Хабрахабр

Новый чип Apple T2 затрудняет прослушку через встроенный микрофон ноутбука

Компания Apple опубликовала документацию по микросхеме безопасности T2, которая встроена в последние модели фирменных ноутбуков, в том числе представленный в начале года MacBook Pro и только что анонсированный MacBook Air.

Но теперь выясняется, что это очень интересная микросхема. До сегодняшнего дня о чипе было мало известно. Кроме того, микросхема аппаратно отключает микрофон встроенной камеры при закрытии крышки ноутбука.
«Это отключение реализовано на аппаратном уровне и поэтому не позволяет никакому программному обеспечению, даже с привилегиями рута или ядра в macOS, и даже программному обеспечению на чипе T2, включать микрофон, когда крышка закрыта», — сказано в опубликованном руководстве, где функции аппаратного отключения микрофона уделяется один абзац. На неё возложен целый ряд функций безопасности, в том числе хранение и защита ключей шифрования устройства, данных об отпечатков пальцев и функции безопасной загрузки.

Там же добавляется, что сама видеокамера при этом не отключается аппаратно, потому что «её поле зрения полностью заблокировано закрытой крышкой».

Речь идёт о защите от вредоносных программ, троянов и RAT, которые в последнее время получили распространение для операционной системы macOS (под Windows такие программы в огромном количестве существуют давным-давно). Apple заявила, что новая функция добавляет «невиданный» уровень безопасности для Mac.

Тогда же среди пользователей распространилась привычка заклеивать веб-камеру ноутбука изолентой или непрозрачным стикером. Угроза подключения хакеров к веб-камерам на ноутбуках стала реальностью несколько лет назад, с распространением инструментов удалённого администрирования (RAT).

До определённого момента некоторые пользователи считали, что веб-камеры на ноутбуках Apple практически невозможно активировать без ведома пользователя, Но в прошлом году был обнаружен зловред Fruitfly, который развеял этот миф.

На первый взгляд зловред довольно простой и состоит всего из двух файлов:

~/.client
SHA256: ce07d208a2d89b4e0134f5282d9df580960d5c81412965a6d1a0786b27e7f044

~/Library/LaunchAgents/com.client.client.plist
SHA256: 83b712ec6b0b2d093d75c4553c66b95a3d1a1ca43e01c5e47aae49effce31ee3

А вот последний гораздо интереснее: это минифицированный и обфусцированный скрипт на Perl, который среди прочего устанавливает соединение с одним из управляющих серверов. Сам файл .plist просто поддерживает постоянную работу .client.

Там обнаружен двоичный файл Mach-O, второй скрипт на Perl и класс Java, который извлекается скриптом, записывается в папку /tmp/ и выполняется. Но самая интересная часть скрипта находится в конце раздела __DATA__. UIElement в значении true, то есть не отображается в Dock. В случае класса Java, он запускается с установкой pple.awt.

Исследователи отмечают, что для этого зловред применяет поистине «античные» системные вызовы, которые использовались ещё до появления OS X. Именно этот бинарник и делает сриншоты экрана (с дисплея) и осуществляет доступ к веб-камере.

SGGetChannelDeviceList
SGSetChannelDevice
SGSetChannelDeviceInput
SGInitialize
SGSetDataRef
SGNewChannel
QTNewGWorld
SGSetGWorld
SGSetChannelBounds
SGSetChannelUsage
SGSetDataProc
SGStartRecord
SGGetChannelSampleDescription

Кроме того, бинарник включает исходник открытой библиотеки libjpeg в версии 1998 года. Из этого они делают вывод, что авторы не имеют опыта современной разработки под Mac, а пользуются старой документацией, что намекает на их иностранное происхождение из региона, где техника Apple не установлена повсеместно. Так или иначе, но зловред успешно выполняет свои функции и шпионит за пользователями Mac через встроенную веб-камеру ноутбука.

В британской разведке GCHQ много лет действовал отдел по разработке таких троянов в рамках программы Optic Nerve. Известно, что шпионаж через веб-камеры ноутбуков используется не только любопытными хакерами для развлечения, но и спецслужбами. Даже некоторые известные технари вроде Марка Зукерберга заклеивают изолентой веб-камеру на ноутбуке.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть