約翰·霍普金斯大學(xué)的研究人員發(fā)布了一份報(bào)告,重點(diǎn)介紹了Android和iOS智能手機(jī)加密中的所有漏洞,并解釋了執(zhí)法機(jī)構(gòu)如何利用這些漏洞進(jìn)入鎖定的設(shè)備。
該報(bào)告發(fā)布之時(shí),各國(guó)政府都在要求后門進(jìn)入,以在國(guó)家安全受到威脅的情況下克服設(shè)備加密來(lái)訪問(wèn)數(shù)據(jù)的問(wèn)題。
根據(jù)研究,進(jìn)入鎖定設(shè)備的方法已經(jīng)可以用于執(zhí)法,但前提是它們具有正確的知識(shí)和工具。這是因?yàn)閕OS和Android生態(tài)系統(tǒng)中存在安全漏洞。
這項(xiàng)研究由約翰·霍普金斯大學(xué)的馬克西米利安·津庫(kù)斯(Maximilian Zinkus),杜沙爾·喬伊斯(Tushar Jois)和馬修·格林(Matthew Green)進(jìn)行,結(jié)果表明,蘋果擁有一套“強(qiáng)大而引人注目的”安全保護(hù)和隱私控制措施,并以強(qiáng)大的加密技術(shù)為后盾。但是,由于這些工具未得到充分利用,因此嚴(yán)重缺乏覆蓋范圍,這使得執(zhí)法機(jī)構(gòu)和黑客可以隨意闖入。
“我們觀察到,內(nèi)置應(yīng)用程序所維護(hù)的大量敏感數(shù)據(jù)受到弱的‘首次解鎖后可用’(AFU)保護(hù)級(jí)別的保護(hù),該保護(hù)級(jí)別不會(huì)在手機(jī)鎖定時(shí)從內(nèi)存中清除解密密鑰。其影響是,可以從處于開(kāi)機(jī)狀態(tài)(但處于鎖定狀態(tài))的手機(jī)捕獲并進(jìn)行邏輯利用,從而訪問(wèn)來(lái)自蘋果內(nèi)置應(yīng)用程序的絕大多數(shù)敏感用戶數(shù)據(jù)?!?/p>
研究人員指出,云備份和服務(wù)也存在弱點(diǎn)。他們發(fā)現(xiàn)“ iCloud的許多違反直覺(jué)的功能增加了該系統(tǒng)的漏洞”。
研究人員還強(qiáng)調(diào)了在端到端加密云服務(wù)和iCloud備份服務(wù)的情況下Apple文檔的“模糊性”。
就Android智能手機(jī)而言,盡管該平臺(tái)具有強(qiáng)大的保護(hù)功能,尤其是在最新的旗艦設(shè)備上,但與蘋果相比,Android設(shè)備的安全性和隱私控制的支離破碎和不一致的性質(zhì)使它們更加脆弱。
這項(xiàng)研究還歸咎于Android設(shè)備更新速度慢,實(shí)際上是設(shè)備更新速度快以及其他各種軟件體系結(jié)構(gòu)問(wèn)題,這是導(dǎo)致Android手機(jī)漏洞率較高的主要原因。
“ Android沒(méi)有提供與Apple的完全保護(hù)(CP)加密類等效的功能,該類會(huì)在手機(jī)鎖定后不久從內(nèi)存中逐出解密密鑰。因此,“首次解鎖”后,Android解密密鑰始終會(huì)保留在內(nèi)存中,用戶數(shù)據(jù)可能很容易被法醫(yī)捕獲。
該報(bào)告還補(bǔ)充說(shuō),去優(yōu)先級(jí)化和端到端加密的有限使用也是錯(cuò)誤的。
研究人員指出了與Google服務(wù)(例如Drive,Gmail和Photos)的深度集成,因?yàn)檫@些應(yīng)用程序提供了可以輕松滲透的豐富用戶數(shù)據(jù)。
責(zé)任編輯:lq
-
密鑰
+關(guān)注
關(guān)注
1文章
134瀏覽量
19658 -
應(yīng)用程序
+關(guān)注
關(guān)注
37文章
3198瀏覽量
57361 -
生態(tài)系統(tǒng)
+關(guān)注
關(guān)注
0文章
694瀏覽量
20648
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論