Het eerste wat Apple schrijft op de eigen pagina over de T2 Security-chip is het volgende: “Dankzij de Apple T2 Security-chip staat de Mac nu op eenzame hoogte op het gebied van integratie en beveiliging.” Misschien dat dit herschreven moet worden.

De reden daarvoor is het feit dat  hackers inmiddels in staat zouden zijn om door die beveiliging heen te breken. En dat komt door een redelijk suffe beslissing van Apple, de debugging interface stond open voor deze chip. Die interface is bedoeld voor ontwikkelaars van Apple, maar zou natuurlijk niet open moeten staan bij de Macs die verkocht worden. Hierdoor is het voor kwaadwillenden mogelijk om via de Device Firmware Update (DFU) toegang te krijgen, zonder verdere controle.



De T2 chip dient voor het beveiligen van de belangrijkste dingen in je Mac. Denk bijvoorbeeld aan alle wachtwoorden dei bewaard worden in de Sleutelhanger en de gegevens voor Touch ID.

De grote vraag lijkt nu wat Apple hieraan kan doen. Misschien is het mogelijk om de T2 chip te ‘flashen’ met een aangepaste versie van BridgeOS, het besturingssysteem waar de T2 op draait, en dat mogelijk in een firmware update verpakt. Maar als dat al mogelijk is, dan zijn we voorlopig nog niet zover.

Heb je erg gevoelige data op je Mac staan en denk je dat iemand deze toegankelijk heeft gemaakt dan is op dit moment de enige oplossing om BridgeOS opnieuw te installeren. De instructies daarvoor zijn te vinden op deze pagina.

Welke Macs hebben een T2 chip?

Het antwoord op dit vraag vind je in het lijstje hieronder:

• 16-inch MacBook Pro 2019-2020
• 13-inch Macbook Pro 2018-2019
• 15-inch Macbook Pro 2018-2019
• MacBook Air 2018-2020
• Mac Mini 2018
• iMac 2020
• iMac Pro 2017
• Mac Pro 2019

met dank aan forumlid ‘Spooter’, die dit nieuws als eerste meldde op het forum

Hmmm, slecht nieuws.
De t2-chip is Apple's nieuwe wapen tegen hacking en dan laten ze de debug-interface op de chip open staan... Laten we hopen dat ze dit toch op een bepaalde manier softwarematig kunnen patchen.. (bijvoorbeeld door bepaalde system-calls over usb-c niet toe te staan naar de debug-interface tijdens het bootproces. Maar weet niet of dat kan, dat ligt een beetje buiten mijn expertisegebied...

@fbakker
Alles is te kraken, je hebt 2 soorten systemen, "gekraakt" en "nog niet gekraakt", de soort "onkraakbaar" bestaat niet.

Wat je je af zou kunnen vragen, is hoe zit het met de veiligheid als je een Mac met T2, een Mac zonder T2 en een Windows laptop met elkaar vergelijkt.

@MacFrankie

Ik weet niet precies waar je nu aan refereert. Ik heb geen melding gemaakt van onkraakbare systemen en al helemaal niet gesuggereerd (God verhoede) dat Windows (hardware) het beter zou doen.

Ik weet wel dat Apple flink inzet om middels de hogere beveiliging van de T2-chip een groter aandeel Mac's als 'corporate device' te promoten. Dit soort nieuws is dan nooit fijn. Dus nogmaals, ondanks dat het een 'hardware bug' is, dan hoop ik toch dat ze het middels een software patch kunnen repareren.

Zolang dit probleem bestaat, zou het dus wellicht beter kunnen zijn om wachtwoorden e.d. niet meer op te slaan in Sleutelhanger, maar in een apart programma, en browsers wachtwoorden niet meer te laten onthouden.

Het lijkt me een goede zaak, als Apple komt met aanbevelingen op dit punt.

@Timotheus: Sleutelhanger ("Keychain") en Secure Enclave zijn twee verschillende dingen.

https://stackoverflow.com/questions/41039423/what-is-difference-between-keychain-and-secure-enclave


EDIT: Sleutelhanger maakt wel gebruik van de SE.

Wat ik eigenlijk wilde zeggen: ik zie persoonlijk vooralsnog geen enkele reden om af te stappen van het gebruik van Sleutelhanger. Dat is een van de meest handige dingen van het Mac ecosysteem.

@puk1980: ik baseerde mij op Roberts opmerking:

De T2 chip dient voor het beveiligen van de belangrijkste dingen in je Mac. Denk bijvoorbeeld aan alle wachtwoorden die bewaard worden in de Sleutelhanger en de gegevens voor Touch ID.

De kans dat mijn MacBook Pro in iemands handen komt is niet groot, maar toch vind ik dit idee niet erg prettig.

Ben benieuwd of ze hier toch iets slims voor gaan vinden bij Apple. Want als nu de debugging interface op staat, misschien kan die dan toch via een update weer dicht gezet worden? Desnoods daarvoor langs de dealer.

Toch is het goed om dit enigszins te relativeren (jullie kennen mij inmiddels ).

De kwetsbaarheid is alleen te misbruiken als er een kwaadwillig gemodificeerde USB-C kabel fysiek op je Mac wordt aangesloten. Om encrypted bestanden te ontsleutelen zou er dan bovendien een keylogger geïnstalleerd moeten worden, zonder wachtwoord blijft dat onmogelijk.

Ik wil het probleem hiermee niet bagatelliseren, want dat is best een blamage voor Apple. De praktische gevaren zijn voor ons, gewone stervelingen, niet enorm.

Nog een artikel van Wired / ArsTechnica:

https://arstechnica.com/information-technology/2020/10/apples-t2-security-chip-has-an-unfixable-flaw/

https://www.wired.com/story/apple-t2-chip-unfixable-flaw-jailbreak-mac/