当前位置:首页 >银行 >

研究称苹果未能充分利用 iOS 安全机制 用户数据存在隐患

来源:Donews   2021-01-18 15:24:03

DoNews 1月18日消息(记者 刘文轩)三名来自约翰斯·霍普金斯大学的研究人员近期发表一份研究报告,指出苹果 iOS 中内置了强大的安全和隐私控制机制,但是为了兼顾使用便利,苹果没有充分利用这些机制,为黑客或执法机构制造了机会,让它们得以存取 iOS 用户的数据。

该团队的研究目的,是为了挖掘移动设备中预防数据未经授权存取的安全机制、可未经授权存取数据的途径,以及如何改善以预防未经授权的存取,研究对象分别是 iOS 和 Android 平台。

研究人员表示,他们在 iOS 系统发现了由强加密支持的强大安全及隐私控制机制,但苹果并未充份利用这些机制,例如在手机首次完成解锁的状态下,苹果只使用脆弱的防护等级来保护内置应用程序的数据。

除了 iOS 系统本身外,iCloud 把大量用户数据传输到苹果服务器的形式,同样可以让未经授权的黑客或执法机构远程存取。苹果采用安全处理器 SEP 来严格限制密码猜测攻击,但有证据显示,至少在 2018 年曾有黑客通过 GrayKey 工具破解了 SEP。

除此之外,虽然苹果的许多云端服务标榜采用端到端加密技术,强调只有用户才能存取云端数据,但研究人员发现,当使用 iCloud 备份服务时,某些加密服务的安全性会遭到破坏。

苹果在文件和用户设置中模糊了“加密”与“端到端加密”的界限,但实际上只有“端到端加密”才能做到只让用户存取,所以对于苹果究竟存取了哪些数据,一般用户很难自行判断。

相比之下,Android 平台的处境似乎更加复杂。研究人员发现,最新的 Android 旗舰机种可以提供强大的保护机制,但 Google 与 Android 设备厂商之间的脱节,导致软件更新进度参差不齐,使大多数 Android 手机的安全性和隐私控制机制不一致。

研究人员表示,虽然 Android 平台也具备加密机制,但保护等级并不如 iOS,例如它缺乏了 iOS 具备的完全保护加密等级,因此,在完成解锁的状态下,Android 密钥一直存放在机身存储空间,而可能被黑客获取。

虽然 Android 支持端到端加密备份服务,但必须由应用开发者主动开启才可以。Android 设备由不同厂商打造,在安全性上,很难共同协调,这也导致 Android 设备暴露的可攻击范围更大。

对于使用 Google 服务的 Android 设备来说,设备不止缺乏原生应用端到端加密,将 Android 数据传送到 Google 云服务时,Google 也没有采用端到端加密,使黑客有机会存取 Android 用户数据。

相关文章

猜你喜欢

TOP