Tinklaraščio įraše „Google“ išsamiai paaiškino, kaip „Pixel 2“ apsaugotas aparatinės įrangos saugos modulis užtikrina „įmonės lygio saugumą“. Skaitykite toliau, kad sužinotumėte daugiau!
Su kiekviena nauja „Android“ versija „Google“ daugiau dėmesio skyrė saugai. Pridėta „Android 5.1 Lollipop“. Gamyklos atstatymo apsauga kaip apsaugos nuo vagystės priemonė. Tada bendrovė padarė privalomą šifravimą didelio našumo įrenginiams nuo Android 6.0 Marshmallow. Nugoje „Google“ perėjo prie Failų šifravimas. Dabar „Google“ išsamiai išdėstė „Pixel 2“ apsaugotą nuo klastojimo aparatinės įrangos saugos modulį, kuris, pasak bendrovės, užtikrina „įmonės lygio saugumą“.
„Pixel 2“ ir „Pixel 2 XL“ aparatinės įrangos saugos modulis yra pirmasis „Android“ įrenginyje. Tai sustiprina užrakinimo ekraną nuo kenkėjiškų programų ir aparatinės įrangos atakų. Tai daroma siekiant geriau apsaugoti vartotojo įrenginyje saugomus duomenis, įskaitant kontaktus, el. laiškus, nuotraukas, programų duomenis ir kt. „Google“ tikisi, kad „Pixel 2“ yra pirmasis iš daugelio „Android“ įrenginių, turinčių specialius saugos modulius.
Žinome, kad užrakto ekranas yra pirmoji gynybos linija, kai reikia apsaugoti vartotojo duomenis nuo atakų, nes tai yra pažeidžiamumo taškas žiaurios jėgos atakoms. „Google“ teigia, kad įrenginiai, kurie pristatomi su 7.0 ir naujesnėmis versijomis „Android“, jau patvirtina vartotojo užrakinimo ekrano slaptažodį saugioje aplinkoje, pvz., patikimoje vykdymo aplinkoje (TEE).
Tai riboja, kaip dažnai piktybinis užpuolikas gali pakartotinai bandyti tai atspėti naudodamas brutalią jėgą. Svarbiausias veiksmas yra tada, kai saugi aplinka sėkmingai patvirtino vartotojo kodą. Tada ir tik tada atskleidžia įrenginio ir vartotojo paslaptį, kuri naudojama disko šifravimo raktui gauti, teigia „Google“. Bendrovė teigia, kad be disko šifravimo rakto negalima iššifruoti vartotojo duomenų.
„Google“ teigimu, šių apsaugos priemonių tikslas yra neleisti užpuolikams iššifruoti vartotojo duomenų nežinant vartotojo slaptažodžio. Bendrovė pripažįsta, kad apsauga yra tiek stipri, kiek yra saugi aplinka, kuri patvirtina slaptažodis – silpna grandis gali pakenkti visai apsaugos sistemai, net jei yra visos kitos sudedamosios dalys saugus.
Čia ateina aparatinės įrangos saugos modulis. „Google“ teigia, kad užpuolikai susidurs su didesniais sunkumais puldami įrenginį, kai jis atliks „saugumui svarbias operacijas apsaugotoje aparatinėje įrangoje“.
Taigi, ką iš tikrųjų reiškia sugadinimui atsparus aparatinės įrangos saugos modulis? „Pixel 2“ sugadinimui atsparus apsaugos modulis yra atskiro lusto pavidalu, kuris yra atskirtas nuo pagrindinio SoC („Qualcomm Snapdragon 835“ „Pixel 2“ korpuse). „Google“ teigimu, saugos modulis turi savo blykstę, RAM, apdorojimo bloką ir kitus išteklius viename pakete. Todėl jis gali pats kontroliuoti savo vykdymą. Tai taip pat padeda atremti išorinius bandymus jį sugadinti.
„Google“ toliau nurodo: „Paketas yra atsparus fiziniam įsiskverbimui ir sukurtas taip, kad atsispirtų daugeliui šoninių kanalų atakų, įskaitant galios analizę, laiko analizę ir elektromagnetinį uostymą. Techninė įranga taip pat yra atspari daugeliui fizinių gedimų įvedimo būdų, įskaitant bandymus veikia ne įprastomis veikimo sąlygomis, pvz., netinkama įtampa, neteisingas laikrodžio greitis arba neteisingas temperatūros.Todėl, atsižvelgiant į pirmiau nurodytus faktus, tvirtinimas, kad negalima sugadinti, atrodo teisingas.
„Pixel 2“ apsaugotas nuo klastojimo aparatinės įrangos saugos modulis taip pat padeda apsaugoti įrenginį nuo tik programinės įrangos atakų. „Google“ teigimu, jis turi itin mažą atakos paviršių. Taip yra todėl, kad ji atlieka labai nedaug funkcijų, nes tai yra skirta aparatinė įranga, naudojama tik konkretiems tikslams, o ne bendrosios paskirties aparatinė įranga.
Pagrindinis proceso veiksmas yra tai, kad slaptažodžio patikrinimas įvyksta saugos modulyje. „Google“ teigia, kad net visiško kompromiso kitur atveju užpuolikas negali gauti vartotojo disko šifravimo raktas nepažeidžiant saugos modulio – tai rodo vieną iš pagrindinių techninės įrangos saugos pranašumų moduliai.
„Google“ baigia teigdama, kad saugos modulis yra sukurtas taip, kad niekas, įskaitant „Google“, niekas pati – gali atnaujinti slaptažodžio patvirtinimą į susilpnintą versiją, neturėdamas išankstinių vartotojo žinių slaptažodis.
Mums „Google“ tinklaraščio įrašas tikrai buvo šviečiantis. Aparatinės įrangos saugos modulis nėra novatoriška funkcija, tačiau jis sustiprina programinės įrangos apsaugą, kuri egzistavo anksčiau. „Google“ nenustatė modulio tiekimo šaltinio, bet XDA vyresnysis pripažintas kūrėjas Dees_troy pareiškė, kad jį tiekė NXP. Jau dabar nerimaujama, kad tokios saugos funkcijos gali trukdyti kurti įrenginius, rodo, kad kova tarp dėmesio saugumui ir įrenginių kūrimo galimybių tebevyksta gyvas.
Šaltinis: Google