Apple Membuat Perubahan Keamanan Mendadak pada Chipnya di Musim Gugur 2020

Apple membuat perubahan perangkat keras produksi menengah yang tidak biasa pada prosesor A12, A13, dan S5 di perangkatnya pada musim gugur 2020 untuk memperbarui Komponen Penyimpanan Aman, menurut dokumen Dukungan Apple.

Menurut an Halaman Dukungan Apple , ditemukan oleh pengguna Twitter Andrew Pantyukhin , Apple mengubah Enklave Aman di sejumlah produk pada musim gugur 2020:

Catatan: Produk A12, A13, S4, dan S5 yang pertama kali dirilis pada Musim Gugur 2020 memiliki Komponen Penyimpanan Aman generasi ke-2; sementara produk sebelumnya berdasarkan SoC ini memiliki Komponen Penyimpanan Aman generasi pertama.

Enklave Aman adalah koprosesor yang digunakan untuk perlindungan dan otentikasi data dengan Touch ID dan Face ID. Tujuan Enklave Aman adalah untuk menangani kunci dan informasi lainnya, seperti biometrik, yang cukup sensitif untuk tidak ditangani oleh Pemroses Aplikasi. Data ini disimpan dalam Komponen Penyimpanan Aman di dalam Enklave Aman, yang merupakan bagian khusus yang diubah Apple tahun lalu.

Penjelasan dalam dokumen dukungan Apple menunjukkan, setidaknya, bahwa entry-level generasi kedelapan iPad , Apple Watch SE , dan RumahPod mini memiliki Enklave Aman yang berbeda dibandingkan dengan perangkat lama dengan chip yang sama.

Namun, ada sejumlah perbedaan dalam dokumen dukungan Apple. Meskipun Apple menjelaskan bahwa produk A13 'pertama kali dirilis pada Musim Gugur 2020 memiliki Komponen Penyimpanan Aman generasi ke-2,' tidak ada perangkat dengan chip A13 'yang pertama kali dirilis pada Musim Gugur 2020'. Perangkat terakhir yang dirilis dengan chip A13 adalah iPhone SE pada Februari 2020.

Jika perubahan itu, pada kenyataannya, dilakukan untuk semua perangkat yang baru diproduksi dengan chip ini, perangkat yang terpengaruh akan mencakup iPhone XR, iPhone 11 , ‌iPhone SE‌, dan generasi kelima iPad mini , serta generasi kedelapan & zwnj; iPad & zwnj ;, & zwnj; Apple Watch SE & zwnj ;, dan & zwnj; HomePod mini & zwnj ; yang baru dirilis.

Untuk membuat masalah lebih membingungkan, tabel yang mencantumkan beberapa versi komponen penyimpanan Enklave Aman dalam ringkasan fitur menghilangkan chip S4 dengan Komponen Penyimpanan Aman generasi kedua, meskipun rubrik mengklaim bahwa chip tersebut ada. Apple Watch Series 4 adalah satu-satunya perangkat yang memiliki chip S4, dan perangkat ini dihentikan pada September 2019, jauh sebelum Komponen Penyimpanan Aman generasi kedua diimplementasikan pada musim gugur 2020. Ada kemungkinan bagian dari kekurangan ini kejelasan berkaitan dengan fakta bahwa chip A12 dan S4 memperkenalkan Komponen Penyimpanan Aman generasi pertama.

Perangkat baru yang berisi chip A14 atau S6, seperti iPhone 12 , ‌iPhone 12‌ Pro, generasi keempat iPad Air , dan Apple Watch Series 6, juga memiliki Enklave Aman yang diperbarui.

Meskipun perubahan terjadi pada musim gugur 2020, dokumen dukungan yang merinci perubahan tersebut diterbitkan pada Februari 2021. Selengkapnya Versi PDF dari Panduan Keamanan Platform Apple mengungkapkan perbedaan antara Komponen Penyimpanan Aman generasi pertama dan kedua:

Komponen Penyimpanan Aman generasi ke-2 menambahkan kotak kunci penghitung. Setiap kotak kunci penghitung menyimpan garam 128-bit, pemverifikasi kode sandi 128-bit, penghitung 8-bit, dan nilai upaya maksimum 8-bit. Akses ke counter lockboxes adalah melalui protokol terenkripsi dan diautentikasi.

Kotak kunci penghitung menyimpan entropi yang diperlukan untuk membuka kunci data pengguna yang dilindungi kode sandi. Untuk mengakses data pengguna, Enklave Aman yang dipasangkan harus memperoleh nilai entropi kode sandi yang benar dari kode sandi pengguna dan UID Enklave Aman. Kode sandi pengguna tidak dapat dipelajari menggunakan upaya membuka kunci yang dikirim dari sumber selain Enklave Aman yang dipasangkan. Jika batas upaya kode sandi terlampaui (misalnya, 10 upaya pada iPhone), data yang dilindungi kode sandi akan dihapus sepenuhnya oleh Komponen Penyimpanan Aman.

Ini tampaknya merupakan tindakan balasan terhadap perangkat peretas kata sandi, seperti GrayKey , yang mencoba membobol iPhone dengan menebak kode sandi berkali-kali, menggunakan eksploitasi yang memungkinkan upaya kata sandi salah yang tak terbatas.

Perubahan tersebut tampaknya cukup signifikan bagi Apple untuk membenarkan penyimpanan Enklave Aman versi 'generasi kedua' secara keseluruhan. Jelas tidak biasa bagi Apple untuk mengubah komponen dalam chipnya di tengah-tengah produksi, tetapi Apple kemungkinan menganggap peningkatan keamanan cukup penting untuk meluncurkannya ke semua perangkat baru yang relevan mulai musim gugur dan seterusnya, bukan hanya perangkat dengan A14 terbaru. dan chip S6.