ВСТУПЛЕНИЕ
Чтобы программное обеспечение было безопасным, оно должно опираться на аппаратное обеспечение, которое имеет встроенную защиту.
Вот почему, устройства Apple под управлением iOS, iPadOS, macOS, watchOS и tvOS имеют высший уровень безопасности.
Привет. Сегодня я вам расскажу о системе безопасности от компании Apple. Почему iPhone's взламывают реже, чем другие устройства на Android?
Какие уровни защиты есть во всех актуальных устройствах Apple?
Именно об этом я и расскажу в этой статье.
SECURE ENCLAVE
И так, Начнем. Сейчас программной защиты вашей конфиденциальности мало. Нужна защита на аппаратном уровне.
Для этого на современных гаджетах от Apple есть чип безопасности Secure Enclave. Это специальная защищённая подсистема на чипах Apple Silicon. Она изолирована от основного процессора, чтобы обеспечить дополнительный уровень безопасности.
Apple специально для него разработала версию микроядра - Core L4. Она нужна для более энергоэффективного потребления батареи, при помощи низкой тактовой частоте.
В Secure Enclave хранится вся ваша самая конфиденциальная информация — логины, пароли, данные биометрии, карточки Apple Pay и тому подобное.
Secure Enclave начиная с процессора A11 Bionic и S4 имеет защищённую загрузку, защищённый нейронный модуль, генератор случайных истинных чисел, модуль шифрования AES.
Начиная с iPhone 12 и с чипов М1 на чипе Secure Enclave имеется механизм защиты памяти с поддержкой двух эффемерных ключей. Первый ключ нужен для передачи конфиденциальной информации В Secure Enclave, а другой нужен для обмена с защищённым нейронным движком.
БИОМЕТРИЯ APPLE
Вы наверное видели видео, в которых любой Android смартфон, к тому же флагманы разблокируются через фотографии из Инстаграма.
Почему же Face ID это не тоже самое, что и разблокировка по лицу в Андроид или Виндовс?
А потому что сама камера TrueDepth, которая была анонсирована ещё в iPhone X (а это около 5 лет назад) имеет несколько модулей, которые вместе создают 3Д МОДЕЛЬ вашего лица, более чем из 30 тысяч точек и передают зашифрованные данные в математическом представлении, по защищенному каналу связи в Secure Enclave. А тот же при первой регистрации лица сохраняет их у себя в зашифрованном виде, не отправляя их никуда, не в память смартфона, и не в Apple, и даже не в ваше облако iCloud. Потому что такое равноценно, как утечка данных пользователя.
Доступ к данным Face ID имеет ТОЛЬКО Secure Enclave и никто больше.
А в Android все намного проще — вас просто фотографируют на фронталку и позже сравнивают ваше лицо с тем что есть в памяти. и всё.
Но подождите, разные приложения, например банковские, тоже могут запрашивать доступ к Face ID, они получается получают доступ к моим конфиденциальным данным? А вот и нет! Apple и тут все продумала, и когда приложение запрашивает доступ к Face ID, то сама система запрашивает именно SECURE ENCLAVE Проверить пользователя, и потом только ОН сообщает приложению:
"Дорогое приложение, наша система безопасности Apple проверила и аутентифировано нами, и ты можешь разрешить ему доступ, но давать тебе конфиденциальную информацию, мы не будем!"
КЛАВИАТУРЫ
Вы вот наверное думали, почему в iOS так криво работают сторонние клавиатуры? Почему в каких то случаях работает моя клавиатура, а в каком то стандартная?
А вот почему: Некоторые клавиатуры могут собирать данные, которые вы ввели и могут тем самым, красть пароли, но Apple тоже все продумала, и когда вам надо ввести любую конфиденциальную информацию, то работает СТАНДАРТНАЯ клавиатура.
А вот вы знаете беспроводную клавиатуру Magic Keyboard с Touch ID? Конечно знаете! А вот вы знали, что КАЖДЫЙ вводимый вами символ шифруется с помощью AES, с эффемерными ключами ECDH, точно также и шифруется данные отпечатка Touch ID. Они лишь шифруются и передаются компьютеру, и уже тот авторизует пользователя.
APPLE PAY
Вы никогда не задумывались о том, почему оплата через Apple Pay проходит именно так, как она происходит (Ну, в России происходила :D)? Почему нам нужно нажимать на кнопки перед оплатой?
Во первых, чтобы понять, что есть необходимость оплаты, нам нужно дважды нажать на боковую кнопку.
И именно этот двойной щелчок устанавливает соединение с нашим мощным Secure Enclave.
Во вторых, происходит проверка Face ID.
Если одно из этого не выполнено, то модуль NFC программно отключается, и оплата не происходит
Но если всё прошло хорошо, то происходит сама оплата.
АППАРАТНОЕ ОТКЛЮЧЕНИЕ МИКРОФОНА
Вот скажите, вы боитесь прослушки? Может вы боитесь, и думаете, что за вами постоянно следят через камеру? Даже тут Apple обо всём позаботилась!
Если вы выключаете микрофон через операционную систему, то есть, программным путём, то любой вредоносный код может его включить заново, также программно. Но если отключить его аппаратно, то есть физически, то его никто не сможет включить без вашего спроса! Но как это сделать, не разбирая компьютер?
