從Android Pie開始,其裝置中應用程式的資料,只能透過客戶端隨機產生的金鑰進行解密,而且該解密金鑰以使用者的螢幕鎖定密碼加密,就連Google本身都無法破解,以預防Google內部的惡意員工等這類攻擊模式的威脅,還委外資安公司NCC集團進行Google Cloud Key Vault安全評估。

Google現在要結合Android備份服務以及Google雲端Titan技術,來進一步保護使用者資料的安全性以及隱私性。這項新的安全性功能將從Android Pie裝置開始提供,Android Pie裝置上的應用程式資料備份,將只能由客戶端隨機產生的金鑰解密,而這個金鑰將以使用者的螢幕鎖定PIN、圖形模式或是密碼加密,而這些資訊是Google無法取得的。

這個由密碼保護的金鑰由資料中心裡的Titan安全晶片(Titan Security Chip)加密,而Titan安全晶片的配置僅允許用戶提供正確密碼時,才會釋出備份解密金鑰。由於每次的存取解密金鑰都需要Titan安全晶片的授權,當密碼嘗試錯誤太多次時,晶片將會永久阻擋存取,以減少暴力破解法攻擊,而且有限的錯誤嘗試次數由自定義的Titan韌體嚴格限制,因此除非抹除晶片上的內容,否則任何人在沒有客戶端螢幕解鎖密碼的情況下,都無法存取用戶的應用程式資料。

而且為了強化這項技術的安全度,Google聘請了NCC集團進行安全審計,審查內容包括Google安全設計程序、程式碼品質驗證,還有為已知的攻擊向量採取的緩解措施。NCC集團在報告中提到,Android備份和恢復功能,僅是Google Cloud Key Vault金鑰保護機制的其中一種使用案例,因此他們主要是對Google Cloud Key Vault整體的元件系統和服務進行安全性分析。

這項技術可以抵禦來自Google外部與內部的攻擊者。外部攻擊者可能是Google的代理商,特別是與Google Cloud Key Vault服務技術基礎設施直接相關的業者,而Google Cloud Key Vault威脅模型中,主要假設的攻擊者是Google流氓員工或其他惡意內部人員,防止他們未經使用者授權,解密特定用戶的恢復金鑰。但是Google Cloud Key Vault無法抵禦惡意Android軟體更新和拒絕服務這類型的內部攻擊。

NCC集團共發現Google Cloud Key Vault韌體中兩個關鍵問題,第一個是允許從晶片內部儲存器任意的讀取任意記憶體,而這將可能讓攻擊者破壞安全金鑰並復原使用者資料。第二個問題則是允許攻擊者繞過暴力破解預防機制,嘗試無限制的LSKF猜測。這兩項漏洞都在NCC集團評估階段時,由Google工程師修補完成。


Advertisement

更多 iThome相關內容