×
Faux Disk Encryption: Шифрование диска не панацея от атак

Шифрование диска на мобильном устройстве даже близко не так безопасно, как в это верят, а Android предлагает менее детальный контроль, чем iOS, в соответствии с мнением исследователей по безопасности из NCC Group.

 

Даниель Майер и Дрю Суарез развенчали некоторые популярные, но недостоверные убеждения о криптозащите смартфонов, а также представили сравнение между iOS и Android во время своей презентации на конференции Black Hat Europe в Амстердаме на прошлой неделе.

 

Доклад Faux Disk Encryption: Realities of Secure Storage on Mobile Devices раскрыл реалии, известные только компьютерным криминалистам, немного ИТ-сообществу и еще меньше широкой общественности. В частности, доклад обратил внимание на опасности, возникающие в связи с потерей или кражей устройств.

 

С одной стороны, криптоключи хранятся в памяти, если смартфон работает, что означает, что злоумышленники с физическим доступом к устройству смогут записать  информацию. Хотя защищенные с помощью секретного кода iPhone имеют надежную защиту, привязанную к физическим компонентам, все-таки имеет смысл защитить данные, прежде чем их смогут прочесть. В этом случае злоумышленнику придется ввести код для получения доступа к этой информации, даже если у него в руках работающее устройство.

 

Суарез объяснил, что фрагментация на Android создает дополнительные риски по безопасности на мобильном устройстве сверх тех, что были найдены у iOS. Целевое устройство не может быть полностью исправлено с помощью патчей. К тому же не все процессы загрузки в системе Android  не имеют подписки. Это дает возможность злоумышленникам создать бэкдор для прошивки Android и посадить его на устройство, к которому имеется физический доступ. Эта уязвимость полностью отсутствует на таких устройствах, как iPhone и iPad, так как код в их системе имеет сертификат подписки (codesigning).

 

Последняя версия Android (Marshmallow 6.0) снизила несколько имеющихся рисков, так что, возможно, наибольшим риском является то, что многие производители мобильных приложений не воспользуются системой защиты, встроенной в Android. В соответствии со словами Суареза, более 50 процентов ошибаются в этой категории.

 

Это важно, потому что в традиционных браузер-серверных приложениях данные обычно хранятся на стороннем сервере, где жесткий контроль может быть обеспечен. Напротив, многие мобильные приложения кэшируют данные на локальном устройстве, подвергая его таким образом новым возможным атакам. Кроме того, хранящиеся локально данные часто включают маркеры проверки подлинности, которые хранятся в памяти дольше, чем браузерные приложения.

 

Потеря или кража устройства, которая дает злоумышленнику физический контроль над устройством, может быть использована, чтобы обойти защиту безопасности и получить доступ к данным. Исследование далеко от теоретического. Майер и Суарез сказали The Register, что проблемы с потерянными смартфонами уже вызывали проблемы у клиентов NCC Group.

 

Цель доклада – помочь разработчикам мобильных приложений лучше понять риски и принять шаги по обеспечению безопасности данных приложений, а также развенчать популярные заблуждения о так называемом full-disk encryption, который, как предупреждают исследователи, не имеет значения для большинства сценариев атак. Более безопасные методы хранения доступны на обеих платформах, которые следует рассмотреть, хотя они и могут потребовать некоторых компромиссов юзабилити и не подходят для всех вариантов использования.

 

Техническое описание исследования доступно по ссылке. Презентация исследователей на 70 слайдах раскроет больше подробностей тут. Видео ранней версии доклада с конференции Black Hat US смотрите ниже.

 

 

Перевод: Ксения Манасова

 

Оригинал фото: forbes