Вашият смартфон има специален защитен чип. Ето как работи
Новите телефони на Google Pixel 3 имат чип за сигурност "Titan M". Apple има нещо подобно с “Secure Enclave” на iPhone. Samsung Galaxy телефони и други телефони с Android често използват технологията на Trust за ARM. Ето как те защитават телефона ви.
Основите
Тези чипове са по същество отделни малки компютри във вашия телефон. Те имат различни процесори и памет и управляват свои собствени малки операционни системи.
Редовната операционна система на телефона и приложенията, които се изпълняват от нея, не могат да се виждат в защитената зона. Това предпазва защитената зона от подправяне и позволява на защитената зона да прави различни полезни неща.
Това е отделен процесор
Secure Enclave е част от хардуера на A-серията на Apple.Всички тези чипове работят по малко по-различен начин. В новите телефони на Google Pixel, Titan M е истински физически чип, който е отделен от нормалния процесор на телефона.
Благодарение на Secure Enclave на Apple и TrustZone на ARM, Secure Enclave или TrustZone не са технически чип. Вместо това, това е отделен, изолиран процесор, вграден в основната система на устройството. Докато е вграден, той все още има отделен процесор и област на паметта. Мислете за него като за чип в основния чип.
Така или иначе - независимо дали е Titan M, Secure Enclave или TrustZone - чипът е отделен „копроцесор“. Той има своя специална област на паметта и работи със собствена операционна система. Тя е напълно изолирана от всичко останало.
С други думи, дори ако цялата ви операционна система Android или iOS е компрометирана от злонамерен софтуер и че зловредният софтуер има достъп до всичко, той няма да има достъп до съдържанието на защитената зона.
Как защитава телефона ви
Apple Secure Enclave държи ключовете за биометричните данни на Face ID.Данните на телефона ви се съхраняват криптирани на диск. Ключът, който отключва данните, се съхранява в защитената зона. Когато отключите телефона си с ПИН, парола, Идентификатор на лицето или ИД на докосване, процесорът в защитената зона ви удостоверява и използва ключа ви за дешифриране на данните в паметта.
Този ключ за криптиране никога не напуска защитената зона на чипа за сигурност. Ако атакуващият се опитва да влезе в системата чрез познаване на няколко ПИН кода или пароли, защитеният чип може да ги забави и да наложи забавяне между опитите. Дори ако това лице е компрометирало основната операционна система на вашето устройство, защитеният чип ще ограничи опитите им за достъп до ключовете ви за защита.
На iPhone или iPad, Secure Enclave съхранява ключове за шифроване, които предпазват лицето ви (за идентификация на лицето) или информация за пръстови отпечатъци (за Touch ID). Дори някой, който е откраднал телефона ви и по някакъв начин е компрометирал основната операционна система на iOS, няма да може да вижда информация за вашия пръстов отпечатък.
Чипът на Google Titan M също може да защити чувствителните транзакции в приложенията на Android. Приложенията могат да използват новия “StrongBox KeyStore API” на Android 9, за да генерират и съхраняват свои собствени частни ключове в Titan M. Google Pay ще изпробва това скоро. Тя може да се използва и за други видове чувствителни сделки, от гласуване до изпращане на пари.
iPhones работят по същия начин. Apple Pay използва Secure Enclave, така че детайлите на вашата платежна карта се съхраняват и предават сигурно. Apple също така позволява на приложенията във вашия телефон да съхраняват ключовете си в Secure Enclave за допълнителна сигурност. Secure Enclave гарантира, че собственият му софтуер е подписан от Apple преди зареждане, така че не може да бъде заменен с модифициран софтуер.
TrustZone на ARM работи много подобно на Secure Enclave. Той използва защитена зона на главния процесор, за да стартира критичен софтуер. Тук могат да се съхраняват ключовете за защита. Софтуерът за сигурност KNOX на Samsung работи в зоната на ARM TrustZone, така че е изолиран от останалата част от системата. Samsung Pay използва и ARM TrustZone, за да управлява сигурността на информацията за платежните карти.
На нов Pixel телефон, чипът Titan M също осигурява буутлоудъра. Когато стартирате телефона си, Titan M гарантира, че използвате „последната сигурна версия на Android“. Всеки, който има достъп до вашия телефон, не може да ви понижи до по-стара версия на Android с известни дупки в сигурността. А фърмуерът на Titan M не може да бъде актуализиран, освен ако не въведете паролата си, така че атакуващият не може дори да създаде злонамерена подмяна за фърмуера на Titan M..
Защо телефонът ви се нуждае от сигурен процесор
Samsung Pay използва ARM TrustZone и Samsung KNOX.Без сигурен процесор и изолирана памет, вашето устройство е много по-отворено за атака. Сигурният чип изолира критични данни като ключовете за криптиране и информацията за плащане. Дори ако устройството ви е компрометирано, зловредният софтуер няма достъп до тази информация.
Защитената зона също дава достъп до вашето устройство. Дори ако някой има вашето устройство и замени операционната си система с компрометиран, защитеният чип няма да им позволи да отгатне един милион ПИН-кода или паролите за секунда. Това ще ги забави и ще ги заключи от вашето устройство.
Когато използвате мобилен портфейл като Apple Pay, Samsung Pay или Google Pay, данните ви за плащане могат да се съхраняват сигурно, за да се гарантира, че няма злонамерен софтуер, работещ на устройството ви,.
Google също прави някои интересни нови неща с чипа Titan M, като например удостоверяване на вашия буутлоудър и гарантиране, че нападателят не може да понижи версията на вашата операционна система или да замени фърмуера на Titan M.
Дори атаката в стил Spectre, която позволява на приложението да чете памет, която не принадлежи на него, няма да може да пропука тези чипове, тъй като чиповете използват памет, която е напълно отделена от основната системна памет..
Той предпазва телефона ви на фона
Няма потребител на смартфон наистина ли трябва да знае за този хардуер, въпреки че трябва да се чувствате по-сигурни, когато съхранявате конфиденциални данни като кредитни карти и данни за онлайн банкиране на телефона си..
Това е просто страхотна технология, която работи безшумно, за да защити телефона и данните ви, като ви запази по-сигурна. Много умни хора полагат много усилия в осигуряването на модерни смартфони и ги предпазват от всякакви възможни атаки. И много работа отива да се направи тази сигурност толкова лесно, че никога дори няма да се наложи да мислите за това.
Кредити за изображения: Google, Poravute Siriphiroon / Shutterstock.com, Адриан / Shutterstock.com, Samsung