越狱T2芯片

什么是T2安全芯片
Apple T2 是一款值得信赖的安全芯片。它保护基本功能，例如安全启动、激活锁、Touch ID、加密数据存储等。

Apple T2 安全芯片如何工作？
T2 芯片可以控制 MacOS 启动过程。它确保在 Mac 硬件上运行的所有东西都经过 Apple 批准。只要按下 Mac 电脑上的电源按钮，它的工作就会开始，一直持续到您看到 MacOS 桌面。换句话说，它的主要功能之一是验证 Apple 是否已签署您的操作系统和引导加载程序。T2 芯片运行一个名为 BridgeOS（WatchOS 的重大修改版本）的软件，它永远不会关闭，除非电池没电了（很明显）。

T2 还负责硬盘驱动器上的所有加密数据。在以前的 Mac 版本中，这个功能是由 CPU 执行的，这会降低整个 Mac 的速度。通过将这些功能转移到 T2 芯片上，Apple 显着提高了新款 Mac 的性能，并允许 TouchID 的安全性。这些设备中的指纹扫描仪为用户提供了快速登录选项并批准管理员级别的请求。

它还处理来自不同应用程序的验证请求。T2 芯片确保没有应用程序通过 Touch ID 访问您的指纹信息。当请求验证时，Apple T2 安全芯片将指纹与 enclave 协处理器中保护的数据进行比较，并通知结果。

T2 基于 A9 iPhone ARM 处理器，这使其容易受到与配备 A6-A11 处理器的 Apple 设备相同的 checkm8 攻击。我将单独发表一篇文章，介绍 checkm8 漏洞利用的实际工作原理，以及它是如何集成到用于越狱易受攻击设备的工具 checkra1n 中的。

如何使用 Checkra1n 越狱 T2 芯片
在您开始越狱 T2 芯片之前，您首先需要：

带有T2芯片的Mac可以越狱
另一台运行 MacOS 的计算机（不是 M1 Mac）
USB-C 转 USB-C 数据线
步骤 1.在您未越狱的 MacOS 上下载最新的 checkra1n 软件。这可以通过访问这里的官方网站来完成，或者，如果使用 Homebrew，只需键入brew install --cask checkra1n

第 2 步。将您的 Mac 置于 DFU 模式。这是一个手动过程，可能需要一些时间和精力才能正确完成。

步骤 3.目前，checkra1n 的 GUI 版本不支持 T2 越狱。因此，我们必须使用 cli 版本。为此，请打开终端，然后键入/Applications/checkra1n.app/Contents/MacOS/checkra1n -c -v

这将以 cli 模式打开 checkra1n 并开始搜索 DFU 设备。一旦找到，它将完成越狱，并且您拥有 T2 芯片的 root 访问权限！有时，checkra1n 会抛出错误代码 20。如果是这样，只需重新启动 checkra1n，直到它显示Bootstrap already installed.

步骤 4.通过 iproxy SSH 到您的 T2 芯片。
iproxy 2222 44
不要关闭窗口，只需打开一个新窗口，然后输入：
ssh root@localhost -p 2222
root 密码为alpine. 现在，您的芯片中有一个 SSH shell！

我能用这个做什么？
现在是时候提供一些关于 T2 芯片越狱可以做什么的实际示例了。问题在于，这是 Mac 的所有安全性所在，这意味着驱动器可以未加密，可以安装恶意 EFI，等等。BridgeOS 键盘记录器的 PoC 一直在监听 MacOS。由于它被 MacOS 认为是完全信任的，因此用户不可能检测到它。我每天都在做越来越多的研究和测试，并且会在我继续的过程中发布你可以做的很酷的事情的更新。在某个时候，我将发布如何使用此方法更改 Mac 上的启动声音。谢谢阅读！