據(jù)約翰 - 霍普金斯大學(xué)的密碼學(xué)家稱,iOS 并沒(méi)有盡可能多地利用內(nèi)置的加密措施,從而出現(xiàn)了潛在的不必要的安全漏洞。
利用蘋果和谷歌的公開文檔、關(guān)于繞過(guò)移動(dòng)安全功能的執(zhí)法報(bào)告以及他們自己的分析,密碼學(xué)家們?cè)u(píng)估了 iOS 和 Android 加密的穩(wěn)健性。研究發(fā)現(xiàn),雖然 iOS 上的加密基礎(chǔ)設(shè)施 “聽起來(lái)真的很好”,但它基本上沒(méi)有被使用。
“尤其是在 iOS 上,這種分層加密的基礎(chǔ)設(shè)施已經(jīng)到位,聽起來(lái)真的很不錯(cuò),”iOS 首席研究員 Maximilian Zinkus 說(shuō),“但我當(dāng)時(shí)看到它有多少未被使用,絕對(duì)感到驚訝。”
當(dāng) iPhone 啟動(dòng)時(shí),所有存儲(chǔ)的數(shù)據(jù)都處于 “完全保護(hù)”狀態(tài),用戶必須在解密任何東西之前解鎖設(shè)備。雖然這樣做非常安全,但研究人員強(qiáng)調(diào),一旦設(shè)備在重啟后首次解鎖,大量數(shù)據(jù)就會(huì)進(jìn)入蘋果所謂的 “在首次用戶認(rèn)證前受保護(hù)”的狀態(tài)。
由于設(shè)備很少重啟,所以大部分?jǐn)?shù)據(jù)在大部分時(shí)間都處于 “保護(hù)到第一次用戶認(rèn)證”的狀態(tài),而不是 “完全保護(hù)”。這種不太安全的狀態(tài)的好處是,解密密鑰存儲(chǔ)在快速訪問(wèn)內(nèi)存中,可以被應(yīng)用程序迅速訪問(wèn)。
理論上,攻擊者可以找到并利用 iOS 系統(tǒng)中的某些類型的安全漏洞來(lái)獲取快速訪問(wèn)內(nèi)存中的加密密鑰,使其能夠解密設(shè)備中的大量數(shù)據(jù)。相信這也是許多智能手機(jī)訪問(wèn)工具的工作原理,比如取證訪問(wèn)公司 Grayshift 的工具。
雖然攻擊者確實(shí)需要特定的操作系統(tǒng)漏洞才能獲取密鑰,而且蘋果和谷歌在發(fā)現(xiàn)這些漏洞時(shí)都會(huì)打上許多補(bǔ)丁,但通過(guò)將加密密鑰隱藏得更深,這是可以避免的。
“這真的讓我很震驚,因?yàn)槲疫M(jìn)入這個(gè)項(xiàng)目時(shí)認(rèn)為這些手機(jī)真的很好地保護(hù)了用戶數(shù)據(jù),”約翰 - 霍普金斯大學(xué)的密碼學(xué)家馬修 - 格林說(shuō),“現(xiàn)在我從這個(gè)項(xiàng)目中走出來(lái),認(rèn)為幾乎沒(méi)有任何東西得到保護(hù),因?yàn)樗梢浴D敲矗热贿@些手機(jī)實(shí)際提供的保護(hù)如此糟糕,我們?yōu)槭裁葱枰粋€(gè)執(zhí)法后門呢?”
