Apples versteckte Systeme: Was sind embeddedOS, bridgeOS und sepOS?

Apple bietet für seine verschiedenen Elektronik-Produkte jeweils das passende Betriebssystem an – macOS für den Mac, iOS fürs iPhone, watchOS für die Apple Watch und so weiter. Allerdings gibt es auch Firmware und Systeme, die ebenfalls nach dem „…OS“-Schema benannt, aber viel weniger bekannt sind. Was es zum Beispiel mit den versteckten Systemen embeddedOS, bridgeOS und sepOS auf sich hat, das habe ich euch im Folgenden zusammengefasst. Neben den drei Beispielen gibt es noch weitere „Mikro-Betriebssysteme“ und Beispiele für Firmware. Nicht immer sind diese aber mit einem „OS“-Namen ausgestattet.

Hier findet ihr Informationen zu den auf Apples ARM-Chips laufenden Systemen embeddedOS, bridgeOS und sepOS. Diese dienen u. a. dazu, sensible Daten und Hardwarezugriffe separat von macOS, iOS und Co. zu verwalten, um das jeweilige Gerät sicherer zu machen.
Hier findet ihr Informationen zu den auf Apples ARM-Chips laufenden Systemen embeddedOS, bridgeOS und sepOS. Diese dienen u. a. dazu, sensible Daten und Hardwarezugriffe separat von macOS, iOS und Co. zu verwalten, um das jeweilige Gerät sicherer zu machen.

Systeme für T1- und T2-Chips: embeddedOS und bridgeOS

Noch bevor Apple für seine Computer von Intel-CPUs zu eigenen Chip-Kombinationen übergegangen ist, wurden schon selbst entwickelte ARM-Chips verbaut. Dazu gehörten u. a. die Prozessoren der T-Reihe, also der T1 und der T2. Diese sollen dem SoC der Apple Watch (S1 und S2) entsprungen sein und sich neben der Touch Bar im MacBook Pro auch um verschiedene Sicherheitsmechanismen kümmern – etwa um die Touch ID, die Kamera- und die Mikrofonnutzung. Zudem wird die Nutzung der Secure Enclave mit ihren verschlüsselten Daten über die T-Chips abgewickelt.

Um das Ganze zu realisieren, kommen embeddedOS und bridgeOS zum Einsatz. Während embeddedOS als Betriebssystem für eingebettete Systeme vor allem im Zusammenhang mit dem T1 genannt wird, so findet man bridgeOS vor allem im Zusammenhang mit dem T2. Je nach Quelle gibt es da eine unterschiedliche Gewichtung, was eine genaue Zuordnung nicht so leicht macht. Jedenfalls sorgen die unabhängig von macOS laufenden Betriebssysteme dafür, dass biometrische Daten für Touch ID sowie der Zugriff auf Mikrofon und Kamera extern verwaltet und damit schwerer zu hacken sind.

Seit dem „Apple Silicon“, also den M-Chips, die seit 2020 in neuen Mac-Modellen zum Einsatz kommen, werden keine einzelnen T-Chips mehr verwendet. Die entsprechende Technik inkl. der Secure Enclave ist seither am Mac in Apples eigenem ARM-Chip der M-Serie integriert. Dieser läuft dabei ebenfalls nicht nur mit macOS, sondern hat für unterschiedliche Komponenten eigene Betriebssysteme bzw. Firmware parat. So können diese einzelnen Bereiche sicherer und effizienter arbeiten. Sie dienen als Türsteher für Boot- und Anmeldeprozesse, machen die Datenverwaltung sicherer und die gesamte Mac-Nutzung (theoretisch) effizienter.

Laut der Firmware-Übersicht von AppleDB scheint embeddedOS nach der Version 3.0 in bridgeOS 2.0 aufgegangen zu sein. Dabei wird der letzte Release von embeddedOS mit dem T1-Chip in Verbindung gebracht, während der erste Release-Eintrag von bridgeOS mit dem T2-Chip einher ging. Die aktuellen Versionen sind bridgeOS 8.3 (am 22. Januar 2024 veröffentlicht) und die bridgeOS 8.4 beta (am 29. Januar 2024 veröffentlicht). Stand der Informationen: 1. Februar 2024.

Spezielles System für die Secure Enclave: sepOS

Das sepOS, welches ein Kürzel für „Secure Enclave Processor Operating System“ ist, läuft in eben jenem Bereich der ARM-Chips von Apple. So kommt das sepOS neben T1 und T2 auch auf modernen Apple-Silicon-Macs zum Einsatz, um etwa biometrische Daten für die Touch ID am MacBook Pro von Hacking-Angriffen fernzuhalten.

Das Gleiche gilt für die Secure Enclave und ihr sepOS in den SoC-Modellen von iPhone und iPad (A- und M-Chips). Dort werden die Daten für Touch ID und Face ID ebenfalls separat gehandhabt. Sie müssen von iOS und iPadOS bei sepOS angefragt werden.

Zudem gibt es die Secure Enclave in der Apple Watch, im Apple TV und im HomePod (mini). Hier die komplette Übersicht der Apple-Geräte mit Secure Enclave:

  • iPhone 5s oder neuer
  • iPad Air oder neuer
  • MacBook Pro-Computer mit Touch Bar (2016 und 2017) und Apple T1-Chip
  • Intel-basierte Mac-Computer mit Apple T2 Security Chip
  • Mac-Computer mit Apple Chips
  • Apple TV HD (oder neuer)
  • Apple Watch Series 1 oder neuer
  • HomePod und HomePod mini

Wenn ihr euch für die Sicherheitsmechanismen der Apple Secure Enclave interessiert und diese in ihren technischen Einzelheiten verstehen wollt, dann empfehle ich euch das Handbuch „Sicherheit der Apple-Plattformen“. Der Link führt euch zur Web-Version des Handbuchs, das ihr vollständig und werbefrei über Apple.com lesen könnt.

Zusätzlich zu den hier nur laienhaft wiedergegebenen Infos geht es dort u. a. um die Verwaltung des Secure Enclave SoC inkl. Austausch mit NAND-Flash-Speicher und dem DRAM über die Speicherschutz-Engine. Zudem wird auf den abgesicherten Boot-Prozess von sepOS eingegangen, die im Betrieb verwendete Kryptografie erklärt, die Secure Neural Engine beschrieben und die Unterschiede verschiedener Secure-Enclave-Generationen aufgezeigt.

Hier noch ein Video von der „Black Hat“-Konferenz von 2016, in dem es um das potenzielle Hacking des damals neuen sepOS geht:

Hat dir der Artikel gefallen und helfen dir die Anleitungen im Blog? Dann würde ich mich freuen, wenn du das Blog über eine Steady-Mitgliedschaft unterstützen würdest.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Im Sir Apfelot Blog findest du Ratgeber, Anleitungen und Testberichte zu Apple Produkten wie iPhone, iPad, Apple Watch, AirPods, iMac, Mac Pro, Mac Mini und Mac Studio.

Specials