背景知識
安卓手機太不安全了。我覺得敢在安卓手機上,使用手機銀行的算是勇者了吧。在安卓手機上,如果root了,基本上沒有祕密可言了。各大公司的APP,各個比較好用的APP或遊戲,都會獲取到很多遊戲。做研發的同事都明白,爲什麼開發個跟通訊錄一點關係沒有的軟件就要訪問通訊錄?微博,微信,360哪個不是?哪個程序都在後臺悄悄的運行着幾個線程。也許說的誇張,其實99%的android開發者應該都明白。相對來說,蘋果要好很多吧。
2013年,參加了軟件開發者大會。聽了《Android軟件安全與逆向分析》非蟲的演講和瞬間微博的賬號和密碼就能被讀取的演示。感覺安卓手機沒法用了。
非蟲給了幾點建議。
1.不要root自己的手機
2.從正規應用商店下載APP
相關新聞
2004年,ARM建立安全功能標準,推出TrustZone技術
2013年,王駿超: 基於Trustzone技術的手機安全平臺及移動支付方案
我拿什麼拯救
在任何一個系統,被很多技術屌絲熟悉之後。系統的安全性就很難保證了,尤其是純軟件的東西。所有的安全公司都在尋找着,一個救世主。不過基本都是最後把密鑰存儲到CPU中了事。單個硬件破解成本遠遠大於,重新購買一個新設備。索尼PSP、PSV的CPU,還有近幾年提出的“安全芯片”基本都是這樣的。由於現在的手機廠商都是SOC。所以,在不在CPU裏並不重要,一起掩模到SOC中。99%的破解者就不會朝這邊努力了。
安全芯片推廣有兩個難題,就是硬件一旦密鑰丟失,或者損壞,必須更換整個主板,成本是個問題;另外就是運行時,無法得到保證,無法擋住其他進程窺探(就像邊上色狼偷看MM)。
如果一個部分是黑盒,與網絡部分的通訊進行加密。基本上就算是很高的安全級別了。現實中的例子就是,遊戲客戶端與服務器中間加密傳輸,遊戲客戶端使用代碼擾亂或其他防止調試手段保護軟件被反編譯破解,再加上定期更新就非常安全了。其實TrustZone就是那個黑盒。
TrustZone出現了,救世主出現了。依靠ARM指定標準。各大廠商配合。未來前景一片大好。
我們看一下,用戶眼中的TrustZone。就是支付安全了,應用安全了,文件視頻也安全了。
我們在看看技術屌絲眼中的TrustZone。是不是各位美女覺得很專業?
有木有想了解這個神祕技術?有木有想了解一下,這個技術會不會改變這個世界?也許就會發生在不久的將來。
其實TrustZone技術已經包含在三星和蘋果的手機中了。GalaxyS3歐版和Iphone5s的SecureEnclave。
這個技術能找到的資料非常少。各位看官,不用浪費時間搜索了。等我慢慢揭開TrustZone的神祕面紗吧。