Jesień 2022 roku to intensywny czas na rynku systemów operacyjnych. W tym roku na przestrzeni zaledwie kilku tygodni zadebiutowały zupełnie nowe systemy operacyjne dla smartfonów - Android 13 oraz iOS 16, a także komputerów - Windows 11 2022 oraz macOS Ventura.

Każdy z systemów operacyjnych przeznaczony jest na inne urządzenia oraz posiada różne cechy charakterystyczne. Jest jednak jedne wspólny element, który łączy wszystkie nowo wydane aktualizacje systemów operacyjnych - bezpieczeństwo.

Zobacz również:

• iPhone 15 najszybciej taniejącym smartfonem od Apple w historii
• Nearby Sharing od Google - wygodny sposób na przesyłanie plików

W dobie rosnącej liczby ataków cybernetycznych Google, Microsoft oraz Apple postanowili wprowadzić nowe zabezpieczenia, które mają skutecznie chronić użytkowników przed zagrożeniami ukrytymi w sieci.

Microsoft w Windows 11 zdecydował się na wprowadzenie nowych zabezpieczeń phishingowych, zaktualizowanego Windows Defender, Smart App Control, Microsoft Endpoint Manager, Update Compiliance, Microsoft Studio Effects oraz wiele innych. Zwiększono również wymagania systemowe - każdy komputer musi posiadać moduł TPM. W przypadku Androida 13 mowa o zabezpieczeniu informacji powiązanych z kontem Google, nowych uprawnieniach oraz ulepszonej opcji zarządzania sieciami Wi-Fi. W iOS 16 otrzymaliśmy nowy tryb lockdown, narzędzie do sprawdzania poziomu bezpieczeństwa, uprawnienia udostępniania, poziome skanowanie Face ID oraz szybsze instalowanie zabezpieczeń.

Zmiany nie ominęły również systemu operacyjnego macOS Ventura. W najnowszym wydaniu systemu dla komputerów Mac firma Apple zdecydowała się na wprowadzenie ważnej funkcji o nazwie USB Restricted Mode. Czym jest najnowsze rozwiązanie i dlaczego jego obecność jest kluczowa w zapewnień bezpieczeństwa komputerów Mac?

Geneza powstania USB Restricted Mode

W przeszłości wiele ataków na komputery pracujące pod kontrolą systemu operacyjnego macOS polegało na przejęciu dostępu do urządzenia z wykorzystaniem portów USB wbudowanych w komputer. Badacze do spraw cyberbezpieczeństwa udowodnili, że możliwe jest zainfekowanie komputerów z systemem macOS poprzez wbudowane porty USB, a przeprowadzenie ataku nie jest skomplikowane.

Z tego powodu wszystkie komputery Mac wyposażone w procesory Apple Silicon wraz z aktualizacją do systemu operacyjnego macOS Ventura otrzymają wsparcie dla funkcji USB Restricted Mode. Rozwiązanie to kilka lat temu zadebiutowało w urządzeniach mobilnych Apple pracujących pod kontrolą iOS. Dzięki ujednoliceniu architektury pomiędzy systemami macOS, a iOS firma Apple mogła w łatwy sposób przenieść rozwiązanie USB Restricted Mode do komputerów.

Czym jest USB Restricted Mode?

System operacyjny macOS Ventura wprowadza nową warstwę zabezpieczeń w postaci USB Restricted Mode. Nowa funkcja bezpieczeństwa jest domyślnie aktywowana na urządzeniach, które zostaną zaktualizowane do nowej wersji oprogramowania. To ukłon w stronę administratorów oraz dyrektorów IT, którzy nie muszą zmieniać konfiguracji urządzeń pracujących w organizacji.

Zgodnie z oficjalnym stanowiskiem firmy Apple przekazanym w nocie dla deweloperów funkcja USB Restriced Mode dostępna jest na komputerach wyposażonych w procesory z rodziny Apple Silicon (model z końca 2020 roku oraz nowsze). Rozwiązanie to sprawia, że nowe akcesoria komunikujące się z komputerem za pośrednictwem łączności USB lub Thunderbolt wymagają dodatkowej zgody użytkownika przed rozpoczęciem komunikacji akcesorium - komputer.

Oznacza to, że po aktualizacji do macOS Ventura na komputerach wyposażonych w procesory Apple Silicon po podłączeniu akcesoriów korzystających z USB takich jak pamięci masowe, huby, aparaty fotograficzne itp. wyświetlony zostanie komunikat znany ze smartfonów iPhone oraz tabletów iPad, który dodatkowo pyta się użytkownika o zezwolenie na uruchomienie komunikacji.

Rozwiązanie to w domyśle ma ograniczyć możliwość podłączenia zainfekowanych urządzeń wykorzystujących port USB do komputerów Apple bez dostępu do konta administracyjnego. Sama fizyczna dostępność komputera nie powoli na zainfekowanie oprogramowania, które się na nim znajduje.

Jak działa USB Restricted Mode?

Po podłączeniu akcesorium do portu USB/Thunderbolt użytkownik musi zatwierdzić połączenie w okienku pop-up wyświetlanym przez system operacyjny. Dopiero po tej operacji możliwe jest uzyskanie dostępu do funkcji pozwalającej na komunikowanie się komputera z akcesoriami.

W przypadku, gdy komputer jest zablokowany użytkownik musi najpierw odblokować swoje konto w systemie operacyjnym. Dopiero w kolejnym kroku może zatwierdzić dostęp do podłączonego akcesorium.

Rozwiązanie wykorzystuje nowe ograniczenia new-to-the-Mac allowUSBRestrictedMode.

Apple zdaje sobie sprawę, że nowe powiadomienie może być irytujące dla użytkowników, którzy często podłączają akcesoria do swojego komputera. Z tego powodu nowa funkcja nie dotyczy zasilaczy, monitorów, ani połączeń z zatwierdzonymi wcześniej koncentratorami danych np. hubami lub stającymi dokującymi. Dodatkowo nawet po podłączeniu do niezatwierdzonego urządzenia tego typu komputer będzie się ładował. Ograniczony zostanie jedynie dostęp do przesyłania danych. W dalszym ciągu możliwe będzie wykorzystanie rozwiązania USB Power Delivery w celu ładowania komputera.

Rozwiązanie USB Restricted Mode zaszyte w systemie operacyjnym macOS Ventura ma za zadanie ograniczenie ataków na infrastrukturę IT, które polegają na fizycznym dostępie do sprzętu. Przykładem takiego ataku może być GrayKey - specjalnie przygotowane narzędzie, które służy do odblokowania dostępu do urządzeń mobilnych Apple poprzez złamanie kodu PIN. Koszt złamania telefonu z wykorzystaniem narzędzia GrayKey wynosi 50 dolarów.

Apple wprowadziło również dodatkowe zabezpieczenia, które uaktywniają się około godzinę po momencie przejścia w stan uśpienia lub zablokowania. Ograniczają one dostęp do akcesoriów USB, który powraca po odblokowaniu komputera przez użytkownika.

Rozwiązanie USB Restricted Mode jest domyślnie aktywne, ale można je wyłączyć z poziomu Preferencji systemowych. Zatwierdzone urządzenia mogą łączyć się z zablokowanym komputerem Mac przez 3 dni. Po tym czasie konieczne jest ponowne wydanie zgodny na łączność