Все макбуки с чипом Т2 и выше, имеют встроенное аппаратное отключение микрофона при закрытии крышки. Это работает благодаря датчикам, которые отслеживают угол шарнира.
Я больше скажу, все официальные чехлы для iPad, которые способны прикрывать экран планшета, позволяют также аппаратно отключать микрофон.
БЕЗОПАСНОТЬ macOS
Вы вот не задумывались, почему macOS так сложно установить в отличие от какого нибудь виндовса?
При запуске операционной системы от Apple важным является безопасная загрузка системы. Это огромное количество средств и утилит, которые позволяют проверить всю операционную систему на вредоносный код.
Сама же безопасная загрузка убеждается в том, что код ОС подписан Apple, в противном же случае этап загрузки прекращается.
Из-за этого вы не можете откатиться на предыдущую версию операционной системы.
Как же это работает?
Сначала загрузочный сектор проверяет подписи системы, подписи политики безопасности и даже расширение ядра, называемых KEXT.
Когда загружается загрузчик низкого уровня (LLB) он проверяет все подписи, загружает своё ПО, для загрузки ядер на Apple Silicon, такие как хранилище, дисплей, и контролеры Thunderbolt. И получается в скором времени, компьютеры на чипах от Apple будут запускать только те дисплеи, только те диски, которые ПРОПИСАНЫ С ЗАВОДА.
И ещё даже при установке macOS нужна связь с сервером Apple, который подпишет систему, и ещё выдаст ECID (Exclusive Chip IDentification (перевод: «Эксклюзивный Идентификатор Чипа»)), который идентифицирует только тот чип Apple Silicon который находится ТОЛЬКО У ТЕБЯ В КОМПЬЮТЕРЕ!
Также у вас в системе есть дополнительные меры безопасности.
- Например, Защита Целостности Системы (SIP). Она защищает загрузчик и ядро от лишних вредоносных записей во время работы macOS.
- FileVault, или же шифровальщик, он шифрует все данные на вашем диске и не позволяет использовать ваш макбук как внешний SSD.
ОБНОВЛЕНИЯ APPLE
Сервера Apple всегда проверяют все обновления для каждого приложения на соответствие заявленных изменений и на наличие вредоносного кода. Если всё окей, то сервер подписывает весь код и отправляет его в AppStore. В ином случае обновление не подписывается и отправляется обратно разработчику, не поступив в магазин.
ВИРУСНАЯ ЗАЩИТА macOS
Почему абсолютно все говорят, что на iPhone и macOS нету вирусов и там не нужен антивирус? Ну во-первых, вирусы есть, но их намного меньше, чем на том же Виндовс. Во вторых, антивирус не нужен! Для этого на macOS и iOS каждое приложение загружается в песочнице. Это такая среда, в которой программа имеет доступ только к своим файлам и доступа к данным пользователя без его согласия она не имеет.
И к тому же, на macOS есть 13 программных комплексов созданные для нахождения и удаления вирусов. Изучим подробнее.
- расширение для Safari Unapproved list, оно определяет вредоносный код и вирусы внутри Safari, поэтому наткнуться и загрузить вредосное ПО, практически нереально!
- Карантин Файлов, также определяет вирусы, но только уже на самом диске.
- Подписи Xprotect и Yara. Они проверяют приложение при каждом его запуске! И если оно как-то видоизменяетсяили обновляется, то оно его снова проверяет. И ещё если на серверах Apple появились новые данные о вирусах, то Xprotect автоматически обновляет свою базу и с помощью подписей Yara проверяет каждое приложение на наличие штампов этих вирусов.
- MRT (Механизм Удаления Троянов). этот механизм в macOS исправляет заражение, с помощью удаления вредоносного ПО с вашего компьютера.
- Gatekeeper Endpoint Protection. Спрашивает разрешение у пользователя на запуск только ДОВЕРЕННОГО ПО
- Eficheck. Обнаруживает Руткиты.
Руткиты - это вид вредоносного программного обеспечения, которое маскируется под легальное ПО.
- Брандмауэр приложений. - он фильтрует весь поступающий трафик и отсекает обновления с вредоносным кодом.
- Пакетный фильтр. С помощью его брандмауэр расширяет свою базу знаний.
- Защита Целостности Системы. Встроенная технология в macOS, выполняющая огромное количество операций по безопасности и проверке всей системы.
- Обязательный Контроль Доступа. Технология, которая используется для обеспечения защит на уровне ядра, включая песочницу и хранилище данных.
- Список исключений Kexts. Данная функция не даёт сторонним расширениями загружаться внутрь ядра. Они все объединяются и управляются самой macOS.
- Обязательная подпись кода приложения. Генерирует цифровую подпись для кода, подтверждая разработчика.
- Нотариальная заверение приложения. Оно доказывает, что Apple была представлена копия кода приложения, и наличия вредосного ПО там не было.
ЗАКЛЮЧЕНИЕ
Вся информация с этой статьи взята с официального документа Apple Platform System.
Что же, я надеюсь вы поняли, почему Apple это одна из САМЫХ лучших компаний в мире.
Никто, абсолютно, так не заботится о безопасности и защите конфиденциальности ваших данных, как Apple.
Ставьте лайки, подписывайтесь, делитесь статьёй со своими друзьями, комментируйте!