นักวิจัยด้านความปลอดภัยได้แสดงให้เห็นว่าสถาปัตยกรรมการเข้ารหัสของสมาร์ทโฟน Android บนชิปเซ็ต Qualcomm มีความปลอดภัยน้อยกว่า iPhone มาก และเขาพิสูจน์มันด้วยการวางแผนโจมตี
บนสมาร์ทโฟนในปัจจุบัน ข้อมูลทั้งหมดจะถูกเข้ารหัสโดยอัตโนมัติตั้งแต่วินาทีแรกที่คุณตั้ง PIN แต่การเข้ารหัสนี้เป็นรูปธรรมจริงหรือ?เรื่องที่เกี่ยวข้องกับ Apple-FBIแสดงให้เห็นประสิทธิภาพสัมพัทธ์ของสถาปัตยกรรม iPhone คีย์ที่ใช้ในการเข้ารหัสข้อมูลได้มาจาก PIN ของผู้ใช้และคีย์ฮาร์ดแวร์เฉพาะที่สร้างขึ้นเมื่อผลิต iPhone ที่เรียกว่า UID
ในทางเทคนิคแล้วการดึงข้อมูลอย่างหลังออกมานั้นเป็นเรื่องยากมากในทางเทคนิค หากไม่ใช่ว่าเป็นไปไม่ได้ หากเราเชื่อว่า Apple ตำรวจจึงถูกบังคับให้ทำการโจมตีโดยใช้กำลังดุร้ายบนอุปกรณ์นั้นเอง โดยมีสิ่งกีดขวางทั้งหมด (จำกัดจำนวนครั้งที่พยายาม เพิ่มระยะเวลาระหว่างความพยายามแต่ละครั้ง การลบอัตโนมัติหลังจากพยายามครบจำนวนที่กำหนด เป็นต้น)
ทางด้านแอนดรอย
นักวิจัยด้านความปลอดภัย Gal Beniamini จึงพิจารณาสมาร์ทโฟน Android และโดยเฉพาะอย่างยิ่งคือสมาร์ทโฟนที่ติดตั้งชิปเซ็ต Qualcomm ตัวใดตัวหนึ่ง (ในบรรดาสมาร์ทโฟนที่แพร่หลายที่สุด)
การวิเคราะห์ของเขาเผยให้เห็นว่าระบบการเข้ารหัสลับนั้นไม่เหมือนกับของ iDevices เลย คีย์ที่ใช้ในการเข้ารหัสข้อมูลนั้นได้มาจาก PIN ของผู้ใช้และคีย์หลักของซอฟต์แวร์ซึ่งจัดเก็บไว้ในพื้นที่หน่วยความจำพิเศษของระบบที่เรียกว่า TrustZone ตามที่นักวิจัยกล่าวว่าโซลูชันนี้จำเป็นต้องมีความปลอดภัยน้อยกว่าเสมอไป
แฮกเกอร์ต้องใช้เวลาเพียงค้นหาข้อบกพร่องของซอฟต์แวร์ใน TrustZone เพื่อกู้คืนคีย์หลัก จากนั้นเขาสามารถแยกสำเนาของดิสก์ที่เข้ารหัสและดำเนินการโจมตีแบบ bruteforce อย่างเงียบๆ บนซูเปอร์คอมพิวเตอร์ หรือโจมตีบนเซิร์ฟเวอร์ของ Amazon หลายชุด หากล้มเหลว
มีแพตช์ให้ใช้งาน แต่ไม่จำเป็นต้องออก
นี่คือสิ่งที่ Gal Beniamini ทำอย่างแน่นอน เขาอาศัยข้อบกพร่องล่าสุดสองประการใน TrustZone เพื่อแยกคีย์หลัก จากนั้นเขาก็สร้างสคริปต์ Python เพื่อทำการโจมตีแบบ Brute Force และทดสอบบน Nexus 6 ของเขาเองได้สำเร็จ
ซอร์สโค้ดสำหรับการโจมตีมีอยู่ใน GitHub แน่นอนว่าข้อบกพร่องทั้งสองที่ใช้ได้รับการแก้ไขโดย Google และ Qualcomm แล้ว ปัญหาคือในโลกของ Android แพตช์มักจะใช้เวลาสักพักกว่าจะมาถึง เมื่อถูกตั้งคำถามโดย Ars Technica บริษัท Duo Security ประมาณการว่า 37% ของโทรศัพท์ Android ยังคงเสี่ยงต่อการโจมตีนี้
กล่าวโดยสรุป หากการเข้ารหัสข้อมูลบนสมาร์ทโฟนของคุณมีความสำคัญต่อคุณมาก ให้เลือก iPhone จะดีกว่า และหากเป็นไปไม่ได้ คุณยังสามารถแทนที่รหัส PIN ด้วยรหัสผ่านจริง ซึ่งหากยาวและซับซ้อนจะช่วยให้คุณสามารถป้องกันตนเองจากการโจมตีแบบดุร้ายได้อย่างมีประสิทธิภาพ แต่วิธีแก้ปัญหานี้สามารถทำได้เมื่อใช้ร่วมกับเครื่องอ่านลายนิ้วมือเท่านั้น การถูกบังคับให้ป้อนรหัสผ่านที่ยาวทุกครั้งที่คุณปลดล็อคนั้นเป็นสิ่งที่มนุษย์ไม่สามารถทนได้
แหล่งที่มา :
บันทึกบล็อก
อาท เทคนิคิกา
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
