Σε μια ανάρτηση ιστολογίου, η Google εξήγησε πώς η μονάδα ασφαλείας υλικού του Pixel 2 που είναι ανθεκτική σε παραβιάσεις παρέχει "ασφάλεια εταιρικού επιπέδου". Διαβάστε παρακάτω για να μάθετε περισσότερα!
Με κάθε νέα έκδοση του Android, η Google έχει αυξήσει την εστίασή της στην ασφάλεια. Προστέθηκε Android 5.1 Lollipop Προστασία επαναφοράς εργοστασιακών ρυθμίσεων ως αντικλεπτικό μέτρο. Στη συνέχεια, η εταιρεία κατέστησε υποχρεωτική την κρυπτογράφηση για συσκευές υψηλής απόδοσης από το Android 6.0 Marshmallow. Στο Nougat, η Google έκανε τη μετάβαση στο Κρυπτογράφηση βάσει αρχείων. Τώρα, η Google παρουσίασε λεπτομερώς τη μονάδα ασφαλείας υλικού του Pixel 2 που είναι ανθεκτική σε παραβιάσεις, η οποία παρέχει "ασφάλεια επιπέδου επιχείρησης", σύμφωνα με την εταιρεία.
Η μονάδα ασφαλείας υλικού του Pixel 2 και του Pixel 2 XL είναι η πρώτη για μια συσκευή Android. Ενισχύει την οθόνη κλειδώματος έναντι επιθέσεων κακόβουλου λογισμικού και υλικού. Αυτό γίνεται για την καλύτερη προστασία των δεδομένων που είναι αποθηκευμένα στη συσκευή ενός χρήστη, τα οποία περιλαμβάνουν επαφές, email, φωτογραφίες, δεδομένα εφαρμογών κ.λπ. Η Google ελπίζει ότι το Pixel 2 είναι η πρώτη από τις πολλές συσκευές Android που διαθέτουν αποκλειστικές μονάδες ασφαλείας.
Γνωρίζουμε ότι η οθόνη κλειδώματος είναι η πρώτη γραμμή άμυνας όταν πρόκειται για την προστασία των δεδομένων ενός χρήστη από επιθέσεις, καθώς είναι το σημείο ευπάθειας για επιθέσεις ωμής βίας. Η Google δηλώνει ότι οι συσκευές που διατίθενται με Android 7.0+ επαληθεύουν ήδη τον κωδικό πρόσβασης της οθόνης κλειδώματος ενός χρήστη σε ένα ασφαλές περιβάλλον, όπως το Trusted Execution Environment (TEE).
Αυτό περιορίζει πόσο συχνά ένας κακόβουλος εισβολέας μπορεί επανειλημμένα να προσπαθήσει να το μαντέψει με ωμή βία. Το βασικό βήμα είναι όταν το ασφαλές περιβάλλον έχει επαληθεύσει με επιτυχία τον κωδικό πρόσβασης του χρήστη. Στη συνέχεια, και μόνο τότε αποκαλύπτει ένα μυστικό για τη συσκευή και τον χρήστη που χρησιμοποιείται για την εξαγωγή του κλειδιού κρυπτογράφησης δίσκου, σύμφωνα με την Google. Η εταιρεία δηλώνει ότι χωρίς το κλειδί κρυπτογράφησης δίσκου, τα δεδομένα ενός χρήστη δεν μπορούν να αποκρυπτογραφηθούν.
Σύμφωνα με την Google, ο στόχος αυτών των προστασιών είναι να εμποδίσουν τους εισβολείς να αποκρυπτογραφήσουν δεδομένα χρήστη χωρίς να γνωρίζουν τον κωδικό πρόσβασης του χρήστη. Η εταιρεία παραδέχεται ότι οι προστασίες είναι τόσο ισχυρές όσο το ασφαλές περιβάλλον που το επαληθεύει κωδικός πρόσβασης - ένας αδύναμος σύνδεσμος μπορεί να θέσει σε κίνδυνο ένα ολόκληρο σύστημα ασφαλείας, ακόμη κι αν υπάρχει κάθε άλλο στοιχείο ασφαλής.
Εδώ μπαίνει μια μονάδα ασφαλείας υλικού. Η Google λέει ότι οι εισβολείς θα αντιμετωπίσουν μεγαλύτερη δυσκολία να επιτεθούν στη συσκευή όταν αυτή εκτελεί "κρίσιμες για την ασφάλεια λειτουργίες σε υλικό ανθεκτικό σε παραβιάσεις".
