Uw smartphone heeft een speciale beveiligings-chip. Dit is hoe het werkt
De nieuwe Pixel 3-telefoons van Google hebben een 'Titan M'-beveiligingschip. Apple heeft iets vergelijkbaars met zijn "Secure Enclave" op iPhones. Samsung Galaxy-telefoons en andere Android-telefoons maken vaak gebruik van de TrustZone-technologie van ARM. Zo helpen ze je telefoon te beschermen.
De basis
Deze chips zijn eigenlijk kleine computers in je telefoon. Ze hebben verschillende processoren en geheugen en ze hebben hun eigen kleine besturingssystemen.
Het normale besturingssysteem van uw telefoon en de toepassingen die erop worden uitgevoerd, kunnen niet binnen het beveiligde gebied worden weergegeven. Dit beschermt het beveiligde gebied tegen manipulatie en laat het veilige gebied een verscheidenheid aan nuttige dingen doen.
Het is een afzonderlijke processor
De Secure Enclave maakt deel uit van de A-serie systeem-op-een-chip-hardware van Apple.Al deze chips werken op enigszins verschillende manieren. In de nieuwe Pixel-telefoons van Google is Titan M een echte fysieke chip die losstaat van de normale CPU van de telefoon.
Met Apple's Secure Enclave en ARM's TrustZone is de Secure Enclave of TrustZone technisch gezien geen andere "chip". In plaats daarvan is het een afzonderlijke, geïsoleerde processor die is ingebouwd in het hoofdsysteem van het apparaat-op-een-chip. Hoewel het is ingebouwd, heeft het nog steeds een afzonderlijke processor en geheugengebied. Zie het als een chip in de hoofdchip.
Hoe dan ook, of het nu gaat om Titan M, Secure Enclave of TrustZone, de chip is een afzonderlijke "coprocessor". Het heeft een eigen speciale geheugenruimte en een eigen besturingssysteem. Het is volledig geïsoleerd van al het andere.
Met andere woorden, zelfs als uw gehele Android- of iOS-besturingssysteem werd gehackt door malware en malware toegang tot alles had, zou het geen toegang kunnen krijgen tot de inhoud van het beveiligde gebied.
Hoe het uw telefoon beschermt
Apple's Secure Enclave bevat de sleutels van uw Face ID biometrische gegevens.De gegevens op uw telefoon worden gecodeerd op schijf opgeslagen. De sleutel die de gegevens ontgrendelt, wordt opgeslagen in het beveiligde gebied. Wanneer u uw telefoon ontgrendelt met uw pincode, wachtwoord, gezichts-ID of Touch ID, authenticeert de processor in het beveiligde gebied u en gebruikt uw sleutel om uw gegevens in het geheugen te decoderen.
Deze coderingssleutel verlaat nooit het beveiligde gebied van de beveiligingschip. Als een aanvaller probeert in te loggen door meerdere pincodes of wachtwoorden te raden, kan de beveiligde chip deze vertragen en een vertraging tussen pogingen afdwingen. Zelfs als die persoon het hoofdbesturingssysteem van uw apparaat had aangetast, zou de beveiligde chip hun pogingen tot toegang tot uw beveiligingssleutels beperken.
Op een iPhone of iPad slaat de Secure Enclave coderingssleutels op die uw gezicht (voor Face ID) of vingerafdruk (voor Touch ID) informatie beschermen. Zelfs iemand die je telefoon heeft gestolen en op de een of andere manier het belangrijkste iOS-besturingssysteem heeft gecompromitteerd, kan geen informatie over je vingerafdruk bekijken.
