Din smarttelefon har en spesiell sikkerhetschip. Slik fungerer det
Googles nye Pixel 3-telefoner har en "Titan M" sikkerhetsbrikke. Apple har noe lignende med sin "Secure Enclave" på iPhone. Samsungs Galaxy-telefoner og andre Android-telefoner bruker ofte ARMs TrustZone-teknologi. Slik hjelper de med å beskytte telefonen din.
Det grunnleggende
Disse sjetongene er i utgangspunktet skille små datamaskiner inne i telefonen. De har forskjellige prosessorer og minne, og de driver sine egne små operativsystemer.
Telefonens vanlige operativsystem og programmene som kjører på det, kan ikke sees innenfor det sikre området. Dette beskytter det sikre området fra manipulering og lar det sikre området gjøre en rekke nyttige ting.
Det er en separat prosessor
Secure Enclave er en del av Apples A-serie system-on-a-chip-maskinvare.Alle disse sjetongene fungerer på litt forskjellige måter. I Googles nye Pixel-telefoner er Titan M en faktisk fysisk chip som er skilt fra telefonens normale CPU.
Med Apples Secure Enclave og ARMs TrustZone er Secure Enclave eller TrustZone ikke teknisk en annen "chip". I stedet er det en separat, isolert prosessor som er innebygd i enhetens hovedsystem-på-en-chip. Mens den er innebygd, har den fortsatt en egen prosessor og et område med minne. Tenk på det som en chip inne i hovedbrikken.
Uansett, enten det er Titan M, Secure Enclave eller TrustZone-brikken er en separat "coprocessor". Den har sitt eget spesielle område med minne og driver sitt eget operativsystem. Det er helt isolert fra alt annet.
Med andre ord, selv om hele ditt Android- eller IOS-operativsystem ble skadet av skadelig programvare og at skadelig programvare hadde tilgang til alt, ville det ikke være i stand til å få tilgang til innholdet i det sikre området.
Hvordan det beskytter telefonen
Apples sikre Enclave inneholder nøklene til ansikts-ID-biometriske data.Dataene på telefonen din er lagret kryptert på disken. Nøkkelen som låser opp dataene, lagres i det sikre området. Når du låser opp telefonen din med PIN-kode, passord, ansikts-ID eller berørings-ID, godkjenner prosessoren i det sikre området deg og bruker nøkkelen til å dekryptere dataene dine i minnet.
Denne krypteringsnøkkelen forlater aldri sikkerhetsbrikkenes sikre område. Hvis en angriper prøver å logge på ved å gjette flere PIN-koder eller passord, kan den sikre brikken senke dem og håndheve en forsinkelse mellom forsøk. Selv om personen hadde skadet enhetens hovedoperativsystem, ville sikkerhetsbrikken begrense forsøkene sine på å få tilgang til sikkerhetsnøklene dine.
På en iPhone eller iPad lagrer Secure Enclave krypteringsnøkler som beskytter ansiktet ditt (for Face ID) eller fingeravtrykk (for Touch ID) -informasjon. Selv noen som stjal telefonen og på en eller annen måte kompromitterte det viktigste iOS-operativsystemet, kunne ikke se informasjon om fingeravtrykk.
Googles Titan M-chip kan også beskytte sensitive transaksjoner i Android-apper. Apper kan bruke Android 9s nye "StrongBox KeyStore API" for å generere og lagre egne private nøkler i Titan M. Google Pay vil teste dette ut snart. Den kan også brukes til andre typer sensitive transaksjoner, fra å stemme til å sende penger.
iPhones fungerer på samme måte. Apple Pay bruker Secure Enclave, så detaljene på betalingskortet lagres og overføres sikkert. Apple lar apper på telefonen din også lagre nøklene i Secure Enclave for å få ekstra sikkerhet. Secure Enclave sikrer at egen programvare er signert av Apple før oppstart, slik at den ikke kan erstattes med endret programvare.
ARMs TrustZone fungerer på samme måte som Secure Enclave. Den bruker et sikkert område av hovedprosessoren for å kjøre kritisk programvare. Sikkerhetsnøkler kan lagres her. Samsungs KNOX-sikkerhetsprogramvare kjører i ARM TrustZone-området, så det er isolert fra resten av systemet. Samsung Pay bruker også ARM TrustZone til å håndtere betalingskortinformasjon sikkert.
På en ny Pixel-telefon sikrer Titan M-brikken oppstartslasteren. Når du starter telefonen, sikrer Titan M at du kjører "sist kjente, sikre Android-versjonen." Alle som har tilgang til telefonen, kan ikke nedgradere deg til en eldre versjon av Android med kjente sikkerhetshull. Og fastvaren på Titan M kan ikke oppdateres med mindre du oppgir passordet ditt, slik at en angriper ikke engang kan skape en skadelig erstatning for Titan Ms firmware.
Hvorfor telefonen trenger en sikker prosessor
Samsung Pay bruker ARM TrustZone og Samsung KNOX.Uten en sikker prosessor og et isolert minneområde, er enheten din mye mer åpen for angrep. Den sikre brikken isolerer kritiske data som krypteringsnøkler og betalingsinformasjon. Selv om enheten din er skadet, kunne ikke malware få tilgang til denne informasjonen.
Det sikre området gir også tilgang til enheten din. Selv om noen har enheten og erstatter operativsystemet med en kompromittert, vil den sikre brikken ikke la dem gjette en million PIN-kode eller passord et sekund. Det vil dempe dem og låse dem ut av enheten.
Når du bruker en mobil lommebok som Apple Pay, Samsung Pay eller Google Pay, kan betalingsopplysningene dine lagres sikkert for å sikre at ingen skadelig programvare som kjører på enheten, får tilgang til dem.
Google gjør også noen interessante nye ting med Titan M-brikken, for eksempel å autentisere bootloaderen din, og at ingen angriper kan nedgradere operativsystemet eller erstatte Titan M-firmware.
Selv et Specter-stil angrep som lar et program lese minne som ikke tilhører det, ville ikke kunne knekke disse sjetongene, da sjetongene bruker minne som er helt skilt fra hovedsystemminne.
Det beskytter telefonen i bakgrunnen
Ingen smarttelefon bruker egentlig trenger å vite om denne maskinvaren, selv om den burde få deg til å føle deg tryggere når du holder følsomme data som kredittkort og nettbankinformasjon på telefonen din.
Dette er bare kul teknologi som fungerer stille for å beskytte telefonen og dataene dine, slik at du sikrere. Mange smarte mennesker legger mye arbeid i å sikre moderne smarttelefoner og beskytte dem mot alle mulige angrep. Og mye arbeid går i å gjøre sikkerheten så enkel at du aldri en gang må tenke på det også.
Bildekreditt: Google, Poravute Siriphiroon / Shutterstock.com, Hadrian / Shutterstock.com, Samsung