TrustZone——Android的救星?
背景知识
安卓手机太不安全了。我觉得敢在安卓手机上,使用手机银行的算是勇者了吧。在安卓手机上,如果root了,基本上没有秘密可言了。各大公司的APP,各个比较好用的APP或游戏,都会获取到很多游戏。做研发的同事都明白,为什么开发个跟通讯录一点关系没有的软件就要访问通讯录?微博,微信,360哪个不是?哪个程序都在后台悄悄的运行着几个线程。也许说的夸张,其实99%的android开发者应该都明白。相对来说,苹果要好很多吧。
2013年,参加了软件开发者大会。听了《Android软件安全与逆向分析》非虫的演讲和瞬间微博的账号和密码就能被读取的演示。感觉安卓手机没法用了。
非虫给了几点建议。
1.不要root自己的手机
2.从正规应用商店下载APP
相关新闻
2004年,ARM建立安全功能标准,推出TrustZone技术
2013年,王骏超: 基于Trustzone技术的手机安全平台及移动支付方案
我拿什么拯救
在任何一个系统,被很多技术屌丝熟悉之后。系统的安全性就很难保证了,尤其是纯软件的东西。所有的安全公司都在寻找着,一个救世主。不过基本都是最后把密钥存储到CPU中了事。单个硬件破解成本远远大于,重新购买一个新设备。索尼PSP、PSV的CPU,还有近几年提出的“安全芯片”基本都是这样的。由于现在的手机厂商都是SOC。所以,在不在CPU里并不重要,一起掩模到SOC中。99%的破解者就不会朝这边努力了。
安全芯片推广有两个难题,就是硬件一旦密钥丢失,或者损坏,必须更换整个主板,成本是个问题;另外就是运行时,无法得到保证,无法挡住其他进程窥探(就像边上色狼偷看MM)。
如果一个部分是黑盒,与网络部分的通讯进行加密。基本上就算是很高的安全级别了。现实中的例子就是,游戏客户端与服务器中间加密传输,游戏客户端使用代码扰乱或其他防止调试手段保护软件被反编译破解,再加上定期更新就非常安全了。其实TrustZone就是那个黑盒。
TrustZone出现了,救世主出现了。依靠ARM指定标准。各大厂商配合。未来前景一片大好。
我们看一下,用户眼中的TrustZone。就是支付安全了,应用安全了,文件视频也安全了。
我们在看看技术屌丝眼中的TrustZone。是不是各位美女觉得很专业?
有木有想了解这个神秘技术?有木有想了解一下,这个技术会不会改变这个世界?也许就会发生在不久的将来。
其实TrustZone技术已经包含在三星和苹果的手机中了。GalaxyS3欧版和Iphone5s的SecureEnclave。
这个技术能找到的资料非常少。各位看官,不用浪费时间搜索了。等我慢慢揭开TrustZone的神秘面纱吧。