Die Palette an Gerätekategorien, welche Apple anbietet, ist groß und divers: Von Macs mit vielen Ein- und Ausgängen über iPhones und iPads mit Touchscreen und multiplen drahtlosen Verbindungen, sensorenbewehrten Apple Watches und Vision-Pro-Headsets bis zu Wiedergabegeräten wie Apple TVs und HomePods. Sie alle nutzen dasselbe Basis-Betriebssystem, auch Kernel genannt. Um diesen Kernel so sicher wie möglich zu gestalten, baut Apple seit mehreren Jahren dessen Architektur um. Ein Blog-Beitrag geht dieser Neustrukturierung nach und überlegt, was Apple mit den jüngst integrierten „Sicheren Exklaven“ bezweckt.


Dafür stellt der anonyme Autor mit dem Pseudonym „Random Augustine“ zunächst zwei Konzepte einer Kernel-Architektur gegenüber: Monolithische Kernel haben Vollzugriff auf den gesamten Bestand an Hardware und Daten. Microkernel hingegen begrenzen ihren Zugriff auf Ressourcen und lagern die meiste Arbeit auf Prozesse mit geringeren Zugriffsrechten aus. Der Microkernel-Ansatz bietet strukturelle Sicherheitsvorteile, zeigt sich im Alltag allerdings als langsamer. Weitgehend alle Betriebssysteme setzen auf monolithische Kernel. Apples geräteübergreifender Kernel namens XNU setzt im Kern auf einen Microkernel namens Mach; in seiner Gänze funktioniert XNU allerdings wie ein monolithischer Kernel. Das macht ihn anfällig für Sicherheitslücken.

Entwicklung seit 2013
Um die Gefahr zu verkleinern, welche von Programmierfehlern im monolithischen Kernel ausgehen, hat Apple über die letzten zwölf Jahre schrittweise einzelne Komponenten abgespalten. Den Anfang machte die „Secure Enclave“. Sie wurde zunächst im iPhone eingeführt, um biometrische Daten (Touch ID) lokal sicher abzulegen und zu verifizieren. Auf diesem dedizierten Prozessorkern kommt ein eigener Microkernel namens sepOS zur Anwendung. Im Jahr 2017 und dem A11-Chip kam Page Protection Layer (PPL) hinzu, zu welchem sich ab 2021 ein „Secure Page Table Monitor“ (SPTM) gesellte. Im vergangenen Jahr tauchten erstmals Referenzen im XNU-Kernel auf, welche „Secure Exclaves“ benannten. Sie setzen, so die Analyse, modernste Apple-Silicon-Chips voraus, etwa iPhone 16 oder Geräte mit M4-Chips.

Undokumentierte Sicherheitsfunktionen
„Secure Exclaves“ separieren einzelne Aufgaben, welche bisher vom monolithischen XNU-Kernel übernommen wurden. Welche das sind, bleibt weitgehend im Dunklen – Apple offeriert keine Dokumentation zu den Änderungen an der Kernel-Sicherheitsarchitektur. Der Autor geht davon aus, dass bei der Anzeige von Kamera- und-Mikrofonaktivität sowie einigen Gerätetreibern sichere Exklaven zur Anwendung kommen. Er vermutet, dass diese zudem beim Aufruf von cloudbasierten KI-Funktionen via Private Cloud Compute eine wichtige Rolle spielen. Er gesteht allerdings ein, dass er derzeit nur spekulieren kann, und benennt eine lange Liste offener Fragen.

Einblicke von Asahi Linux
In einem zweiten Blog-Beitrag diskutiert Random Augustine weitere Informationen, welche aus der Linux-Entwicklung für Apple Silicon stammten. Außerdem erhielt er offenbar Feedback von Howard Oakley. Auf Basis dieser Informationen entstand eine Grafik, welche die Struktur der separaten Zonen innerhalb der Apple-Systemarchitektur gemäß seiner aktuellen Kenntnis aufzeigt.