Os fabricantes de telefones celulares sempre bloqueiam o bootloader de seus dispositivos – ou seja, eles impedem que você obtenha acesso root ao seu dispositivo ou desinstale o sistema operacional padrão e instale outro. Existem maneiras de desbloquear o bootloader, mas você tem que se esforçar para fazer isso (a dificuldade varia de acordo com a marca, até ser impossível).
Enquanto isso, o bootloader de um PC sempre vem desbloqueado. Você pode inserir um pendrive em um dispositivo totalmente novo (sem necessidade de etapas extras) e instalar o que quiser. Eu não possuo dispositivos Mac, então posso estar errado, mas ouvi dizer que os bootloaders do Mac também não estão bloqueados; é por isso que o Asahi Linux é possível.
Faz todo o sentido para os fabricantes de PC (e Mac, se estou correto?) Bloquear o bootloader assim como os fabricantes de telefones fazem. Por que eles não fazem isso? Faz ainda menos sentido quando muitas marcas de PC também fabricam telefones, mas seus PCs vêm com o bootloader desbloqueado enquanto o telefone está bloqueado. Por que existe essa disparidade?
Eles realmente fazem.
Os próprios fabricantes de PC têm pouco interesse em ter o sistema bloqueado neste nível, pois não são eles que vendem o software para ele¹. São os fornecedores de software que desejam que seu software seja executado em todos os computadores - e a Microsoft incentiva os fornecedores de hardware a implementarem o UEFI Secure Boot se quiserem ser "certificados pelo Windows" e a implantá-lo no modo que aceita apenas assinaturas próprias da Microsoft por padrão.
(Na verdade, a Microsoft exige isso abertamente para computadores baseados em ARM e apenas permite com relutância a assinatura de terceiros para PCs x86, que, no entanto, são obrigados a ter a verificação de inicialização segura habilitada por padrão.)
Freqüentemente, a única razão pela qual você pode instalar "o que quiser, sem necessidade de etapas extras" é porque disse o que quer que seja uma distribuição importante, como Ubuntu ou Fedora, que passa pela assinatura UEFI de terceiros da Microsoft (para o pré-bootloader 'Shim') . Assim que você tentar inicializar, por exemplo, NetBSD ou FreeDOS, você poderá desabilitar manualmente o Secure Boot através das configurações do firmware.
A Apple não é significativamente diferente; todos os Macs recentes são bloqueados por padrão – não apenas para o macOS, mas para a versão mais recente do macOS que o firmware verifica online durante a instalação – e como diz o FAQ do Asahi Linux, “o instalador precisa colocar seu novo sistema operacional em “Segurança Permissiva” modo para inicializar um kernel de sistema operacional de terceiros" durante a instalação do Linux. Isso sem falar no bloqueio de ativação do iCloud que agora também existe em Macs...
Os fabricantes também. Embora, por exemplo, a ASUS não faça o sistema operacional real para um PC (ao contrário dos fabricantes de telefones que normalmente fornecem seu próprio sistema operacional desde o início), eles fornecem o firmware do sistema (o equivalente aproximado de um "bootloader" em um telefone, embora a terminologia seja seu próprio tópico aqui), e eles bloqueiam muito o firmware.
Por exemplo, em muitas novas plataformas de PC você não pode criar e instalar sua própria versão de firmware UEFI; deve ser um pacote assinado pelo fabricante da placa-mãe, e a CPU verificará isso com uma chave de assinatura inserida no próprio hardware. (Veja, por exemplo, "Boot Guard" da Intel.)
(Os telefones o chamam de 'bootloader' porque na verdade é um bootloader destinado a iniciar o sistema operacional e faz muito pouco mais. Nos PCs, o 'firmware' faz um pouco mais, ao mesmo tempo que deixa a inicialização do sistema operacional genérica; o bootloader real vem com o sistema operacional.)
Além disso, os PCs domésticos têm sido historicamente uma plataforma aberta e deliberadamente genérica desde os primeiros dias – tanto em termos de software como de hardware – o que leva a uma oposição muito forte a qualquer tentativa de fechá-la.
Enquanto isso, os smartphones surgiram em um mercado completamente diferente; eles começaram como aparelhos eletrônicos ( telefones ) que só eventualmente se transformaram em algo com uma CPU e ainda mais tarde um "firmware" e muito mais tarde um "SO". Na época em que o Android foi criado, ter o sistema bloqueado já era normal. (Na verdade, a ideia de o Android ser de código aberto e ter
fastboot oem unlockfacilitado a personalização de um telefone do que antes...)Existem razões legítimas para bloquear um sistema – para que o proprietário possa ter certeza de que alguém não o alterou – e isso faz muito mais sentido em dispositivos portáteis que podem ser deixados sem supervisão (embora os desktops também não estejam totalmente isentos). ), então acho que esse é um dos motivos pelos quais também há uma aceitação um pouco maior de tais recursos em telefones ou tablets como uma espécie de medida antirroubo.
(Em PCs, você também vê, por exemplo, o Windows BitLocker usar os recursos de bloqueio "opt-in" disponíveis, não tanto para impedir que outro sistema operacional seja inicializado imediatamente, mas mais especificamente para evitar que o referido sistema operacional consiga acessar dados criptografados.)
Ao utilizar dispositivos que precisam ser credenciados de acordo com padrões de segurança, devido à sensibilidade dos dados que estão sendo processados, existem documentos de orientação sobre como aplicar a segurança do dispositivo (também conhecido como bloqueio do dispositivo). Além da inicialização segura na outra resposta , talvez seja necessário considerar também a proteção TPM e DMA. Por exemplo, a Orientação de Segurança de Dispositivos NCSC do Reino Unido - A escolha de dispositivos inclui:
Como alguns bloqueios de dispositivos dependem do sistema operacional, por exemplo, para oferecer suporte à criptografia de dados em repouso, o Bitlocker é usado para Windows .vs. A criptografia de disco UKS/dm-crypt para Ubuntu pode entender por que o fabricante do PC fornece dispositivos desbloqueados.