IT之家 1 月 15 日消息 据约翰 - 霍普金斯大学的密码学家称 , IOS 并没有尽可能多地利用内置的加密措施 , 从而出现了潜在的不必要的安全漏洞 。
文章插图
利用苹果和谷歌的公开文档、关于绕过移动安全功能的执法报告以及他们自己的分析 , 密码学家们评估了 iOS 和 Android 加密的稳健性 。研究发现 , 虽然 iOS 上的加密基础设施 “听起来真的很好” , 但它基本上没有被使用 。
【密码学家:许多iOS加密措施“未被使用”】“尤其是在 iOS 上 , 这种分层加密的基础设施已经到位 , 听起来真的很不错 , ”iOS 首席研究员 Maximilian Zinkus 说 , “但我当时看到它有多少未被使用 , 绝对感到惊讶 。”
当 iphone 启动时 , 所有存储的数据都处于 “完全保护”状态 , 用户必须在解密任何东西之前解锁设备 。虽然这样做非常安全 , 但研究人员强调 , 一旦设备在重启后首次解锁 , 大量数据就会进入苹果所谓的 “在首次用户认证前受保护”的状态 。
由于设备很少重启 , 所以大部分数据在大部分时间都处于 “保护到第一次用户认证”的状态 , 而不是 “完全保护” 。这种不太安全的状态的好处是 , 解密密钥存储在快速访问内存中 , 可以被应用程序迅速访问 。
理论上 , 攻击者可以找到并利用 iOS 系统中的某些类型的安全漏洞来获取快速访问内存中的加密密钥 , 使其能够解密设备中的大量数据 。相信这也是许多智能手机访问工具的工作原理 , 比如取证访问公司 Grayshift 的工具 。
虽然攻击者确实需要特定的操作系统漏洞才能获取密钥 , 而且苹果和谷歌在发现这些漏洞时都会打上许多补丁 , 但通过将加密密钥隐藏得更深 , 这是可以避免的 。
“这真的让我很震惊 , 因为我进入这个项目时认为这些手机真的很好地保护了用户数据 , ”约翰 - 霍普金斯大学的密码学家马修 - 格林说 , “现在我从这个项目中走出来 , 认为几乎没有任何东西得到保护 , 因为它可以 。那么 , 既然这些手机实际提供的保护如此糟糕 , 我们为什么需要一个执法后门呢?”
研究人员还直接与苹果公司分享了他们的发现和一些技术建议 。苹果公司的发言人对此进行了公开声明 。
“苹果设备设计有多层安全防护措施 , 以抵御各种潜在的威胁 , 我们不断努力为用户的数据增加新的保护措施 。随着客户在设备上存储的敏感信息量不断增加 , 我们将继续在硬件和软件上开发更多的保护措施来保护他们的数据 。”
IT之家了解到 , 该发言人还向 Wired 表示 , 苹果的安全工作主要集中在保护用户免受黑客、小偷和想窃取个人信息的犯罪分子的攻击 。他们还指出 , 研究人员强调的攻击类型的开发成本非常高 , 需要对目标设备进行物理访问 , 并且只有在苹果发布补丁之前才能发挥作用 。苹果还强调 , 其对 iOS 的目标是平衡安全性和便利性 。
推荐阅读
- 为什么许多人偏爱乌龙茶 浅谈乌龙茶的功效
- 打通肾经最好的方法
- 电脑文件夹设置密码
- 华为手机怎么查看连接的WIFI密码
- 甘油的成分是什么
- 茶艺不是件容易的事
- 薄荷红茶怎么做薄荷红茶的制作方法详解
- 肝脏排毒不好的症状
- 为什么胎压明明正常,瞧着还有点瘪?许多司机都想错了,难怪费车
- 缓解背疼瑜伽有什么