安全軟體更新
安全性是一個過程;以可靠的方式啟動出廠時安裝的作業系統版本,仍不足以保障安全,系統還必須具備另一套機制,以便快速且安全地取得最新的安全性更新項目。Apple 會定期釋出軟體更新以解決浮現的安全性顧慮。iPhone 和 iPad 裝置的使用者會透過裝置接收更新通知。Mac 使用者可在「系統設定」(macOS 13 或以上版本)或「系統偏好設定」(macOS 12 或較早版本)中找到可用的更新項目。更新項目會以無線方式傳送,以利快速採用最新安全性修正。
更新程序安全性
更新程序會使用與安全開機所用之相同的硬體式信任根,其設計僅會安裝 Apple 簽署的編碼。此外,更新程序也會使用系統軟體授權,以確保只有經 Apple 主動簽署的作業系統版本才可複製並安裝在 iPhone 和 iPad 裝置,或是「開機安全性工具程式」中「完整安全性」設定為安全開機規則的 Mac 電腦上。有了這些到位的安全程序,Apple 便可停止簽署包含已知漏洞的較舊作業系統版本,並可協助防止降級的攻擊。
為了達到更高的軟體更新安全性,當要升級的裝置實際連接到 Mac 時,便會下載一份完整的 iOS 或 iPadOS 並加以安裝。但是無線傳輸(OTA)的軟體更新只會下載完成更新所需的元件而不會下載整個作業系統,藉此改進網路效率。再者,軟體更新可在執行 macOS 10.13 或以上版本並已開啟「內容快取」的 Mac 上進行快取,如此 iPhone 和 iPad 裝置便無須透過網際網路重新下載必要的更新。(他們仍需連上 Apple 伺服器來完成更新程序。)
個人化的更新程序
在升級和更新期間,會提供特定資訊給 Apple 安裝授權伺服器:要安裝之安裝套件中各部分的加密編譯測量值列表(如 iBoot、核心及作業系統映像檔)、隨機反重放值以及裝置專屬的唯一晶片識別碼(ECID)。
授權伺服器會將提供的測量值列表與允許安裝的版本進行比較,若找到相符項目,便會將 ECID 加入到測量值中並對結果進行簽署。伺服器會將完整的一組已簽署資料傳遞至裝置,這是升級程序的一部分。加入 ECID 可為要求的裝置「個人化」授權作業。藉由只對已知的測量值授權和簽署,伺服器可協助確保更新的內容與 Apple 所提供的完全相同。
啟動時的信任鏈結評估程序會驗證該次簽署是否來自 Apple,並確認從磁碟載入的項目測量值在結合裝置 ECID 後,是否與該簽章所涵蓋的內容相符。這些步驟的設計是為了確保在支援個人化的裝置上,授權是針對特定裝置進行,且舊版作業系統或韌體版本無法從一部裝置拷貝到另一部裝置。反重放值有助於阻止攻擊者儲存伺服器的回應,並阻止使用該回應來破壞裝置或以其他方式竄改系統軟體。
由於需進行個人化程序,因此只要裝置採用了 Apple 設計的晶片,一律需要網路連線至 Apple 以進行更新,這類裝置也包含採用 Intel 架構並配備 Apple T2 安全晶片的 Mac。
在配備「安全隔離區」的裝置上,硬體會以類似方式使用系統軟體授權來檢查軟體的完整性,以協助防止降級安裝作業。