У Вашего смартфона есть специальный защитный чип. Вот как он работает
Новые телефоны Google Pixel 3 имеют чип безопасности Titan M. У Apple есть нечто похожее под названием «Secure Enclave» на iPhones. Телефоны Samsung Galaxy и другие телефоны Android часто используют технологию TrustZone от ARM. Вот как они помогают защитить Ваш телефон.
Основы
Эти чипы — это отдельные маленькие компьютеры внутри Вашего телефона. У них разные процессоры и память, и они работают под управлением своих крошечных операционных систем.
Обычная операционная система Вашего телефона и приложения, работающие на нем, не видны внутри защищенной области. Это защищает безопасную зону от несанкционированного доступа и позволяет безопасной зоне делать множество полезных вещей.
Это отдельный процессор
Все эти чипы работают несколько иначе. В новых телефонах Pixel Titan M является физическим чипом, который отделен от обычного процессора телефона.
Secure Enclave или TrustZone не являются технически разными «чипами». Это отдельный изолированный процессор, встроенный в основную систему устройства на кристалле. Хотя он встроен, он по-прежнему имеет отдельный процессор и область памяти. Думайте об этом как о чипе внутри основного чипа.
В любом случае, будь то Titan M, Secure Enclave или TrustZone, чип является отдельным «сопроцессором». Он имеет свою специальную область памяти и запускает собственную операционную систему. Он полностью изолирован от всего остального.
Другими словами, даже если вся операционная система Android или iOS была взломана вредоносными программами, и вредоносное ПО имеет доступ ко всему, он не смог бы получить доступ к содержимому защищенной области.
Как это защищает Ваш телефон
Данные на Вашем телефоне хранятся в зашифрованном виде на диске. Ключ, который разблокирует данные, хранится в защищенной области. Когда Вы разблокируете свой телефон с помощью ПИН-кода, пароля, идентификатора лица или сенсорного идентификатора, процессор внутри защищенной зоны аутентифицирует Вас и использует Ваш ключ для дешифрования Ваших данных в памяти.
Этот ключ шифрования никогда не покидает защищенную область защитного чипа. Если злоумышленник пытается войти в систему, угадывая ПИН или пароль, защищенный чип может замедлить их и обеспечить задержку между попытками. Даже если этот человек нарушил основную операционную систему Вашего устройства, защищенный чип ограничил бы попытки доступа к Вашим ключам безопасности.
На iPhone или iPad в Secure Enclave хранятся ключи шифрования, которые защищают Ваше лицо (для идентификатора лица) или отпечаток пальца (для сенсорного идентификатора). Даже тот, кто украл Ваш телефон и каким-то образом скомпрометировал основную операционную систему iOS, не сможет просматривать информацию о Вашем отпечатке пальца.
Чип Google Titan M также может защищать конфиденциальные транзакции в приложениях Android. Приложения могут использовать новый «StrongBox KeyStore API» в Android 9 для создания и хранения собственных личных ключей в Titan M. Он также может использоваться для других типов конфиденциальных транзакций.
iPhone работают аналогичным образом. Apple Pay использует Secure Enclave, поэтому данные Вашей платежной карты хранятся и передаются надежно. Apple также позволяет приложениям на Вашем телефоне хранить свои ключи в Secure Enclave для дополнительной безопасности. Secure Enclave гарантирует, что его собственное программное обеспечение подписано Apple перед загрузкой, поэтому его нельзя заменить модифицированным программным обеспечением.
TrustZone от ARM очень похож на Secure Enclave. Он использует защищенную область основного процессора для запуска критически важного программного обеспечения. Здесь можно хранить ключи безопасности. Программное обеспечение безопасности KNOX от Samsung работает в области ARM TrustZone, поэтому оно изолировано от остальной части системы. Samsung Pay также использует ARM TrustZone для надежной обработки информации платежной карты.
На новом телефоне Pixel чип Titan M также обеспечивает безопасность загрузчика. Когда Вы запускаете свой телефон, Titan M гарантирует, что Вы используете «последнюю известную версию безопасного Android». Любой, у кого есть доступ к Вашему телефону, не может перейти на более раннюю версию Android с известными дырами в безопасности. И прошивка на Titan M не может быть обновлена, если Вы не введете свой код доступа, чтобы злоумышленник даже не смог создать вредоносную замену для прошивки Titan M.
Почему Ваш телефон нуждается в защищенном процессоре
Без защищенного процессора и изолированной области памяти Ваше устройство гораздо более открыто для атаки. Защищенный чип изолирует критические данные, такие как ключи шифрования и платежные данные. Даже если Ваше устройство взломано, вредоносное ПО не может получить доступ к этой информации.
Защищенная область также контролирует доступ к Вашему устройству. Даже если у кого-то есть Ваше устройство и заменят его операционную систему взломанной, защищенный чип не позволит им подбирать миллион PIN-кодов или паролей в секунду. Это замедлит их работу и заблокирует их.
Когда Вы используете мобильный кошелек, такой как Apple Pay, Samsung Pay или Google Pay, Ваши платежные реквизиты можно безопасно хранить, чтобы гарантировать, что никакое вредоносное программное обеспечение, работающее на Вашем устройстве, не сможет получить к ним доступ.
Google также делает некоторые интересные вещи с микросхемой Titan M, например, аутентификацию Вашего загрузчика и обеспечение того, чтобы злоумышленник не мог понизить версию операционной системы или заменить прошивку Titan M.
Даже атака в стиле Spectre, которая позволяет приложению читать память, которая ему не принадлежит, не сможет взломать эти чипы, поскольку чипы используют память, которая полностью отделена от основной системной памяти.
Он защищает Ваш телефон в фоновом режиме
Ни одному пользователю смартфона не нужно знать об этом оборудовании, хотя оно должно заставить Вас чувствовать себя более уверенно, когда Вы храните конфиденциальные данные, такие как кредитные карты и данные онлайн-банкинга на Вашем телефоне.
Это просто классная технология, которая работает тихо, чтобы защитить Ваш телефон и данные, сохраняя при этом безопасность. Многие умные люди прилагают много усилий для обеспечения безопасности современных смартфонов и защиты их от всех возможных атак. И много работы направлено на то, чтобы обеспечить такую безопасность так, что Вам даже и не придется об этом думать.