研究称苹果未能充分利用 iOS 安全机制 用户数据存在隐患

三名来自约翰斯·霍普金斯大学的研究人员近期发表一份研究报告,指出苹果 iOS 中内置了强大的安全和隐私控制机制,但是为了兼顾使用便利,苹果没有充分利用这些机制,为黑客或执法机构制造了机会,让它们得以存取 iOS 用户的数据。

该团队的研究目的,是为了挖掘移动设备中预防数据未经授权存取的安全机制、可未经授权存取数据的途径,以及如何改善以预防未经授权的存取,研究对象分别是 iOS 和 Android 平台。

研究人员表示,他们在 iOS 系统发现了由强加密支持的强大安全及隐私控制机制,但苹果并未充份利用这些机制,例如在手机首次完成解锁的状态下,苹果只使用脆弱的防护等级来保护内置应用程序的数据。

andreas-haslinger-iD6mmn89YX4-unsplash.jpg

除了 iOS 系统本身外,iCloud 把大量用户数据传输到苹果服务器的形式,同样可以让未经授权的黑客或执法机构远程存取。苹果采用安全处理器 SEP 来严格限制密码猜测攻击,但有证据显示,至少在 2018 年曾有黑客通过 GrayKey 工具破解了 SEP。

除此之外,虽然苹果的许多云端服务标榜采用端到端加密技术,强调只有用户才能存取云端数据,但研究人员发现,当使用 iCloud 备份服务时,某些加密服务的安全性会遭到破坏。

苹果在文件和用户设置中模糊了“加密”与“端到端加密”的界限,但实际上只有“端到端加密”才能做到只让用户存取,所以对于苹果究竟存取了哪些数据,一般用户很难自行判断。

mika-baumeister-DsJw-V-Wz-4-unsplash.jpg

相比之下,Android 平台的处境似乎更加复杂。研究人员发现,最新的 Android 旗舰机种可以提供强大的保护机制,但 Google 与 Android 设备厂商之间的脱节,导致软件更新进度参差不齐,使大多数 Android 手机的安全性和隐私控制机制不一致。

研究人员表示,虽然 Android 平台也具备加密机制,但保护等级并不如 iOS,例如它缺乏了 iOS 具备的完全保护加密等级,因此,在完成解锁的状态下,Android 密钥一直存放在机身存储空间,而可能被黑客获取。

虽然 Android 支持端到端加密备份服务,但必须由应用开发者主动开启才可以。Android 设备由不同厂商打造,在安全性上,很难共同协调,这也导致 Android 设备暴露的可攻击范围更大。

对于使用 Google 服务的 Android 设备来说,设备不止缺乏原生应用端到端加密,将 Android 数据传送到 Google 云服务时,Google 也没有采用端到端加密,使黑客有机会存取 Android 用户数据。

发表评论