資安專家揭露 iOS 與 Android 對機內資料加密的弱點
資安專家揭露 iOS 與 Android 對機內資料加密的弱點
約翰霍普金斯大學的資安研究團體,近期發表研究報告,指出 iOS 與 Android 對於機內資料的保護程度,在不同使用階段的弱點所在,並且揭露各種行動應用程式並未充分利用作業系統提供的保護機制,確實保護用戶個資,導致用戶可能面臨各種資料外洩的資安風險。 以 iOS 來說,研究報告指出,iOS 的資料加密,在用戶開機但尚未解鎖時,是屬於「完全保護模式」;用以解鎖加密資料的金鑰,會儲存在作業系統的深處,非常難以取得;但只要用戶透過密碼、指紋、臉孔辨識等方式解鎖手機,就會有許多金鑰被移動到較容易取用的「快速存取記憶區」中,即使手機再次上鎖,這些金鑰也會留在其中。 被放在快速存取記憶區中的金鑰,其受作業系統保護的程度就較弱;例如和以色列情治單位簽約,專門破解各種資訊裝置的 Cellebrite,與美國 Greyshift 公司,都擁有能在首次解鎖後取出資料的破解工具;當然更不用提各種枱面下的駭侵者。 雖然 Apple 在作業系統中,提供 App 開發者將金鑰放回深層保護區的選項,但研究人員發現,僅有銀行 app 等類型會真正實作此功能,絕大多數開發者,就任由金鑰留在快速存取記憶區中。 |