从Android Pie开始,其装置中应用程序的数据,只能透过客户端随机产生的密钥进行解密,而且该解密密钥以用户的屏幕锁定密码加密,就连Google本身都无法破解,以预防Google内部的恶意员工等这类攻击模式的威胁,还委外资安公司NCC集团进行Google Cloud Key Vault安全评估。
Google现在要结合Android备份服务以及Google云端Titan技术,来进一步保护用户数据的安全性以及隐私性。这项新的安全性功能将从Android Pie装置开始提供,Android Pie装置上的应用程序数据备份,将只能由客户端随机产生的密钥解密,而这个密钥将以用户的屏幕锁定PIN、图形模式或是密码加密,而这些信息是Google无法取得的。
这个由密码保护的密钥由数据中心里的Titan安全芯片(Titan Security Chip)加密,而Titan安全芯片的配置仅允许用户提供正确密码时,才会释出备份解密密钥。由于每次的存取解密密钥都需要Titan安全芯片的授权,当密码尝试错误太多次时,芯片将会永久阻挡存取,以减少暴力破解法攻击,而且有限的错误尝试次数由自定义的Titan韧体严格限制,因此除非抹除芯片上的内容,否则任何人在没有客户端屏幕解锁密码的情况下,都无法存取用户的应用程序数据。
而且为了强化这项技术的安全度,Google聘请了NCC集团进行安全审计,审查内容包括Google安全设计程序、程序代码质量验证,还有为已知的攻击向量采取的缓解措施。NCC集团在报告中提到,Android备份和恢复功能,仅是Google Cloud Key Vault密钥保护机制的其中一种使用案例,因此他们主要是对Google Cloud Key Vault整体的组件系统和服务进行安全性分析。
这项技术可以抵御来自Google外部与内部的攻击者。外部攻击者可能是Google的代理商,特别是与Google Cloud Key Vault服务技术基础设施直接相关的业者,而Google Cloud Key Vault威胁模型中,主要假设的攻击者是Google流氓员工或其他恶意内部人员,防止他们未经使用者授权,解密特定用户的恢复密钥。但是Google Cloud Key Vault无法抵御恶意Android软件更新和拒绝服务这类型的内部攻击。
NCC集团共发现Google Cloud Key Vault韧体中两个关键问题,第一个是允许从芯片内部储存器任意的读取任意内存,而这将可能让攻击者破坏安全密钥并复原用户数据。第二个问题则是允许攻击者绕过暴力破解预防机制,尝试无限制的LSKF猜测。这两项漏洞都在NCC集团评估阶段时,由Google工程师修补完成。
文章转自:http://www.tsrt.org.tw/post.asp