De Titan M-chip van Google kan ook gevoelige transacties in Android-apps beschermen. Apps kunnen de nieuwe "StrongBox KeyStore API" van Android 9 gebruiken om hun eigen privé-sleutels in Titan M te genereren en op te slaan. Google Pay zal dit binnenkort testen. Het kan ook worden gebruikt voor andere soorten gevoelige transacties, van stemmen tot het verzenden van geld.
iPhones werken op dezelfde manier. Apple Pay gebruikt de Secure Enclave, zodat de gegevens van uw betaalkaart veilig worden opgeslagen en verzonden. Apple laat ook apps op je telefoon hun sleutels opslaan in de Secure Enclave voor extra beveiliging. De Secure Enclave zorgt ervoor dat zijn eigen software door Apple is ondertekend voordat hij opstart, dus het kan niet worden vervangen door aangepaste software.
De TrustZone van ARM werkt op dezelfde manier als de Secure Enclave. Het gebruikt een beveiligd gedeelte van de hoofdprocessor om kritieke software uit te voeren. Beveiligingssleutels kunnen hier worden opgeslagen. De KNOX-beveiligingssoftware van Samsung werkt in het ARM TrustZone-gebied, dus het is geïsoleerd van de rest van het systeem. Samsung Pay gebruikt ook ARM TrustZone om veilig met creditcardinformatie om te gaan.
Op een nieuwe Pixel-telefoon beveiligt de Titan M-chip ook de bootloader. Wanneer u uw telefoon start, zorgt Titan M ervoor dat u de "laatst bekende veilige Android-versie" gebruikt. Iedereen met toegang tot uw telefoon kan u niet downgraden naar een oudere versie van Android met bekende veiligheidslekken. En de firmware op Titan M kan alleen worden bijgewerkt als je je toegangscode hebt ingevoerd, dus een aanvaller kan niet eens een kwaadwillende vervanging maken voor de firmware van Titan M.
Waarom uw telefoon een veilige processor nodig heeft
Samsung Pay maakt gebruik van ARM TrustZone en Samsung KNOX.Zonder een veilige processor en geïsoleerd geheugengebied staat uw apparaat veel meer open voor aanvallen. De beveiligde chip isoleert kritieke gegevens zoals coderingssleutels en betalingsinformatie. Zelfs als uw apparaat is gecompromitteerd, heeft malware geen toegang tot deze informatie.
Het veilige gebied geeft ook toegang tot uw apparaat. Zelfs als iemand uw apparaat heeft en zijn besturingssysteem vervangt door een gecompromitteerd systeem, laat de veilige chip niet toe dat ze een miljoen pincodes of wachtwoorden een seconde raden. Het vertraagt ze en vergrendelt ze uit je apparaat.
Wanneer u een mobiele portemonnee zoals Apple Pay, Samsung Pay of Google Pay gebruikt, kunnen uw betalingsgegevens veilig worden opgeslagen om ervoor te zorgen dat er geen schadelijke software op uw apparaat kan worden geopend..
Google doet ook een aantal interessante nieuwe dingen met de Titan M-chip, zoals het verifiëren van je bootloader en ervoor zorgen dat geen enkele aanvaller je besturingssysteem kan downgraden of je Titan M-firmware kan vervangen.
Zelfs een aanval in Spectur-stijl die een toepassing toestaat om geheugen te lezen dat er niet toe behoort, zou deze chips niet kunnen kraken, omdat de chips geheugen gebruiken dat volledig gescheiden is van het hoofdsysteemgeheugen.
Het beschermt uw telefoon op de achtergrond
Geen smartphone-gebruiker werkelijk moet weten over deze hardware, hoewel u zich hierdoor veiliger voelt wanneer u gevoelige gegevens zoals creditcards en online bankgegevens op uw telefoon bewaart.
Dit is gewoon coole technologie die stil werkt om je telefoon en gegevens te beschermen, waardoor je veiliger bent. Veel slimme mensen doen er alles aan om moderne smartphones te beveiligen en te beschermen tegen allerlei mogelijke aanvallen. En er gaat heel veel werk naar het zo moeiteloos maken van die beveiliging dat u er zelfs nooit over hoeft na te denken.
Afbeelding: Google, Poravute Siriphiroon / Shutterstock.com, Hadrian / Shutterstock.com, Samsung