Seguridad del procesador de los periféricos en ordenadores Mac
Todos los sistemas informáticos modernos tienen muchos procesadores de periféricos integrados dedicados a tareas como las conexiones de red, los gráficos, la gestión de la energía, etc. A menudo, estos procesadores de periféricos tienen un solo propósito y son mucho menos potentes que la CPU principal. Los periféricos integrados que no implementan suficiente seguridad se convierten en un objetivo sencillo para los atacantes, a través del cual pueden infectar permanentemente el sistema operativo. Con un firmware del procesador de periféricos infectado, un atacante puede ir a por el software de la CPU principal, o bien captar datos sensibles directamente (por ejemplo, un dispositivo Ethernet podría ver el contenido de los paquetes que no están encriptados).
Siempre que es posible, Apple trabaja para reducir el número de procesadores de periféricos necesarios y para evitar diseños que requieran firmware. Pero cuando se necesitan procesadores independientes con su propio firmware, se hace todo lo posible para ayudar a garantizar que el atacante no pueda persistir en su ataque a ese procesador. Esto puede realizarse mediante la verificación del procesador de una de estas dos maneras:
Ejecutando el procesador para que se descargue firmware verificado de la CPU principal durante el arranque.
Haciendo que el procesador de periféricos implemente su propia cadena de arranque seguro para verificar el firmware del procesador de periféricos cada vez que el Mac arranque.
Apple trabaja con proveedores para supervisar sus implementaciones y mejorar sus diseños para incluir las propiedades deseadas, como las siguientes:
Garantizar las fortalezas criptográficas mínimas.
Ofrecer una revocación sólida del firmware malicioso conocido.
Desactivar las interfaces de depuración.
Firmar el firmware con claves criptográficas que se almacenan en módulos de seguridad de hardware (HSM) controlados por Apple.
En los últimos años, Apple ha trabajado con algunos proveedores externos para adoptar las mismas estructuras de datos “Image4”, el mismo código de verificación y la misma infraestructura de firma que se usan en los chips de Apple.
Cuando el funcionamiento sin almacenamiento o el almacenamiento junto con un arranque seguro no son unas opciones viables, el diseño dicta que las actualizaciones de firmware se deben firmar criptográficamente y verificar antes de poder actualizar el almacenamiento persistente.