手机功能越来越强大,也就存放更多用户的敏感信息,为了要抵御手机内部攻击(Insider attack),Google在自家手机Pixel 2实现尽数据加密技术,并且使用安全硬件加以保护,Google表示,只要黑客没有设备的锁定密码,就不可能更动固件破解设备,除非抹除设备数据。
Google为Pixel设备中所有的数据加密,并且还用安全硬件来保护加密密钥。当用户输入正确的密码,设备才会解锁数据,安全硬件的高安全性固件负责检查用户密码,而且为了预防暴力破解法,该固件还会限制密码输入的速度,提高攻击难度。
为了防止恶意软件替换掉安全硬件的固件,还使用了数字签章加以保护。 Google表示,有两个方法可以破解数字签章,进而换掉硬件的固件,第一是,黑客发现了数字签章检查程序的漏洞并加以破解,另一个便是,获得数字签章的访问权限,借以让恶意软件成为合法应用程序。但Google提到,这个数字签章检查软件很小而且孤立,通过缜密的检验,要破解可不是件容易的事。
不过,数字签章密钥的存在以及取用又是另一个问题,过去的安全设计概念是将这些密钥存放在一个安全的位置,并且限制有权访问的人数,以保护这些密钥。虽然这样的方式有其优点,但Google认为,在企业中,这种方式反而把压力加诸在这些人身上,让他们直接面对攻击以及遭受社交工程攻击,不只对员工是危险的,对用户数据也存在极大的风险。
为了解决这个问题,Google在Pixel上使用防篡改模块技术,保护密钥抵御内部攻击,而这将防止黑客在没有取得用户的帮助,就无法将恶意程序写入到被窃或是遗失的设备中,也就是说,除非在设备上输入正确的密码,否则不可能进行固件更新。 Google表示,想要在被锁住的Pixel上更新固件,唯一的方法就是抹除设备中的数据,而这种情形发生于用户将设备进行更新转售时。
Android安全团队认为,内部攻击防御是保护用户数据重要的策略,Google在自家设备Pixel 2上示范了这项技术,并且建议所有Android设备制造商都采去同样的方法,保护用户数据。
閱讀更多 十輪網 的文章
