо на системной плате, но, начиная с MacBook Pro 2018, его больше нет, и, как сообщал CNews, это связывают напрямую с присутствием в этих ноутбуках чипа Т2, MacRumors высказал предположение, что порт для экстренного спасения данных был удален в связи с тем, что в MacBook Pro 2018 имеется специальный чип T2, обеспечивающего аппаратное шифрование SSD-хранилища.
В октябре 2018 г. стало известно, что компьютеры Apple, в составе которых есть чип Т2, перестают работать после ремонта, осуществленного в неавторизованных сервис-центрах. Выяснилось, что с качеством работы самих мастеров это никак не связано – Т2 попросту не даст устройству загрузиться, пока на нем пока на нем не запустят специальное диагностическое ПО Apple – AST 2 System Configuration.
Этот софт Apple распространяет только среди авторизованных ремонтных сервисов, что сделало домашнюю и стороннюю починку любого ПК Apple, выпущенного с декабря 2017 г., невозможной.
