Apple T2: czip w nowym MacBooku Air, dzięki któremu nikt cię nie podsłucha

Podczas wtorkowej prezentacji nowego MacBooka Air i Maca Mini jednym z kluczowych elementów ich specyfikacji był układ Apple T2, zapewniający dodatkowe bezpieczeństwo. Czym jest ten kawałek krzemu i jakie funkcje spełnia? Dzięki niemu trudniejsze jest między innymi podsłuchiwanie z użyciem wbudowanego mikrofonu Maca.

Apple T2 to druga generacja układu, który integruje kilka kontrolerów znanych ze starszych Maców. Jest to między innymi kontroler zarządzania systemem (SMC). Nowością względem T1 jest bardzo dobry kontroler dźwięku i sygnałowy procesor obrazu (ISP), który współpracuje z kamerką FaceTime i odpowiada za mapowanie barw, kontrolę ekspozycji, regulację balansu bieli i wykrywanie twarzy. Nowy jest też kontroler pamięci masowej SSD z dedykowanym układem szyfrowania dysku AES. Dysk Maca z T2 jest automatycznie szyfrowany bez względu na to, czy użytkownik włączył zabezpieczenie FileVault, czy nie, Apple zaleca jednak korzystanie z FileVault, by dysk nie był odszyfrowywany od razu po zamontowaniu. Ponadto dzięki T2 cała praca związana z szyfrowaniem nie dociera do procesora Intela i nie zauważymy żadnego spadku wydajności.

Pod względem bezpieczeństwa największe znaczenie w T2 ma Security Boot – mechanizm zapobiegający uruchamianiu na Macu systemu innego niż aktualnie zainstalowany lub inny, podpisany certyfikatem Apple'a. Domyślnie niemożliwe jest uruchomienie Maca z T2 z zewnętrznego dysku USB lub Thunderbolt. Ustawienia te można zmienić w trybie odzyskiwania, ale nie jest to zalecane. Gdyby atakujący miał fizyczny dostęp do Maca, mógłby uruchomić na nim własny system i uzyskać dostęp do danych.

Jednym z podstawowych zadań T2 jest obsługa autoryzacji odciskiem palca Touch ID. W czipie znajduje się także koprocesor Secure Enclave stanowiący podstawę szyfrowania dysku i bezpiecznego rozruchu Maca. Zajmuje się on szyfrowaniem odcisków palców, a także chroni mikrofon i kamerę przed nieautoryzowanym dostępem. Na jego barkach spoczywa też obsługa zawołania „Hej Siri”, które uruchamia asystentkę głosową.

Specyfikacja T2 zdradza jeszcze jedną ciekawą funkcję, która na pewno zainteresuje osoby obawiające się podsłuchów. Czip Apple'a ma wbudowaną możliwość sprzętowego odłączenia mikrofonu MacBooka, gdy zamknięta jest pokrywa laptopa (zwykle wtedy system jest uśpiony). Dzięki temu oprogramowanie, bez względu na uzyskane uprawnienia, dostęp do jądra czy nawet funkcji T2, nie będzie w stanie nasłuchiwać.

Kamera nie jest odłączana tylko dlatego, że jej pole widzenia i tak zostanie zasłonięte przez gładzik. Poza tym w Macach obok kamerki znajduje się połączona z nią na stałe dioda, więc trudno przechwycić obraz bez wiedzy użytkownika. Mimo tego nawet Mark Zuckerberg zakleja FaceTime i mikrofon swojego Maca taśmą. Paranoja na tym punkcie nie jest nieuzasadniona. Dość wspomnieć, że brytyjska GCHQ przez lata podłączała się do webcamów laptopów w ramach programu Optic Nerve.

Dzięki temu użytkownicy laptopów z jabłkiem nie muszą obawiać się, że malware (tak, dla macOS-a też są wirusy) zostanie wykorzystany do podglądania i podsłuchiwania. Ataki typu FruitFly, który działał na Macach przez dobre 10 lat, nie będą już możliwe. Jest to też prztyczek w nos funkcjonariuszy wywiadu.

Im więcej zadań zostanie przekazanych układowi T2, tym mniej Mac będzie polegał na procesorze Intela. Dla użytkowników korzyści są oczywiste – wyższe bezpieczeństwo i mniejsze obciążenie procesora przy szyfrowaniu danych. Przy okazji dostaliśmy nieco lepszy dźwięk z głośników i lekką poprawę obrazu z FaceTime.

Dla Apple zaś jest to kolejny krok na ścieżce do budowy Maców z innymi procesorami niż te Intela. Nie od dziś wiadomo, że zależność od linii produkcyjnej „niebieskich” jest solą w oku producenta Maców. Niektóre modele są przez to opóźnione, a już na pewno nikt w Apple nie cieszy się z powodu przeciągającej się produkcji układów w litografii 10 nm. Według analityków zobaczymy je w 2020 lub 2021 roku.

Czip Apple T2 znajdziemy w iMacu Pro, MacBooku Pro z 2018 roku, nowym Macu Mini i MacBooku Air.