Apple T2, a cosa serve il nuovo chip per la sicurezza dei MacBook

Il nuovo chip T2 è presente sui nuovi Mac Mini e MacBook Air, oltre che sull'iMac Pro e i MacBook Pro di quest'anno. Migliora la sicurezza, compresa quella del microfono.

Avatar di Valerio Porcu

a cura di Valerio Porcu

Senior Editor

Tra le novità introdotte ieri da Apple c'è anche il nuovo chip T2, il cui compito è aumentare la sicurezza dei nuovi MacBook e del nuovo Mac Mini, in modo simile a quanto già accade sugli iPhone tramite il secure enclave. Tra le altre cose, disattiva il microfono quando si chiude il coperchio.

Usare un chip specializzato offre effettivamente alcuni vantaggi. Il primo riguarda l'avvio del sistema operativo: il chip verifica l'integrità dei file caricati in questo momento critico e si assicura che non ci siano state modifiche non autorizzate. È uno strumento utile a contrastare minacce da rootkit, che agisce in modo simile a quanto accade con Secure Boot; in effetti la sicurezza di T2 si aggiunge a quella di Secure Boot.

Un altro compito svolto dal chip T2 è la conservazione delle chiavi crittografiche. Rispetto a un semplice file sull'hard disk (crittografato), l'uso di hardware dedicato dovrebbe rendere più difficile il furto di questi importanti dati.

Come si legge sulla documentazione pubblicata dall'azienda, poi, il chip integra in sé stesso il sistema crittografico usato dal sistema operativo. I dati scambiati tra CPU e SSD devono passare da qui, e così il nuovo processore va a costituire un "cancello" più solido e difficile da scardinare. Al suo interno ci sono alcuni dati unici inseriti in fase di fabbricazione, che nessun software può leggere. Lo stesso meccanismo gestisce la crittografia di FileVault, il sistema per crittografare i dati presenti sul Mac – sarà impossibile accedere senza inserire la password corretta.

Se si rimuove il disco resterà illeggibile, proprio perché le chiavi restano sul chip separato. Il sistema, secondo Apple, previene gli attacchi di tipo brute-force eseguiti dopo la rimozione del drive: c'è un limite di 30 tentativi, dopodiché scattano tempi di attesa via via più lunghi. Le chiavi crittografiche non lasciano mai il T2; questo significa che non raggiungono il processore Intel e quindi, in teoria, sono protette da ulteriori vulnerabilità su di esso. Il sistema protegge anche i meccanismi di avvio alternativi (Recovery, Internet e Diagnostico) ed eventualmente anche l'avvio di Windows, se installato. In quest'ultimo caso, il supporto va attivato a mano tramite Boot Camp.

Apple ha sostituito, nei nuovi Mac, l'utility Firmware Password Utility con la nuova Startup Security Utility, che include tutte le nuove voci rese possibili dal chip T2.  Le opzioni sono accessibili dopo un avvio in modalità Ripristino. Da qui sarà anche possibile rivedere le impostazioni di sicurezza dell'avvio.

Apple T2: altri strumenti di sicurezza

Il T2 è responsabile anche della gestione di TouchID, l'accesso tramite impronta digitale recentemente introdotto sui MacBook. Come sugli iPhone, non viene memorizzata nessuna impronta ma solo la codifica matematica di essa. Quando si posa il dito, la nuova elaborazione viene confrontata con quella memorizzata. Il punto è che non c'è una "impronta memorizzata" da rubare.

Infine ma non ultimo, tutti i MacBook con chip T2 scollegano fisicamente il microfono quando il coperchio è chiuso. Questo serve per assicurarsi che, anche se è presente un malware, il notebook non sia utilizzato per spiare il proprietario o l'ambiente circostante. Si tratta di un intervento hardware, e non dovrebbe essere possibile in alcun modo aggirarlo.

Insomma, Apple ha evidentemente riconosciuto grande importanza alla sicurezza dei suoi notebook, il che è senz'altro ragionevole in quest'epoca e dà ai MacBook un valore aggiunto. E affronta anche un certo rischio: se qualcuno dovesse trovare un modo per scardinare i lucchetti del T2, Apple potrebbe non aver alternative se non disabilitare completamente il chip con un aggiornamento o sostituire le macchine colpite dal problema.

Vale la pena ricordare che molti notebook enterprise con Windows, quel tipo di macchine proposte ad aziende particolarmente attente alla sicurezza, vantano un gran numero di strumenti specializzati ma non un chip dedicato. Si affidano solo a UEFI e a Secure Boot. E spesso hanno anche uno sportellino mobile che copre fisicamente la webcam per impedire abusi. Apple ha deciso di non metterlo: o non credono possibile che qualcuno sviluppi un malware specifico, che possa attivare la webcam a insaputa dell'utente, oppure trovano che quello sportellino, per quanto sicuro, sia troppo brutto.

Se volete un bel computer portatile, leggero ma abbastanza potente e con una grande autonomia, c'è il MacBook Air 13 a circa 900 euro.
Leggi altri articoli