研究发现许多iOS加密措施实际上未被使用

移动开发
据约翰-霍普金斯大学的密码学家称,iOS并没有尽可能多地利用内置的加密措施,从而出现了潜在的不必要的安全漏洞。利用苹果和谷歌的公开文档、关于绕过移动安全功能的执法报告以及他们自己的分析,密码学家们评估了iOS和Android加密的稳健性。研究发现,虽然iOS上的加密基础设施听起来真的很好,但它基本上没有被使用。

据约翰-霍普金斯大学的密码学家称,iOS并没有尽可能多地利用内置的加密措施,从而出现了潜在的不必要的安全漏洞。利用苹果和谷歌的公开文档、关于绕过移动安全功能的执法报告以及他们自己的分析,密码学家们评估了iOS和Android加密的稳健性。研究发现,虽然iOS上的加密基础设施听起来真的很好,但它基本上没有被使用。

尤其是在iOS上,这种分层加密的基础设施已经到位,听起来真的很不错,但研究人员当时看到它有多少未被使用时感到非常惊讶。当iPhone启动时,所有存储的数据都处于完全保护状态,用户必须在解密任何东西之前解锁设备。虽然这样做非常安全,但研究人员强调,一旦设备在重启后首次解锁,大量数据就会进入苹果所谓的 "在首次用户认证前受保护 "的状态。

由于设备很少重启,所以大部分数据在大部分时间都处于"在首次用户认证前受保护 "的状态,而不是 "完全保护"。这种不太安全状态的好处是,解密密钥存储在快速访问内存中,可以被应用程序迅速访问。理论上,攻击者可以找到并利用iOS系统中某些类型的安全漏洞来获取快速访问内存中的加密密钥,使其能够解密设备中的大量数据。相信这也是许多智能手机破解访问工具的工作原理,比如取证访问公司Grayshift的工具。

虽然攻击者确实需要特定的操作系统漏洞才能获取密钥,而且苹果和谷歌在发现这些漏洞时都会打上许多补丁,但通过将加密密钥隐藏得更深,这可能是可以避免的。约翰-霍普金斯大学的密码学家马修-格林表示:"这真的让我很震惊,因为我开始这个项目时,认为这些手机真的很好地保护了用户数据,现在我从这个项目中走出来,认为几乎没有任何东西得到保护。那么,既然这些手机实际提供的保护如此糟糕,我们为什么需要一个执法后门呢?"

研究人员还直接与苹果公司分享了他们的发现和一些技术建议。苹果公司发言人对此进行了公开声明:"苹果设备设计有多层安全防护措施,以抵御各种潜在的威胁,我们不断努力为用户数据增加新的保护措施。随着客户在设备上存储的敏感信息量不断增加,我们将继续在硬件和软件上开发更多的保护措施来保护他们的数据。"

该发言人还向Wired表示,苹果安全工作主要集中在保护用户免受黑客、小偷和想窃取个人信息犯罪分子的攻击。他们还指出,研究人员强调的攻击类型开发成本非常高,需要对目标设备进行物理访问,并且只有在苹果发布补丁之前才能发挥作用。苹果还强调,其对iOS的目标是平衡安全性和便利性。

 

[[376165]]

 

 

责任编辑:未丽燕 来源: 今日头条
相关推荐

2018-10-24 17:50:42

备份

2020-10-14 10:56:15

WPS魔方网表

2023-01-13 13:29:33

量子研究

2021-02-23 14:56:12

数据库存储索引

2024-01-17 16:56:07

CIO混合云微服务

2015-04-01 11:36:25

SQL Server索SQL Server调数据库索引

2023-06-12 08:25:33

2018-10-09 11:27:14

物联网RFID模拟传感器

2021-10-22 15:58:11

网络安全网络攻击恶意程序

2020-10-14 15:07:50

云有云企业转型部署

2021-04-25 21:33:05

Windows 10Windows操作系统

2023-07-13 13:19:03

2024-08-08 08:38:34

JavaScriptforEach循环

2020-11-24 11:08:30

物联网大数据IOT

2021-11-18 10:37:28

加密挖矿加密货币安全观察

2022-10-11 11:18:41

漏洞CTurt

2013-03-28 10:34:29

2014-03-06 14:08:11

2017-07-11 17:15:42

Oracle索引

2023-04-07 15:56:27

物联网工业革命
点赞
收藏

51CTO技术栈公众号