06.01 Android設備安全再進化,Google鼓勵製造商加密全手機數據

手機功能越來越強大,也就存放更多用戶的敏感信息,為了要抵禦手機內部攻擊(Insider attack),Google在自家手機Pixel 2實現盡數據加密技術,並且使用安全硬件加以保護,Google表示,只要黑客沒有設備的鎖定密碼,就不可能更動固件破解設備,除非抹除設備數據。

Android設備安全再進化,Google鼓勵製造商加密全手機數據

Google為Pixel設備中所有的數據加密,並且還用安全硬件來保護加密密鑰。當用戶輸入正確的密碼,設備才會解鎖數據,安全硬件的高安全性固件負責檢查用戶密碼,而且為了預防暴力破解法,該固件還會限制密碼輸入的速度,提高攻擊難度。

為了防止惡意軟件替換掉安全硬件的固件,還使用了數字簽章加以保護。 Google表示,有兩個方法可以破解數字簽章,進而換掉硬件的固件,第一是,黑客發現了數字簽章檢查程序的漏洞並加以破解,另一個便是,獲得數字簽章的訪問權限,藉以讓惡意軟件成為合法應用程序。但Google提到,這個數字簽章檢查軟件很小而且孤立,通過縝密的檢驗,要破解可不是件容易的事。

不過,數字簽章密鑰的存在以及取用又是另一個問題,過去的安全設計概念是將這些密鑰存放在一個安全的位置,並且限制有權訪問的人數,以保護這些密鑰。雖然這樣的方式有其優點,但Google認為,在企業中,這種方式反而把壓力加諸在這些人身上,讓他們直接面對攻擊以及遭受社交工程攻擊,不只對員工是危險的,對用戶數據也存在極大的風險。

Android設備安全再進化,Google鼓勵製造商加密全手機數據

為了解決這個問題,Google在Pixel上使用防篡改模塊技術,保護密鑰抵禦內部攻擊,而這將防止黑客在沒有取得用戶的幫助,就無法將惡意程序寫入到被竊或是遺失的設備中,也就是說,除非在設備上輸入正確的密碼,否則不可能進行固件更新。 Google表示,想要在被鎖住的Pixel上更新固件,唯一的方法就是抹除設備中的數據,而這種情形發生於用戶將設備進行更新轉售時。

Android安全團隊認為,內部攻擊防禦是保護用戶數據重要的策略,Google在自家設備Pixel 2上示範了這項技術,並且建議所有Android設備製造商都採去同樣的方法,保護用戶數據。


分享到:


相關文章: