研究人員展示以客製化USB-C纜線破解MacBook Pro上的T2晶片

日前才傳出蘋果在macOS裝置上所嵌入的T2晶片含有安全漏洞，本周就有研究人員展示如何透過客製化的USB-C纜線來破解MacBook Pro上的T2晶片，研究人員先在MacBook Pro接上纜線以執行攻擊，在MacBook Pro重新開機之後，其開機時的蘋果商標就被變更了。

T系列為蘋果替Mac裝置量身打造的安全系統單晶片，其中的T2奠基在蘋果替iPhone 7設計的A10處理器，採用的是由watchOS改造的bridgeOS。然而，A10處理器含有一個安全漏洞，允許使用者以纜線連結其它裝置來執行checkra1n攻擊程式，雖然當T2處於裝置韌體更新模式並偵測到解密呼叫時，它會出現致命錯誤並退出；然而，T2含有第二個Blackbird漏洞，將允許駭客攻擊它的安全啟動程序，可用來關閉上述偵測行為。由於相關漏洞存在於T2的唯讀記憶體中，因而無法藉由軟體更新來修補。

T2晶片的安全漏洞是由Rick Mark，以及代號為h0m3us3r、mcmrarm與aunali1等安全研究人員所發現，此次展示相關攻擊的也是同一批人。

研究人員先把客製化的USB-C纜線插入MacBook Pro，以連結第二臺裝置，讓T2進入裝置韌體升級模式（Device Firmware Upgrade，DFU），並透過第二臺裝置執行checkra1n攻擊程式，以變更MacEFI的酬載，重新開機後的MacBook Pro就出現了遭到竄改的蘋果商標。

儘管此次研究人員僅簡單地變更了蘋果商標，但在checkra1n置換了可延伸韌體介面（Extensible Firmware Interface，EFI）之後，其實駭客也可以上傳金鑰紀錄器以捕獲所有的金鑰，因為Mac的可攜式鍵盤是直接連結T2並傳遞至macOS。

此一攻擊示範完全不需要使用者的互動，駭客只需實際存取使用者的macOS裝置，裝上客製化的USB-C纜線便能展開攻擊，而這群研究人員還打算銷售被命名為USB-PD Screamer的客製化纜線，售價為49.99美元。