号称最安全的苹果TEE被黑客攻破了,怎么办?_最新动态_新闻资讯_程序员俱乐部

中国优秀的程序员网站程序员频道CXYCLUB技术地图
热搜:
更多>>
 
您所在的位置: 程序员俱乐部 > 新闻资讯 > 最新动态 > 号称最安全的苹果TEE被黑客攻破了,怎么办?

号称最安全的苹果TEE被黑客攻破了,怎么办?

 2017/8/24 17:08:43    程序员俱乐部  我要评论(0)
  • 摘要:苹果产品一直以其高安全性著称,严格的应用审查制度帮助苹果系统打造了一个所谓“没有病毒的桃花源”,而独立于系统之外单独运行在特制芯片上的“安全区(TEE–TrustExecutionEnvironment可信执行环境)”更是将苹果系统的安全性能推上了新高度。然而,这并不意味着苹果建立起了一道全然坚不可摧的安全大坝。近日,一名为“xerub”的黑客便声称已经破译了通往苹果TEE芯片“安全区&rdquo
  • 标签:苹果 黑客
class="topic_img" alt=""/>

  苹果产品一直以其高安全性著称,严格的应用审查制度帮助苹果系统打造了一个所谓“没有病毒的桃花源”,而独立于系统之外单独运行在特制芯片上的“安全区(TEE – Trust Execution Environment 可信执行环境)”更是将苹果系统的安全性能推上了新高度。

  然而,这并不意味着苹果建立起了一道全然坚不可摧的安全大坝。

  近日,一名为“xerub”的黑客便声称已经破译了通往苹果 TEE 芯片“安全区”的密钥,这意味着苹果最引以为傲的“安全区”外第二道城门已被攻破,如果黑客们继续挺近,进入“安全区”内部,手机指纹识别传感器与“安全区”之间的通信就可以被破译,用户指纹等数据亦可被截获。

  好在本次事件并没有真正攻破“安全区”,黑客只是向苹果最高安全级别的内核部分又逼近了一步,但是安全隔离运行区的概念仍是目前最先进的思路和最安全的模式之一。

  苹果的硬件 TEE 芯片是如何工作的?

  苹果的硬件 TEE 安全区是设备中一个自带操作系统、独立运行于系统之外的辅助处理器。该芯片搭载了苹果特制的 L4 微核系列,拥有一套独立的安全启动,并且可以由一个与应用处理器分开的个性化软件升级程序升级。

  在 A9 和后续的A系列处理器上,这枚芯片负责生成一串每个用户独有的 UID,这串 UID 便是打开安全区的钥匙。每当一台 iPhone 设备启动时,系统会根据这串 UID 生成一段密钥,这串密钥会直接授权启用安全区。当用户触摸指纹识别器时,处理器并不读取数据,而是将数据传送给安全区处理。识别器与安全区之间的数据传输就是由安全区完成加密的。

  这一过程中外界很难获知安全区内部的运算逻辑和加密算法,如此一来用户用以支付等高敏感操作的指纹信息和其他重要数据就可以说是非常安全的了。

  本次事件暴露出硬件 TEE 的诸多隐患,其中最关键的一点就是:基于硬件的 TEE 环境难以做到安全指令动态更新。

  能够实时动态更新的“虚机源码保护”(软件 TEE)

  虚机源码保护其实就是软件 TEE,将安全区以软件的形式在处理器内打造一块完全加密的运行环境,使系统内通信达到硬件 TEE 芯片级别的保护,外界难于攻破。

  它通过移动威胁防控系统的实时监测,从而做到动态更新,一旦原有安全区被攻破,云端系统可以实时下发一套全新密钥,虚机源码保护即可主动防御。

虚机源码保护对比及优势 .jpgoriginal="http://image.3001.net/images/20170824/15035450999953.jpg" />

  如图所示,外界可以通过逆向工具轻易获取未经保护的 APP 代码逻辑,而虚机源码保护利用与硬件 TEE 相仿的保护思路,APP 在加密环境中安全运行。

  除了动态更新上的区别,虚机源码保护在开发成本、数据存储、部署速度上也有优势。

  硬件 TEE 与虚机源码保护方案几大区别

TEE 软硬件对比 .jpg

  灵活性高:硬件 TEE 由于需要直接操作底层硬件芯片的接口,开发难度较高,一般面向 OS 系统开发者。上层 APP 开发者无法直接使用,只能通过 OS 封装的接口完成特定的功能,例如指纹对比,无法根据自身需求,利用 TEE 芯片去保护敏感的代码与数据。虚机源码保护提供了灵活的防护,可以根据需求,为任意一段代码提供函数级的防护,让应用开发者可以同样使用高强度的安全防护方案。

  动态安全指令:硬件 TEE 芯片通过独立的系统来隔离威胁,但是它所能运行的是一组固定的指令(类似 X86 或 ARM 指令),任何固定指令集都可被逆向分析,实际上这也是常见逆向分析工具的工作原理。虚机源码保护采用的是可变的软件指令,即每次编译都采用不同的指令集,这样即使是同一份程序源码,通过编译也可生成不同的二进制程序,大大增加逆向分析破解的难度。黑客即使分析出其中一套指令集,也并没有实际意义,因为这只是无数指令集中的一个实例,整个方案并没有被攻破。

  数据存储大:硬件 TEE 由于构造、成本等原因,其内部往往只能存储少量重要数据,比如少数几枚指纹数据等。而虚机源码保护则没有类似限制,可被用来存储重要数量、文件、照片、视频等任何信息。

  部署速度快:一款硬件 TEE 芯片研发完成之后,需要进行硬件集成、软件集成、集成测试等多个工序部署到智能手机等设备中,最终到达消费者手中的周期更长,整个部署周期非常长。虚机源码保护可集成在 app 中,通过简单的软件升级就能部署到终端用户设备中,非常快捷。

  升级维护方便:硬件 TEE 芯片及其内部运行的程序在出厂时被固化在智能手机等设备中,除非召回进行硬件替换,否则无法进行升级维护。比如,在本案例中的 iPhone 5S 即面临这个问题:苹果虽然意识到该款手机 TEE 出了安全问题,但也无法第一时间作出修复。而虚机源码保护的升级与维护与普通 app 无异,可以方便的通过软件更新的方式进行升级。

  综上所述,虚机源码保护方案的安全级别完全可以媲美硬件级的保护方案,尤其是在没有硬件平台支持的条件下。纵然不能像苹果那样大规模投入做研发,可以通过虚机源码保护方案享受同样级别的安全。目前,顶象技术是全球能够极少数能够提供该方案的安全供应商之一,其方案广泛支持各类操作平台及 IoT 设备。

上一篇: 微信的短暂崩溃撕开了互联网可怕的一角 下一篇: 没有下一篇了!
发表评论
用户名: 匿名