В своем блоге Google подробно рассказал, как защищенный от несанкционированного доступа аппаратный модуль безопасности Pixel 2 обеспечивает «безопасность корпоративного уровня». Читайте дальше, чтобы узнать больше!
С каждой новой версией Android Google уделяет все больше внимания безопасности. Добавлен Android 5.1 Lollipop. Защита от возврата к заводским настройкам в качестве меры защиты от кражи. Затем компания сделала шифрование обязательным для высокопроизводительных устройств, начиная с Android 6.0 Marshmallow. В Nougat Google перешел на Файловое шифрование. Теперь Google подробно описал защищенный от несанкционированного доступа аппаратный модуль безопасности Pixel 2, который, по словам компании, обеспечивает «безопасность корпоративного уровня».
Аппаратный модуль безопасности Pixel 2 и Pixel 2 XL является первым для Android-устройств. Это усиливает защиту экрана блокировки от вредоносных программ и аппаратных атак. Это сделано для того, чтобы лучше защитить данные, хранящиеся на устройстве пользователя, включая контакты, электронную почту, фотографии, данные приложений и т. д. Google надеется, что Pixel 2 станет первым из многих Android-устройств, оснащенных специальными модулями безопасности.
Мы знаем, что экран блокировки — это первая линия защиты, когда речь идет о защите данных пользователя от атак, поскольку он является уязвимой точкой для атак методом перебора. Google заявляет, что устройства, поставляемые с Android 7.0+, уже проверяют код доступа пользователя к экрану блокировки в безопасной среде, такой как Trusted Execution Environment (TEE).
Это ограничивает частоту повторных попыток злоумышленника угадать его методом грубой силы. Ключевым шагом является то, что безопасная среда успешно проверила пароль пользователя. По словам Google, тогда и только тогда он раскрывает секрет устройства и пользователя, который используется для получения ключа шифрования диска. Компания заявляет, что без ключа шифрования диска данные пользователя невозможно расшифровать.
По данным Google, цель этой защиты — не дать злоумышленникам расшифровать пользовательские данные, не зная пароля пользователя. Компания признает, что защита настолько надежна, насколько надежна безопасная среда, которая проверяет пароль — слабое звено может поставить под угрозу всю систему безопасности, даже если все остальные компоненты безопасный.
Здесь на помощь приходит аппаратный модуль безопасности. Google заявляет, что злоумышленникам будет сложнее атаковать устройство, когда оно выполняет «критичные для безопасности операции на защищенном от несанкционированного доступа оборудовании».
Так что же на самом деле означает защищенный от несанкционированного доступа аппаратный модуль безопасности? В Pixel 2 защищенный от несанкционированного доступа модуль безопасности выполнен в виде дискретного чипа, который отделен от основного SoC (Qualcomm Snapdragon 835 в случае Pixel 2). По данным Google, модуль безопасности включает в себя собственную флэш-память, оперативную память, процессор и другие ресурсы в одном корпусе. Следовательно, он может контролировать собственное выполнение. Это также помогает ему отражать внешние попытки вмешательства в него.
Google далее сообщает: «Пакет устойчив к физическому проникновению и предназначен для защиты от многих атак по побочным каналам, включая анализ мощности, временной анализ и электромагнитный анализ. Аппаратное обеспечение также устойчиво ко многим методам внедрения физических неисправностей, включая попытки работать вне нормальных условий эксплуатации, таких как неправильное напряжение, неправильная тактовая частота или неправильная температура.«Таким образом, утверждение о защите от несанкционированного доступа кажется справедливым на основании вышеизложенных фактов.
Устойчивый к несанкционированному вмешательству аппаратный модуль безопасности Pixel 2 также помогает защитить устройство от программных атак. По словам Google, у него чрезвычайно маленькая поверхность атаки. Это связано с тем, что оно выполняет очень мало функций, поскольку представляет собой специальное оборудование, используемое только для определенных целей, а не оборудование общего назначения.
Ключевым шагом в этом процессе является проверка пароля в модуле безопасности. Google заявляет, что даже в случае полной компрометации где-либо еще злоумышленник не сможет получить доступ к диску пользователя ключ шифрования без предварительной компрометации модуля безопасности – демонстрация одного из основных преимуществ аппаратной безопасности модули.
В заключение Google заявляет, что модуль безопасности спроектирован таким образом, что никто, включая Google, сам по себе — может обновить проверку пароля до ослабленной версии, не зная предварительно пользователя. пароль.
Для нас сообщение в блоге Google, безусловно, было поучительным. Аппаратный модуль безопасности не является революционной функцией, но он усиливает существовавшую ранее защиту программного обеспечения. Google не назвал источник поставки модуля, но Старший признанный разработчик XDA Dees_troy заявил, что его предоставила NXP.. Уже есть опасения, что подобные функции безопасности могут помешать разработке устройств. показывая, что борьба между акцентом на безопасность и возможностями разработки устройств все еще продолжается. живой.
Источник: Гугл