Aggiornamenti software sicuri
La sicurezza è un processo. Non è sufficiente avviare in maniera affidabile la versione del sistema operativo installata in fabbrica; è necessario anche un meccanismo che consenta di ottenere in modo rapido e sicuro gli ultimi aggiornamenti di sicurezza. Apple rilascia periodicamente aggiornamenti software volti a risolvere sul nascere eventuali problematiche di sicurezza. Gli utenti di iPhone e iPadOS ricevono notifiche per l’aggiornamento sul dispositivo. Gli utenti Mac possono trovare gli aggiornamenti disponibili in Impostazioni di Sistema (macOS 13 o versioni successive) o in Preferenze di Sistema (macOS 12 o versioni precedenti). Gli aggiornamenti vengono inviati in modalità wireless, per consentire l’adozione rapida delle ultime soluzioni a problematiche di sicurezza.
Sicurezza del processo di aggiornamento
Il processo di aggiornamento utilizza la stessa radice di attendibilità hardware utilizzata dall’avvio protetto, progettata per installare solo codice firmato da Apple. Il processo di aggiornamento utilizza anche l’autorizzazione del software di sistema per verificare che su iPhone e iPad o sui Mac con l’impostazione “Sicurezza totale” configurata come politica di avvio protetto in Utility Sicurezza Avvio possano essere installate solo le copie delle versioni del sistema operativo firmate attivamente da Apple. Queste misure di sicurezza consentono ad Apple di interrompere la firma di versioni meno recenti del sistema operativo soggette a vulnerabilità note e di aiutare a impedire gli attacchi che sfruttano l’installazione di versioni precedenti.
Per una sicurezza degli aggiornamenti maggiore, quando il dispositivo da aggiornare è collegato fisicamente a un Mac, viene scaricata e installata una copia completa di iOS o iPadOS. Tuttavia, per gli aggiornamenti software in modalità wireless vengono scaricati solo i componenti richiesti per completare l’aggiornamento invece di scaricare l’intero sistema operativo, migliorando così l’efficienza della rete. Inoltre, gli aggiornamenti software possono essere archiviati nella cache sui Mac con macOS 10.13 o versioni successive e su cui è abilitata la cache dei contenuti; in questo modo gli iPhone e gli iPad non hanno bisogno di scaricare nuovamente gli aggiornamenti necessari da internet. (Tuttavia dovranno contattare i server Apple per completare il processo di aggiornamento).
Processo di aggiornamento personalizzato
Durante gli aggiornamenti, determinate informazioni vengono rese disponibili al server Apple di autorizzazione per l’installazione, che include un elenco di misurazioni crittografiche per ogni singola parte del pacchetto di installazione che deve essere installato (ad esempio iBoot, il kernel e l’immagine del sistema operativo), un valore anti‑replay casuale e l’ID unico del chip del dispositivo (ECID).
Il server di autorizzazione verifica l’elenco di misurazioni che è stato presentato e lo paragona alle versioni in cui è stata permessa l’installazione; se trova una corrispondenza, aggiunge l’ECID alla misurazione e firma il risultato. Il server trasmette al dispositivo un set completo di dati firmati come parte del processo di aggiornamento. L’aggiunta dell’ECID “personalizza” l’autorizzazione per il dispositivo che la richiede. Autorizzando e firmando solo le misurazioni conosciute, il server aiuta a garantire che l’aggiornamento avvenga esattamente secondo i parametri dettati da Apple.
La verifica della catena di affidabilità durante l’avvio controlla che la firma provenga da Apple e che la misurazione dell’elemento caricato dal dispositivo di archiviazione, insieme all’ECID del dispositivo, corrispondano a ciò che risulta coperto dalla firma. Questi passaggi sono progettati per garantire che, sui dispositivi che supportano la personalizzazione, l’autorizzazione sia per un dispositivo specifico e che un sistema operativo o una versione del firmware meno recenti presenti su un dispositivo non possano essere copiati su un altro. Il valore anti-replay aiuta a impedire che un hacker possa salvare la risposta del server e che possa utilizzarla per danneggiare un dispositivo oppure per alterare il software di sistema.
Il processo di personalizzazione è ciò che rende sempre necessaria una connessione di rete con Apple per aggiornare qualsiasi dispositivo dotato di chip Apple e i Mac dotati di processore Intel con chip di sicurezza Apple T2.
Sui dispositivi dotati di Secure Enclave, quest’ultimo utilizza anche il processo di autorizzazione del software di sistema per verificare l’integrità del medesimo software ed è progettato per impedire l’installazione di versioni non aggiornate.