如今,每個人都在想加密,國會和聯邦調查局等當局試圖在特殊情況下繞過它,而技術行業則試圖守護它。
上週,一名安全研究人員發現了Android的完整磁盤加密中存在缺陷,似乎解密方法將震撼數字移動設備的安全性。
但是,芯片製造商Qualcomm確認,它早在2014年11月和2015年2月就向Google告知了Google的漏洞。在2016年1月和2016年,Google推出了補丁以解決這些問題,在遇到問題的消息和發送解決方案時遇到了一年以上的差距。
看起來如此漫長的延遲是與如此大的公司相距甚遠,但魔鬼在細節上。
為了很好地了解為什麼Google要到5月份發送第二個補丁,我們需要查看Android移動設備的複雜供應鏈,以及Android的安全基礎架構的方法。
Android vs. iPhone
用戶不斷將Android的手機與主要競爭對手Apple的手機進行比較。最大的區別在於,蘋果對其設備的製造具有鐵抓地力,而Android降落在數千台Google幾乎無法控制的設備上。
在這種情況下,看起來多樣化的供應鏈創造了可以通過Android的完整磁盤加密耕作的漏洞框架。
舊新聞
安全研究員Gal Beniamini裸露實施Android的完整磁盤加密時,幾個問題將為試圖解密Android移動設備打包高通公司的芯片的黑客鋪平道路。
沒有詳細介紹複雜過程的詳細信息,基本信息是:與將其加密密鑰存儲在硬件,Qualcomm攜帶Android設備中的iPhone相反店鋪軟件中的加密鍵。
Google通過Bug Bounty計劃響應他的信號來獎勵Beniamini。
高通公司指出,它通知了Google與Beniamini最近在2014年8月展示的相同問題。此外,OEM還提供了修補程序,以解決2014年11月和2015年2月的問題。
“即使他們在內部解決了問題,OEM也沒有應用修復程序,” Beniamini告訴TechCrunch。無論他們只是忘記還是完全錯過了它,它留出了猜測的空間。
目前尚不清楚為什麼Android花了很長時間才能提供解決方案,但是Android團隊很有可能意識到如何使用Beniamini所描述的漏洞。
研究表明,存在一些利用有效的情況。例如,如果設備未收到安全更新,如果高通公司將被迫與執法部門合作或設備降級。
安全不再是黑白
Android對安全性的看法也可能與釋放修復程序的漫長過程有關。與蘋果相反,Android採取了更細微的數字安全方法。
Android的安全負責人阿德里安·路德維格(Adrian Ludwig)在6月確認,安全界使用的“白色和黑色模型”將是黑色的,除非“我們接受“我們將有灰色的陰影”。
