Actualizaciones seguras de software
La seguridad es un proceso. No basta con realizar un arranque de confianza de la versión del sistema operativo instalada de fábrica; también debe existir un mecanismo para obtener de forma rápida y segura las actualizaciones de seguridad más recientes. Apple publica periódicamente actualizaciones de software para resolver nuevos problemas de seguridad. Los usuarios de dispositivos iPhone y iPad reciben notificaciones de actualizaciones en el dispositivo. Los usuarios de Mac tienen actualizaciones disponibles en Ajustes del Sistema (macOS 13 o posterior) o Preferencias del Sistema (macOS 12 o anterior). Las actualizaciones se proporcionan por vía inalámbrica, para poder instalar rápidamente las correcciones de seguridad más recientes.
Seguridad del proceso de actualización
El proceso de actualización usa la misma raíz de confianza basada en hardware que utiliza el arranque seguro diseñada para instalar únicamente código firmado por Apple. El proceso de actualización también utiliza autorización del software del sistema para comprobar que únicamente las copias de las versiones del sistema operativo que Apple está firmando activamente se puedan instalar en los dispositivos iPhone y iPad o en los ordenadores Mac con el ajuste “Seguridad máxima”, configurado como la política de arranque seguro en Utilidad de Seguridad de Arranque. Con estos procesos seguros, Apple puede detener la firma de versiones anteriores del sistema operativo con vulnerabilidades conocidas y ayudar a impedir ataques que intentan restablecer versiones anteriores.
Para una mayor seguridad de las actualizaciones de software, cuando el dispositivo que se va a actualizar se conecta físicamente a un Mac, se descarga e instala una copia completa de iOS o iPadOS. Sin embargo, para las actualizaciones de software de forma remota (OTA) solo se descargan los componentes necesarios para llevar a cabo la actualización. Al no descargar todo el sistema operativo, se mejora la eficiencia de la red. Además, las actualizaciones de software se pueden almacenar en caché en un Mac en el que se ejecute macOS 10.13 o posterior con el almacenamiento en caché del contenido activado, de manera que los dispositivos iPhone y iPad no tengan que volver a descargar de internet los datos de actualización necesarios (de todos modos, tendrán que ponerse en contacto con los servidores de Apple para completar el proceso de actualización).
Proceso de actualización personalizado
Durante las actualizaciones, se pone determinada información a disposición del servidor de autorización de instalaciones de Apple, que incluye una lista de medidas criptográficas para cada parte del paquete de instalación que se vaya a instalar (por ejemplo, iBoot, el kernel o una imagen del sistema operativo), un valor antirreproducción aleatorio y el identificador único del dispositivo (ECID).
El servidor de autorización coteja la lista de medidas presentada con las versiones cuya instalación se permite y, si encuentra una coincidencia, añade el ECID a la medida y firma el resultado. Como parte del proceso de actualización, el servidor envía un conjunto completo de datos firmados al dispositivo. La adición del ECID “personaliza” la autorización para el dispositivo que realiza la solicitud. El servidor solo autoriza y firma las medidas conocidas, de modo que ayuda a garantizar que la actualización se lleve a cabo de acuerdo con las especificaciones de Apple.
La evaluación de la cadena de confianza del arranque verifica que la firma procede de Apple y que la medida del ítem cargado desde el dispositivo de almacenamiento, en combinación con el ECID del dispositivo, coincide con lo que cubría la firma. Estos pasos están diseñados para garantizar que, en dispositivos que admiten la personalización, la autorización sea para un dispositivo determinado y que un sistema operativo o versión de firmware anterior de un dispositivo no se puede copiar en otro. El valor de antirreproducción ayuda a impedir que un atacante guarde la respuesta del servidor y la utilice para manipular un dispositivo o modificar el software del sistema de algún otro modo.
El proceso de personalización es el motivo por el que siempre se requiere una conexión de red con Apple para actualizar cualquier dispositivo con un chip diseñado por Apple, incluido un Mac basado en Intel con el chip de seguridad T2 de Apple.
En los dispositivos con un procesador Secure Enclave, ese hardware usa de forma similar el proceso de autorización del software del sistema para comprobar la integridad de tu software y está diseñado para evitar la instalación de versiones anteriores.