A partire da ottobre 2020, Apple ha apportato delle insolite modifiche hardware di metà produzione sui processori A12, A13 e S5 per aggiornare il Secure Storage Component.
Come riportato dalla pagina di supporto Apple, l’azienda ha modificato il Secure Enclave in una serie di chip prodotti a partire dall’autunno 2020:
Nota: i prodotti A12, A13, S4 e S5 rilasciati per la prima volta nell’autunno 2020 hanno un Secure Storage Component di seconda generazione; mentre i prodotti precedenti basati su questi SoC hanno un Secure Storage Component di prima generazione.
Il componente di archiviazione sicura di seconda generazione aggiunge lockbox per il contatore. Ogni lockbox di sicurezza del contatore memorizza un salt a 128 bit, un verificatore del codice di accesso a 128 bit, un contatore a 8 bit e un valore massimo di tentativo di 8 bit.
Le lockbox del contatore contengono le informazioni necessarie per sbloccare i dati utente protetti da passcode. Per accedere ai dati dell’utente, Secure Enclave deve derivare il valore di entropia del passcode corretto dal passcode dell’utente e dall’UID di Secure Enclave. Non è possibile apprendere il codice di accesso dell’utente utilizzando i tentativi di sblocco inviati da una fonte diversa dal Secure Enclave associato. Se il limite di tentativi del passcode viene superato (ad esempio, 10 tentativi su iPhone), i dati protetti da passcode vengono cancellati completamente dal componente di archiviazione sicura.
Questa sembra essere una contromisura contro i dispositivi di cracking delle password, come GrayKey, che tentano di entrare negli iPhone indovinando il passcode grazie a numero infinito di tentativi, utilizzando exploit che consentono di immettere ripetutamente password errate.
Secure Enclave è un coprocessore utilizzato per la protezione dei dati e l’autenticazione con Touch ID e Face ID. Lo scopo di questo componente è gestire le chiavi crittografate e altre informazioni, come la biometria, che sono sufficientemente sensibili da non poter essere gestite dal processore principale. Questi dati sono archiviati in un componente di archiviazione sicura all’interno di Secure Enclave, che è la parte specifica che Apple ha modificato alcuni mesi fa.
Dal documento emerge che l’iPad entry-level di ottava generazione, l’Apple Watch SE e l’HomePod mini hanno dei Secure Enclave differenti rispetto ai dispositivi più vecchi con lo stesso chip. Non è escluso che questo componente modificato sia presente anche sugli iPhone e gli iPad più datati ma prodotti dall’autunno scorso, il che comprenderebbe iPhone XR, iPhone 11, iPhone SE 2020 e iPad mini di quinta generazione.
Ovviamente, anche i nuovi dispositivi con chip A14 o S6, come iPhone 12, iPhone 12 Pro, iPad Air di quarta generazione e Apple Watch Series 6, hanno il Secure Enclave aggiornato.
È comunque insolito per Apple cambiare un componente nei suoi chip a metà della produzione, ma probabilmente l’azienda ha ritenuto l’aggiornamento di sicurezza abbastanza importante da integrarlo su tutti i dispositivi prodotti a partire dallo scorso autunno.