據約翰-霍普金斯大學的密碼學家稱�,iOS并沒有盡可能多地利用內置的加密措施,從而出現(xiàn)了潛在的不必要的安全漏洞����。利用蘋果和谷歌的公開文檔、關于繞過移動安全功能的執(zhí)法報告以及他們自己的分析�,密碼學家們評估了iOS和Android加密的穩(wěn)健性。研究發(fā)現(xiàn)�����,雖然iOS上的加密基礎設施聽起來真的很好����,但它基本上沒有被使用。
據約翰-霍普金斯大學的密碼學家稱�����,iOS并沒有盡可能多地利用內置的加密措施�����,從而出現(xiàn)了潛在的不必要的安全漏洞��。利用蘋果和谷歌的公開文檔����、關于繞過移動安全功能的執(zhí)法報告以及他們自己的分析,密碼學家們評估了iOS和Android加密的穩(wěn)健性����。研究發(fā)現(xiàn),雖然iOS上的加密基礎設施聽起來真的很好�,但它基本上沒有被使用。
尤其是在iOS上��,這種分層加密的基礎設施已經到位����,聽起來真的很不錯,但研究人員當時看到它有多少未被使用時感到非常驚訝��。當iPhone啟動時�����,所有存儲的數(shù)據都處于完全保護狀態(tài),用戶必須在解密任何東西之前解鎖設備����。雖然這樣做非常安全,但研究人員強調�,一旦設備在重啟后首次解鎖,大量數(shù)據就會進入蘋果所謂的 "在首次用戶認證前受保護 "的狀態(tài)�。
由于設備很少重啟,所以大部分數(shù)據在大部分時間都處于"在首次用戶認證前受保護 "的狀態(tài)����,而不是 "完全保護"。這種不太安全狀態(tài)的好處是�����,解密密鑰存儲在快速訪問內存中����,可以被應用程序迅速訪問。理論上�,攻擊者可以找到并利用iOS系統(tǒng)中某些類型的安全漏洞來獲取快速訪問內存中的加密密鑰,使其能夠解密設備中的大量數(shù)據。相信這也是許多智能手機破解訪問工具的工作原理�,比如取證訪問公司Grayshift的工具。
雖然攻擊者確實需要特定的操作系統(tǒng)漏洞才能獲取密鑰�����,而且蘋果和谷歌在發(fā)現(xiàn)這些漏洞時都會打上許多補丁�,但通過將加密密鑰隱藏得更深�����,這可能是可以避免的����。約翰-霍普金斯大學的密碼學家馬修-格林表示:"這真的讓我很震驚,因為我開始這個項目時����,認為這些手機真的很好地保護了用戶數(shù)據,現(xiàn)在我從這個項目中走出來�����,認為幾乎沒有任何東西得到保護��。那么,既然這些手機實際提供的保護如此糟糕����,我們?yōu)槭裁葱枰粋€執(zhí)法后門呢?"
研究人員還直接與蘋果公司分享了他們的發(fā)現(xiàn)和一些技術建議�����。蘋果公司發(fā)言人對此進行了公開聲明:"蘋果設備設計有多層安全防護措施�����,以抵御各種潛在的威脅�����,我們不斷努力為用戶數(shù)據增加新的保護措施�。隨著客戶在設備上存儲的敏感信息量不斷增加,我們將繼續(xù)在硬件和軟件上開發(fā)更多的保護措施來保護他們的數(shù)據����。"
該發(fā)言人還向Wired表示,蘋果安全工作主要集中在保護用戶免受黑客����、小偷和想竊取個人信息犯罪分子的攻擊�����。他們還指出����,研究人員強調的攻擊類型開發(fā)成本非常高�����,需要對目標設備進行物理訪問��,并且只有在蘋果發(fā)布補丁之前才能發(fā)揮作用��。蘋果還強調��,其對iOS的目標是平衡安全性和便利性�。
立即登錄����,閱讀全文
閩公網安備 35010202001226號
