手機功能越來越強大,也就存放更多用戶的敏感資訊,為了要抵禦手機內部攻擊(Insider attack),Google在自家手機Pixel 2實現全資料加密技術,並且使用安全硬體加以保護,Google表示,只要駭客沒有裝置的鎖定密碼,就不可能更動韌體破解裝置,除非抹除裝置資料。

Google為Pixel裝置中所有的資料加密,並且還用安全硬體來保護加密金鑰。當使用者輸入正確的密碼,裝置才會解鎖資料,安全硬體的高安全性韌體負責檢查使用者密碼,而且為了預防暴力破解法,該韌體還會限制密碼輸入的速度,提高攻擊難度。

為了防止惡意軟體替換掉安全硬體的韌體,還使用了數位簽章加以保護。Google表示,有兩個方法可以破解數位簽章,進而換掉硬體的韌體,第一是,駭客發現了數位簽章檢查程式的漏洞並加以破解,另一個便是,獲得數位簽章的存取權限,藉以讓惡意軟體成為合法應用程式。但Google提到,這個數位簽章檢查軟體很小而且孤立,通過縝密的檢驗,要破解可不是件容易的事。

不過,數位簽章金鑰的存在以及取用又是另一個問題,過去的安全設計概念是將這些金鑰存放在一個安全的位置,並且限制有權存取的人數,以保護這些金鑰。雖然這樣的方式有其優點,但Google認為,在企業中,這種方式反而把壓力加諸在這些人身上,讓他們直接面對攻擊以及遭受社交工程攻擊,不只對員工是危險的,對用戶資料也存在極大的風險。

為了解決這個問題,Google在Pixel上使用防竄改模組技術,保護金鑰抵禦內部攻擊,而這將防止駭客在沒有取得用戶的幫助,就無法將惡意程式寫入到被竊或是遺失的裝置中,也就是說,除非在裝置上輸入正確的密碼,否則不可能進行韌體更新。Google表示,想要在被鎖住的Pixel上更新韌體,唯一的方法就是抹除裝置中的資料,而這種情形發生於用戶將裝置進行更新轉售時。

Android安全團隊認為,內部攻擊防禦是保護用戶資料重要的策略,Google在自家裝置Pixel 2上示範了這項技術,並且建議所有Android裝置製造商都採去同樣的方法,保護用戶資料。


Advertisement

更多 iThome相關內容