Recursos modernos de segurança do iOS – análise aprofundada de SPTM, TXM e Exclaves

• O kernel XNU dos sistemas operacionais da Apple tradicionalmente oferecia uma única zona de confiança
• Recentemente, a Apple vem tentando reduzir o impacto de vulnerabilidades de segurança por meio da separação da arquitetura do kernel e da microkernelização
• O Secure Page Table Monitor (SPTM), introduzido em 2023, levou à separação de funções centrais e à formação de uma nova estrutura de domínios de confiança
• Mecanismos de segurança mais recentes, como Exclaves e Trusted Execution Monitor (TXM), foram implementados com base no SPTM
• Essas melhorias estruturais evitam que um comprometimento do kernel reduza imediatamente a confiança em todo o sistema

Visão geral

O kernel XNU, núcleo dos sistemas operacionais da Apple, é chamado de kernel híbrido, mas na prática opera em uma estrutura semelhante à monolítica, com todas as funções do sistema concentradas em uma única zona privilegiada de confiança. Por isso, quando o kernel é comprometido, todo o sistema passa imediatamente a enfrentar uma ameaça grave. Recentemente, a Apple vem aprimorando o kernel para torná-lo mais segmentado e mais próximo de um design de microkernel, por exemplo movendo para fora da área do kernel funções críticas como manipulação de tabelas de páginas e operações relacionadas à criptografia.

Principais motivações da mudança e direção da pesquisa

• Crescente necessidade de melhorar a estrutura do kernel para reforçar a segurança
• Objetivo de minimizar o impacto sistêmico da exploração de vulnerabilidades do kernel
• Falta de pesquisas anteriores que analisem cientificamente como novos mecanismos como o SPTM foram de fato projetados e como funcionam
• Este artigo investiga de forma sistemática esses novos recursos não divulgados em detalhe e organiza as interações e os efeitos de todos os mecanismos de segurança atuais

Mecanismo central do SPTM (Secure Page Table Monitor)

• O SPTM é o componente de mais alto privilégio do sistema, operando no Guarded Level 2 (nível máximo de privilégio) em conjunto com o Guarded Execution Feature (GXF)
• O GXF adiciona níveis horizontais de proteção à estrutura tradicional de exception levels do AArch64, isolando atividades sensíveis do sistema do acesso direto pelo XNU
• O SPTM fornece um domínio de confiança com base em regras de retyping de frames e mapeamento de memória, separando áreas por função
• Exemplos representativos desses domínios de confiança incluem o TXM (responsável por assinatura de código e verificação de permissões) e os Exclaves (recurso moderno de segurança com separação de áreas)

Exclaves e mecanismos de comunicação

• Exclaves são ambientes de execução que operam em zonas independentes de confiança e dependem do sistema de proteção e controle de memória baseado no SPTM
• A comunicação entre Exclaves e o sistema é implementada de várias formas, como xnuproxy (manipulador de requisições seguras) e o framework de IPC Tightbeam
• O Tightbeam tem uma estrutura complexa de IPC, com criação de endpoints, buffers de mensagens e conexões cliente-servidor
• Como caso real de uso de Exclaves, a análise também inclui o controle de indicadores de privacidade, como os avisos de gravação e uso de áudio

Reforço de segurança e perspectivas futuras

• À medida que funções centrais do sistema são separadas do acesso direto pelo XNU, surge uma camada extra de proteção capaz de preservar o nível geral de confiança do sistema mesmo quando o kernel é comprometido
• A análise detalhada das interações entre SPTM, Exclaves e TXM mostra a formação de um sistema de proteção em camadas muito mais forte do que antes
• Na conclusão, o artigo apresenta brevemente o estado atual após a introdução do SPTM, as possibilidades futuras de reforço de segurança, limitações remanescentes e direções para pesquisas posteriores

Estrutura e guia de conteúdo aprofundado

Capítulo 1: motivação–objetivos–estrutura

• Contexto histórico do movimento de segmentação do kernel da Apple e necessidade da pesquisa
• Ênfase nas contribuições deste estudo

Capítulo 2: contexto e fundamentos

• Introdução aos exception levels da arquitetura AArch64, aos métodos de acesso à memória e às técnicas especiais de proteção dos chips da Apple (Fast Permission Restrictions, Page Protection Layer, Guarded Execution Feature, Shadow Permission Remap Register)
• Resumo das pesquisas de segurança anteriores e de suas limitações

Capítulo 3: ambiente de análise

• Explicação do hardware, firmware, ferramentas, símbolos e registradores proprietários da Apple usados como alvo

Capítulo 4: visão geral do projeto da arquitetura completa

• Visualização da estrutura total do sistema abrangendo EL (exception levels) e GL (níveis horizontais de proteção)

Capítulo 5: estrutura aprofundada do SPTM

• Explicação detalhada da configuração básica e inicialização do SPTM, modos de chamada (kernel, TXM e Secure Kernel) e tabelas de cabeçalho/dispatch
• Fluxo de tratamento de eventos internos do SPTM, GENTER e processamento de SVC/HVC (hypercalls de gerenciamento)
• Lógica de retyping de frames: descrição em etapas de chamada e validação, checagens de validade por tipo/domínio, atualização de SPRR (Permission Remapping) e finalização da chamada
• Processo de mapeamento de páginas e mecanismos de segurança

Capítulo 6: papel do Secure Kernel

• Fundamentos da operação segura, incluindo chamadas entre Secure Kernel e SPTM e tratamento de SVC

Capítulo 7: sistema Exclaves

• Principais componentes, como Exclaves, Exclavecore e ExclaveKit
• Gerenciamento de memória e recursos do Exclave, agrupamento por domínio, máquina de estados de conclaves (subáreas) e interação com o espaço de usuário
• Formas de comunicação, como criação e escalonamento de endpoints, portas Mach, IPC em estilo seL4, xnuproxy e Tightbeam, além de exemplos reais de uso (por exemplo, indicador de privacidade)

Capítulo 8: TXM (Trusted Execution Monitor)

• Forma de integração do TXM com o SPTM, estrutura operacional de dispatch, retyping e áreas protegidas
• Explicação das responsabilidades de segurança do TXM e de como ele trata chamadas

Capítulos 9~10: discussão geral e conclusão

• Implicações de segurança da introdução de SPTM e Exclaves, limitações atuais e direções futuras
• Encerramento do estudo e apêndice com materiais de referência e explicação de termos

Explicação dos principais termos

• XNU: kernel central dos sistemas operacionais da Apple, sigla para X is Not Unix
• SPTM: módulo central que concede domínios de confiança por meio de proteção e segmentação de memória
• TXM: supervisor de segurança responsável por tarefas sensíveis como verificação de assinatura de código
• Exclaves: ambiente seguro e confiável executado de forma isolada em áreas físicas e lógicas separadas
• Tightbeam IPC: framework que oferece comunicação segura entre Exclaves e o sistema
• GXF/GL: níveis de exceção de proteção no AArch64 e funcionalidade adicional de controle horizontal de zonas de confiança baseada em Guarded Level

Conclusão

A arquitetura de segurança do iOS moderno está evoluindo para maximizar a separação de confiança e a divisão de responsabilidades, com foco em SPTM, TXM e Exclaves. Esse sistema de proteção em camadas reduz de forma significativa o risco de comprometimento das camadas inferiores do kernel e fornece uma base técnica robusta para responder a futuras ameaças de segurança.