研究人員還直接與蘋果公司分享了他們的發(fā)現(xiàn)和一些技術(shù)建議。蘋果公司的發(fā)言人對(duì)此進(jìn)行了公開聲明。
“蘋果設(shè)備設(shè)計(jì)有多層安全防護(hù)措施,以抵御各種潛在的威脅,我們不斷努力為用戶的數(shù)據(jù)增加新的保護(hù)措施。隨著客戶在設(shè)備上存儲(chǔ)的敏感信息量不斷增加,我們將繼續(xù)在硬件和軟件上開發(fā)更多的保護(hù)措施來(lái)保護(hù)他們的數(shù)據(jù)。”
IT之家了解到,該發(fā)言人還向 Wired 表示,蘋果的安全工作主要集中在保護(hù)用戶免受黑客、小偷和想竊取個(gè)人信息的犯罪分子的攻擊。他們還指出,研究人員強(qiáng)調(diào)的攻擊類型的開發(fā)成本非常高,需要對(duì)目標(biāo)設(shè)備進(jìn)行物理訪問(wèn),并且只有在蘋果發(fā)布補(bǔ)丁之前才能發(fā)揮作用。蘋果還強(qiáng)調(diào),其對(duì) iOS 的目標(biāo)是平衡安全性和便利性。
責(zé)任編輯:PSY
-
密碼
+關(guān)注
關(guān)注
8文章
191瀏覽量
30553 -
加密
+關(guān)注
關(guān)注
0文章
305瀏覽量
24006 -
iOS
+關(guān)注
關(guān)注
8文章
3399瀏覽量
150982
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
數(shù)據(jù)庫(kù)加密辦法
對(duì)稱加密技術(shù)在實(shí)際應(yīng)用中如何保障數(shù)據(jù)安全?
Linux系統(tǒng)設(shè)置用戶密碼規(guī)則(復(fù)雜密碼策略)方法
RK3568國(guó)產(chǎn)處理器_教學(xué)實(shí)驗(yàn)箱_操作教程:1-22 密碼學(xué)編程實(shí)驗(yàn)
艾體寶洞察 一文讀懂最新密碼存儲(chǔ)方法,揭秘密碼存儲(chǔ)常見(jiàn)誤區(qū)!
![艾體寶洞察 一文讀懂最新<b class='flag-5'>密碼</b>存儲(chǔ)方法,揭秘<b class='flag-5'>密碼</b>存儲(chǔ)常見(jiàn)誤區(qū)!](https://file1.elecfans.com/web2/M00/07/69/wKgaomblWNSAa15BAALBBqF08Ic970.png)
擁有SHA-256核心和32Kbits的EEPROM應(yīng)用的加密芯片-GEN-FA
![擁有SHA-256核心和32Kbits的EEPROM應(yīng)用的<b class='flag-5'>加密</b>芯片-GEN-FA](https://file1.elecfans.com/web2/M00/C7/81/wKgZomYUnB-ACb6xAAEjC7771n8954.png)
SSID和密碼是否以加密形式存儲(chǔ)在ESP8266中?
請(qǐng)問(wèn)ESP32使用AT固件如何讓配對(duì)密碼大于6位?
航天宏圖自主研發(fā)國(guó)產(chǎn)密碼網(wǎng)安防護(hù)成套技術(shù)(PIE-SM J&K)
![航天宏圖自主研發(fā)國(guó)產(chǎn)<b class='flag-5'>密碼</b>網(wǎng)安防護(hù)成套技術(shù)(PIE-SM J&K)](https://file1.elecfans.com/web2/M00/EA/80/wKgaomZUVeiAbK8SAAASlGZf_vg495.jpg)
MySQL忘記root密碼解決方案
AES加密協(xié)議是什么?AES加密協(xié)議的應(yīng)用
什么是TLS加密?TLS加密的功能特點(diǎn)
恩智浦:向后量子密碼學(xué)遷移,我們應(yīng)該怎么做?
![恩智浦:向后量子<b class='flag-5'>密碼學(xué)</b>遷移,我們應(yīng)該怎么做?](https://file1.elecfans.com/web2/M00/C6/46/wKgaomX84qiAF5tzAABYAkC2X1o372.png)
指紋加密移動(dòng)硬盤詳細(xì)方案解析
![指紋<b class='flag-5'>加密</b>移動(dòng)硬盤詳細(xì)方案解析](https://file1.elecfans.com/web2/M00/C4/CC/wKgZomX364iAEfnBAAouqkmok3A366.png)
評(píng)論