中国领先的IT技术网站
|
|

号称最安全的苹果TEE被黑客攻破了,怎么办?

苹果产品一直以其高安全性著称,严格的应用审查制度帮助苹果系统打造了一个所谓“没有病毒的桃花源”,而独立于系统之外单独运行在特制芯片上的“安全区(TEE - Trust Execution Environment可信执行环境)”更是将苹果系统的安全性能推上了新高度。

作者:佚名来源:51CTO|2017-08-23 16:55


苹果产品一直以其高安全性著称,严格的应用审查制度帮助苹果系统打造了一个所谓“没有病毒的桃花源”,而独立于系统之外单独运行在特制芯片上的“安全区(TEE - Trust Execution Environment可信执行环境)”更是将苹果系统的安全性能推上了新高度。

然而,这并不意味着苹果建立起了一道全然坚不可摧的安全大坝。

近日,一名为“xerub”的黑客便声称已经攻破了苹果TEE芯片“安全区”并获取到了内部代码和密钥,这意味着手机指纹识别传感器与“安全区”之间的通信可被破译,用户指纹等数据可被截获。这次被黑客攻破安全芯片并公布代码的重大事件无疑对苹果将是非常沉重的打击。

有一点需要明确,虽然本次事件告诉大家TEE技术并非完美,且暴露出若干安全隐患,但是安全隔离运行区的概念仍是目前最先进的思路和最安全的模式之一。

苹果的硬件TEE芯片是怎么工作的?

苹果的硬件TEE安全区是设备中一个自带操作系统、独立运行于系统之外的辅助处理器。该芯片搭载了苹果特制的L4微核系列,拥有一套独立的安全启动,并且可以由一个与应用处理器分开的个性化软件升级程序升级。

(图片来自苹果)

在A9和后续的A系列处理器上,这枚芯片负责生成一串每个用户独有的UID,这串UID便是打开安全区的钥匙。每当一台iPhone设备启动时,系统会根据这串UID生成一段密钥,这串密钥会直接授权启用安全区。当用户触摸指纹识别器时,处理器并不读取数据,而是将数据传送给安全区处理。识别器与安全区之间的数据传输就是由安全区完成加密的。

这一过程中外界很难获知安全区内部的运算逻辑和加密算法,如此一来用户用以支付等高敏感操作的指纹信息和其他重要数据就可以说是非常安全的了。

本次事件暴露出硬件TEE的诸多隐患,其中最关键的一点就是:基于硬件的TEE环境难以做到安全指令动态更新。

能够实时动态更新的“虚机源码保护”(软件TEE)

虚机源码保护其实就是软件TEE,将安全区以软件的形式在处理器内打造一块完全加密的运行环境,使系统内通信达到硬件TEE芯片级别的保护,外界难于攻破。

它通过移动威胁防控系统的实时监测,从而做到动态更新,一旦原有安全区被攻破,云端系统可以实时下发一套全新密钥,虚机源码保护即可主动防御。

如图所示,未经保护的系统中APP以明文形式运行,和CPU之间的通信内容也一览无遗。而虚机源码保护利用与硬件TEE相仿的保护思路,APP在加密环境中安全运行。

除了动态更新上的区别,虚机源码保护在开发成本、数据存储、部署速度上也有优势。

硬件TEE与虚机源码保护方案五大区别

灵活性高:硬件TEE由于需要直接操作底层硬件芯片的接口,开发难度较高,一般面向OS系统开发者。上层APP开发者无法直接使用,只能通过OS封装的接口完成特定的功能,例如指纹对比,无法根据自身需求,利用TEE芯片去保护敏感的代码与数据。虚机源码保护提供了灵活的防护,可以根据需求,为任意一段代码提供函数级的防护,让应用开发者可以同样使用高强度的安全防护方案。

动态安全指令:硬件TEE芯片通过独立的系统来隔离威胁,但是它所能运行的是一组固定的指令(类似X86或ARM指令),任何固定指令集都可被逆向分析,实际上这也是常见逆向分析工具的工作原理。虚机源码保护采用的是可变的软件指令,即每次编译都采用不同的指令集,这样即使是同一份程序源码,通过编译也可生成不同的二进制程序,大大增加逆向分析破解的难度。黑客即使分析出其中一套指令集,也并没有实际意义,因为这只是无数指令集中的一个实例,整个方案并没有被攻破。

数据存储大:硬件TEE由于构造、成本等原因,其内部往往只能存储少量重要数据,比如少数几枚指纹数据等。而虚机源码保护则没有类似限制,可被用来存储重要数量、文件、照片、视频等任何信息。

部署速度快:一款硬件TEE芯片研发完成之后,需要进行硬件集成、软件集成、集成测试等多个工序部署到智能手机等设备中,最终到达消费者手中的周期更长,整个部署周期非常长。虚机源码保护可集成在app中,通过简单的软件升级就能部署到终端用户设备中,非常快捷。

升级维护方便:硬件TEE芯片及其内部运行的程序在出厂时被固化在智能手机等设备中,除非召回进行硬件替换,否则无法进行升级维护。比如,在本案例中的iPhone 5S即面临这个问题:苹果虽然意识到该款手机TEE出了安全问题,但也无法第一时间作出修复。而虚机源码保护的升级与维护与普通app无异,可以方便的通过软件更新的方式进行升级。

综上所述,虚机源码保护方案的安全级别完全可以媲美硬件级的保护方案,尤其是在没有硬件平台支持的条件下。纵然不能像苹果那样大规模投入做研发,可以通过虚机源码保护方案享受同样级别的安全。目前,顶象技术是全球能够极少数能够提供该方案的安全供应商之一,其方案广泛支持各类操作平台及IoT设备。

【编辑推荐】

  1. 尴尬!谷歌安全团队发现苹果OS及iOS系统内核漏洞
  2. 苹果iCloud云服务周一宕机 事故原因仍在调查之中
  3. 苹果激活锁功能可被长字符串溢出
  4. FortiGuard 实验室报告:全球受攻击的IoT设备呈指数级增长
  5. 可与Mirai比肩的恶意程序Hajime,竟是为了保护IoT设备?
【责任编辑:武晓燕 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

C++编程你也行

本书是一本优秀的C++教材,内容包括:基础类型、操作符和简单变量,循环和决策,命名空间和C++标准库,用C++编写函数,行为、序列点和求值...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊
× 学习达标赢Beats耳机