Новые телефоны Google Pixel 3 оснащены чипом безопасности «Titan M». У Apple есть нечто похожее с «Безопасным анклавом» на iPhone. Телефоны Samsung Galaxy и другие телефоны Android часто используют технологию ARM TrustZone. Вот как они помогают защитить ваш телефон.
Основы
Эти чипы в основном отдельные маленькие компьютеры внутри вашего телефона. У них разные процессоры и память, и они используют свои собственные крошечные операционные системы.
Обычная операционная система вашего телефона и приложения, работающие на нем, не могут видеть в безопасной зоне. Это защищает защищенную область от несанкционированного вмешательства и позволяет защищенной области выполнять различные полезные действия.
Это отдельный процессор
Защищенный анклав является частью аппаратного обеспечения системы А-серии от Apple.
Все эти чипы работают немного по-разному. В новых телефонах Google Pixel Titan M представляет собой физический чип, который отделен от обычного процессора телефона.
С Secure Enclave от Apple и ARM TrustZone Secure Enclave или TrustZone технически не являются другим «чипом». Вместо этого это отдельный изолированный процессор, встроенный в основную систему устройства на кристалле. Хотя он встроенный, он все еще имеет отдельный процессор и область памяти. Думайте об этом как о чипе внутри основного чипа.
В любом случае – будь то Titan M, Secure Enclave или TrustZone – чип является отдельным «сопроцессором». Он имеет свою специальную область памяти и работает под собственной операционной системой. Он полностью изолирован от всего остального.
Другими словами, даже если вся ваша операционная система Android или iOS была скомпрометирована вредоносными программами и эта вредоносная программа имела доступ ко всему, она не смогла бы получить доступ к содержимому защищенной области.
Как это защищает ваш телефон
Безопасный анклав Apple содержит ключи для ваших биометрических данных Face ID.
Данные на вашем телефоне хранятся в зашифрованном виде на диске. Ключ, который разблокирует данные, хранится в безопасной области. Когда вы разблокируете свой телефон с помощью своего PIN-кода, пароля, Face ID или Touch ID, процессор в защищенной области аутентифицирует вас и использует ваш ключ для расшифровки ваших данных в памяти.
Этот ключ шифрования никогда не покидает безопасную область микросхемы безопасности. Если злоумышленник пытается войти в систему, угадав несколько PIN-кодов или паролей, защищенная микросхема может замедлить их и обеспечить задержку между попытками. Даже если этот человек скомпрометировал основную операционную систему вашего устройства, защищенная микросхема ограничит его попытки доступа к вашим ключам безопасности.
На iPhone или iPad в Secure Enclave хранятся ключи шифрования, которые защищают информацию о вашем лице (для Face ID) или отпечатках пальцев (для Touch ID). Даже тот, кто украл ваш телефон и каким-то образом скомпрометировал основную операционную систему iOS, не сможет просмотреть информацию о вашем отпечатке пальца.
Чип Google Titan M также может защищать конфиденциальные транзакции в приложениях Android. Приложения могут использовать новый «StrongBox KeyStore API» для Android 9, чтобы создавать и хранить собственные закрытые ключи в Titan M. Google Pay скоро опробует это. Его также можно использовать для других чувствительных транзакций, от голосования до отправки денег.
Айфоны работают аналогично. Apple Pay использует Secure Enclave, поэтому данные вашей платежной карты хранятся и передаются надежно. Apple также позволяет приложениям на вашем телефоне хранить ключи в Secure Enclave для дополнительной безопасности. Secure Enclave гарантирует, что Apple загрузит собственное программное обеспечение перед загрузкой, поэтому его нельзя заменить модифицированным программным обеспечением.
TrustZone ARM работает очень похоже на Secure Enclave. Он использует безопасную область главного процессора для запуска критически важного программного обеспечения. Ключи безопасности можно хранить здесь. Программное обеспечение Samsung KNOX для обеспечения безопасности работает в зоне ARM TrustZone, поэтому оно изолировано от остальной системы. Samsung Pay также использует ARM TrustZone для безопасной обработки данных платежных карт.
На новом телефоне Pixel чип Titan M также защищает загрузчик. Когда вы запускаете свой телефон, Titan M гарантирует, что вы используете «последнюю известную безопасную версию Android». Любой, у кого есть доступ к вашему телефону, не может понизить вас до более старой версии Android с известными дырами в безопасности. А прошивку на Titan M нельзя обновить, если вы не введете свой пароль, поэтому злоумышленник не сможет даже создать вредоносную замену прошивки Titan M.
Почему вашему телефону нужен безопасный процессор
Samsung Pay использует ARM TrustZone и Samsung KNOX.
Без безопасного процессора и изолированной области памяти ваше устройство гораздо более открыто для атак. Безопасный чип изолирует важные данные, такие как ключи шифрования и платежную информацию. Даже если ваше устройство взломано, вредоносная программа не сможет получить доступ к этой информации.
Безопасная зона также ограничивает доступ к вашему устройству.Даже если кто-то получил ваше устройство и заменил его операционную систему на скомпрометированную, защищенный чип не позволит им угадать миллион PIN-кодов или паролей в секунду. Это замедлит их и заблокирует их из вашего устройства.
Когда вы используете мобильный кошелек, такой как Apple Pay, Samsung Pay или Google Pay, ваши платежные реквизиты могут быть надежно сохранены, чтобы гарантировать, что никакое вредоносное программное обеспечение на вашем устройстве не сможет получить к ним доступ.
Google также делает некоторые интересные новые вещи с чипом Titan M, такие как аутентификация вашего загрузчика и обеспечение того, чтобы злоумышленник не мог понизить вашу операционную систему или заменить прошивку Titan M.
Даже атака в стиле Spectre, которая позволяет приложению считывать не принадлежащую ему память, не сможет взломать эти чипы, поскольку чипы используют память, полностью отделенную от основной системной памяти.
Он защищает ваш телефон в фоновом режиме
Ни одному пользователю смартфона действительно не нужно знать об этом оборудовании, хотя оно должно сделать вас более защищенными при хранении конфиденциальных данных, таких как данные кредитных карт и банковские реквизиты на вашем телефоне.
Это просто классная технология, которая работает бесшумно, чтобы защитить ваш телефон и данные, обеспечивая вам большую безопасность. Многие умные люди прилагают много усилий для защиты современных смартфонов и защиты их от всевозможных атак. И много работы делается для того, чтобы сделать эту безопасность настолько легкой, что вам даже не придется даже думать об этом.
Изображение предоставлено: Google, Poravute Siriphiroon/Shutterstock.com, Hadrian/Shutterstock.com, Samsung
