原标题:Insider Attack Resistance
链接:https://android-developers.googleblog.com/2018/05/insider-attack-resistance.html
作者:Shawn Willden (软件工程师)
翻译:arjinmc
我们的智能设备(如手机和平板电脑)包含大量需要保持安全的个人信息。Google一直在努力寻找新的更好的方法来保护Android设备上的宝贵信息。通过与外部研究人员合作寻找和修复漏洞,为Android平台添加新功能,我们致力于使每个版本和新设备比上一个更安全。这篇文章谈到了谷歌在Google Pixel 2设备上进行加密的策略,可抵御各种攻击级别 - 从平台到硬件,一直到人们可以为Pixel设备创建签名密钥。
我们会加密Google Pixel设备上的所有用户数据,和保护安全硬件的加密密钥。安全硬件运行高度安全的固件,负责检查用户的密码。如果密码输入错误,则固件拒绝解密设备。此固件还会限制密码的检查速度,使攻击者难以使用暴力攻击。
为防止攻击者使用恶意版本替换我们的固件,我们应用了数字签名。攻击者有两种方法可以打败签名检查并安装恶意代替固件的方法:在签名检查过程中查找并利用漏洞,或者获取对签名密钥的访问权限并获取其恶意版本,以便设备将其作为一个合法的更新。签名检查软件很小,很独立,并且极其彻底。击败它很难。但是,签名密钥必须存在于某个地方,并且必须有人可以访问它们。
过去,设备制造商一直专注于通过将密钥存储在安全位置并严格限制有权访问这些密钥的人数来保护这些密钥。这很好,但它让那些人受到强制或社会工程攻击。这对员工个人而言是危险的,我们认为这会对用户数据造成太大的风险。
为了缓解这些风险,Google Pixel 2设备在防篡改硬件安全模块中实施了内部攻击阻力,该模块可以保护用户数据的加密密钥。这有助于防止攻击者在没有用户合作的情况下将产生正确签名的恶意固件安装到丢失或被盗设备中的安全模块上。具体而言,除非你提供了正确的用户密码,否则无法升级检查用户密码的固件。有一种方法可以“强制”升级,例如,当返回的设备进行翻新以进行转售时,但强制删除用于解密用户数据的秘密,从而有效摧毁它。
Android安全团队认为,内部攻击阻力是保护用户数据的完整策略的重要组成部分。Google Pixel 2证明,甚至可以针对最高权限的内部人员保护用户。我们建议所有移动设备制造商都这样做。为获得帮助,致力于实施内部攻击阻力的设备制造商可以通过他们的Google联系人与Android安全团队联系。
致谢:本文是与高级软件工程师Paul Crowley联合开发的