Τι σημαίνει στην πραγματικότητα μια μονάδα ασφαλείας υλικού ανθεκτική σε παραβιάσεις; Στο Pixel 2, η μονάδα ασφαλείας με προστασία από παραβιάσεις έχει τη μορφή ενός διακριτού τσιπ, το οποίο είναι ξεχωριστό από το κύριο SoC (το Qualcomm Snapdragon 835 στη θήκη του Pixel 2). Σύμφωνα με την Google, η μονάδα ασφαλείας περιλαμβάνει το δικό της φλας, μνήμη RAM, μονάδα επεξεργασίας και άλλους πόρους μέσα σε ένα μόνο πακέτο. Ως εκ τούτου, μπορεί να ελέγξει τη δική του εκτέλεση. Αυτό το βοηθά επίσης να αποκρούει τις εξωτερικές προσπάθειες να το παραβιάσει.
Η Google αναφέρει περαιτέρω: "Η συσκευασία είναι ανθεκτική στη φυσική διείσδυση και έχει σχεδιαστεί για να αντιστέκεται σε πολλές επιθέσεις πλευρικών καναλιών, συμπεριλαμβανομένης της ανάλυσης ισχύος, της ανάλυσης χρονισμού και της ηλεκτρομαγνητικής ρουφηξίας. Το υλικό είναι επίσης ανθεκτικό σε πολλές τεχνικές έγχυσης φυσικών σφαλμάτων, συμπεριλαμβανομένων των προσπαθειών λειτουργεί εκτός κανονικών συνθηκών λειτουργίας, όπως λανθασμένη τάση, λάθος ταχύτητα ρολογιού ή λάθος θερμοκρασία.Ως εκ τούτου, ο ισχυρισμός που δεν παραβιάζεται φαίνεται να ισχύει λόγω των παραπάνω γεγονότων.
Η μονάδα ασφαλείας υλικού του Pixel 2 που είναι ανθεκτική σε παραβιάσεις βοηθά επίσης στην προστασία της συσκευής από επιθέσεις μόνο λογισμικού. Σύμφωνα με την Google, έχει εξαιρετικά μικρή επιφάνεια επίθεσης. Αυτό συμβαίνει επειδή εκτελεί πολύ λίγες λειτουργίες, καθώς είναι αποκλειστικό υλικό που χρησιμοποιείται μόνο για συγκεκριμένους σκοπούς αντί για υλικό γενικής χρήσης.
Το βασικό βήμα στη διαδικασία είναι ότι η επαλήθευση κωδικού πρόσβασης πραγματοποιείται στη μονάδα ασφαλείας. Η Google δηλώνει ότι ακόμη και σε περίπτωση πλήρους συμβιβασμού αλλού, ο εισβολέας δεν μπορεί να αντλήσει το δίσκο ενός χρήστη κλειδί κρυπτογράφησης χωρίς να διακυβεύεται πρώτα η μονάδα ασφαλείας - δείχνει ένα από τα σημαντικότερα πλεονεκτήματα της ασφάλειας υλικού ενότητες.
Η Google καταλήγει δηλώνοντας ότι η μονάδα ασφαλείας έχει σχεδιαστεί με τέτοιο τρόπο ώστε κανείς - συμπεριλαμβανομένης της Google η ίδια - μπορεί να ενημερώσει την επαλήθευση κωδικού πρόσβασης σε μια εξασθενημένη έκδοση χωρίς να έχει προηγούμενη γνώση του χρήστη κωδικός πρόσβασης.
Για εμάς, η ανάρτηση στο blog της Google ήταν σίγουρα διαφωτιστική. Η μονάδα ασφαλείας υλικού δεν είναι ένα πρωτοποριακό χαρακτηριστικό, αλλά ενισχύει την προστασία λογισμικού που υπήρχε πριν. Η Google δεν προσδιόρισε την πηγή προμήθειας της μονάδας, αλλά Ο αναγνωρισμένος προγραμματιστής του XDA Senior Dees_troy δήλωσε ότι παρασχέθηκε από την NXP. Ήδη, υπάρχουν ανησυχίες ότι χαρακτηριστικά ασφαλείας όπως αυτό μπορεί να εμποδίσουν την ανάπτυξη για τις συσκευές, δείχνοντας ότι η μάχη μεταξύ της εστίασης στην ασφάλεια και των δυνατοτήτων ανάπτυξης συσκευών είναι ακόμα ζωντανός.
Πηγή: Google