AppleのMacシリーズがUSBだけでハッキングされる、セキュリティチップ「T2」の脆弱性を利用

Appleが独自開発したセキュリティチップ「T2」は、MacでNetflixの4K画質ムービを再生するのに必要であることが判明するなど、Mac製品のセキュリティを担う中心的存在です。ハッキングチームのt8012 Development Teamが、改造したUSBデバイスとApple製品向け脱獄ツール「checkra1n」を利用して、T2チップの脱獄に成功したと報告しています。

Plug'nPwn - Connect to Jailbreak
https://blog.t8012.dev/plug-n-pwn/

A custom USB-C cable can jailbreak the T2 chip in a MacBook Pro | AppleInsider
https://appleinsider.com/articles/20/10/13/a-custom-usb-c-cable-can-jailbreak-the-t2-chip-in-a-macbook-pro

T2 exploit team demos a cable that hacks Mac w/o user action - 9to5Mac
https://9to5mac.com/2020/10/13/t2-exploit-team/

Apple製品向け脱獄ツール「checkra1n」がTシリーズチップ用OS「BridgeOS」に対応したことで、T2チップにアクセスしたり、T2チップ経由でTouch Barを操作したりすることが可能になりました。しかし、checkra1nでの脱獄はユーザーによってMacデバイスを「ディバイスファームウェアアップデート(DFU)モード」に切り替えるステップが必要であり、ユーザーの操作なしではハッキングができない状態でした。

AppleのMac向けセキュリティチップ「T2」に脱獄ツールが対応、Touch Barへの侵入などが可能に - GIGAZINE

今回、T2チップのハッキングを行うチーム「t8012 Development Team」は、MacデバイスのUSB-Cポートに改造を施したコネクタを接続するだけでT2チップを脱獄することに成功したと報告。MacBook ProのT2チップをUSB経由で脱獄しているデモムービーが公開されています。

T2 Plug'NPwn - YouTube


MacBook ProのUSB-Cポートにコネクタを接続すると……

MacBook Proの画面が消え、左側のモニターに解析を行う様子が映し出されました。

モニターには「DFU device connected」の文字が表示されており、MacBook Proに対するユーザーの特別な操作なしにDFUモードへ突入させることに成功していることがわかります。

そのままcheckra1nによる脱獄が行われ、ハッキングに成功。ムービーではSSHでbridgeOSにログインし、カーネル情報を表示しています。

T2チップ経由でブートロゴの変更にも成功しています

以下の画像はMacBookシリーズのUSB-Cポートのピン配置を表したもの。「CC1」と「CC2」は給電規格「USB Power Delivery(USB PD)」の制御に利用されるピンですが、t8012 Development Teamはこのピンを経由してT2チップのリブートやDFUモードへの切り替えが可能な、Apple固有の命令を発見したとのこと。USB PDを経由する命令は認証機能などはなく、文書化も行われていなかったそうです。

Mac製品の中でもラップトップ型のデバイスはT2チップとキーボードが直接接続されているため、今回発見された脆弱性を悪用することで、充電器に偽装したハッキングデバイスからMac製品にキーロガーを仕込むといった攻撃が可能になるとのこと。「Appleは、消費者がセキュリティリスクを理解できるように、Mac製品で使用されているベンダー固有のメッセージを文書化する必要があります」とt8012 Development Teamは指摘しています。