相比人盡皆知的電腦病毒,智能手機上的病毒遠遠沒有這麼高調。但其實早在十幾年前,當時主流的塞班智能手機上就出現過病毒的蹤迹。隻是當時的病毒通常隻是單純的破壞手機系統,并不會對使用者造成更多的經濟損失。再加上那時候的手機并沒有今天這樣功能豐富,病毒的傳播路徑也相對較少,是以隻要不去下載下傳那些來路可疑的應用,病毒就無計可施了。
而當安卓取代塞班成為智能手機的主流作業系統後,新的問題很快就凸顯出來了。首先,作為以聯網和觸摸互動作為重要特征的作業系統,浏覽器在安卓系統中的重要性被大大提升了。不少應用都是基于網頁代碼來編寫,運作時持續從伺服器上下載下傳資料,再在本地進行呈現,大多數人日常使用的淘寶就是一個典型的例子。而這樣的設計就意味着安卓系統天生就面臨着更多來自網際網路的惡意網頁代碼攻擊。
同時安卓系統與同時期的iOS、Windows Phone等系統相比擁有更高的開放性。例如我們可以輕松通過網頁去安裝第三方App。這也就意味着各種盜版軟體、甚至是僞裝的病毒應用,也就有了被使用者自行“裝”進手機的可能。再加上早期安卓系統在權限管理方面的羸弱,讓心懷不軌的應用可以為所欲為。
而随着移動網際網路的快速發展,每個人都開始越來越頻繁地使用智能手機來記錄日常生活,這也意味着手機中存儲了比過去更多的個人隐私資訊,針對這些資料所進行的窺探和盜竊也越來越多。
更不用說,如今“使用者資料”本身也已成為黑産人士眼中的寶藏。為了能夠擷取更多的使用者資訊,哪怕是“正經”應用也普遍存在過度擷取系統權限、頻繁收集使用者使用習慣,甚至“偷窺”剪貼闆、“偷用”攝像頭、“偷偷啟動”其他應用等行為。
01 骁龍的進化史,正是智能手機安全性不斷提升的縮影
面對安卓時代智能手機更為嚴峻的安全風險,各大廠商自然也不會坐以待斃。以Google為首的通過增強權限控制,優化系統架構來提升安全性。而在更加底層的硬體部分,高通無疑是最早做出實質性反應的上遊廠商之一。
2015年年底,高通正式釋出骁龍820平台。雖然大家都知道其首發搭載了高通自研的Kyro CPU架構,但有些朋友可能不知道的是,骁龍820還内置了行業中的第一款NPU——Zeroth。
不過不同于現在的NPU被用來進行影像處理,Zeroth上運作了高通的Smart Protect技術,通過先進的、基于機器學習的行為分析來實作偵測。它将實時分析終端應用的實際行為,即時偵測所有可疑或異常行為并對其進行分類,最終達到零時差 (Zero-Day) 偵測病毒、惡意軟體的效果,而且可以離線運作。
2017年推出的骁龍835內建了Qualcomm Haven安全平台,包含了内容保護、惡意軟體檢測、防盜、身份驗證等4大方面的安全特性。此時的Android旗艦已經可以讓虹膜、人臉等敏感資訊存放在SoC的TrustZone并與系統隔離。而與FIDO聯盟、騰訊等廠商的合作,也為指紋和虹膜移動支付鋪平了道路;
當然,高通對于智能手機的安全加強還在繼續。2017年與2018年底,骁龍845和骁龍855先後亮相,而它們在安全性方面的顯著改進,就在于高通首次實作了SoC内內建一個獨立的安全處理單元(Secure Processing Unit,簡稱SPU)。事實上,SPU本質上可以視作一套完整的“小電腦”,它擁有自己的CPU、記憶體和磁盤空間,可以完全獨立于SoC運作。如此一來,所有的加密、認證計算,以及密鑰存儲工作全部轉移到了SPU中獨立運作,不僅解放了CPU的算力,還大幅強化了安全性。
值得一提的是,2019年6月,骁龍855的SPU元件還獲得了智能卡硬體安全保證與測試的最高等級認證——通用評估準則EAL4+級安全認證(Common Criteria EAL4+),這也代表着它的安全加密性能完全達到了“企業級”的需求。該國際認證讓骁龍855成為首款具有達到智能卡級别安全性核心的移動SoC。在此基礎上,高通和合作夥伴還聯合展示了內建式SIM卡(iSIM)——無需添加額外的安全晶片,即可在手機上實作離線支付、可信平台子產品(TPM)功能、轉賬、電子身份和加密錢包等功能。
2019年年底,至今還被許多使用者稱道的骁龍865正式上市。而它也第一時間成為了當時安卓陣營的安全标杆,在行業内率先支援了Android 11的安全憑證API,即使安裝了惡意軟體,資料也不會被複制到安全區以外。
2020年底随着骁龍888的登場,高通為智能手機的安全防護帶來了全新思路。全新的Type-1 Hypervisor技術讓基于骁龍888的手機,真正從硬體底層上支援了多套作業系統、不同應用運作環境之間的完全隔離和瞬間切換。
02 智能手機的強大安全能力,由骁龍8驅動
對于商務人士來說,隐私資訊的安全至關重要。輕則影響個人财産安全,重則洩露商業機密,是以選擇一款足夠安全的手機十分重要。近期,vivo推出了旗艦機型vivo X Fold與X Note,作為面向商務人士的産品,兩款機型在隐私安全方面都下了不少功夫。而在這些功能背後,都有着其搭載的骁龍8處理器的身影。
vivo X Note
為了保障使用者的隐私安全,vivo X Fold與vivo X Note選擇在安全性上進一步提升的全新一代骁龍8移動平台作為手機的核心。骁龍8采用高通深度防禦政策,通過整合一系列安全技術,全面覆寫運算、處理、存儲等環節,達到抵禦主動及被動攻擊的效果。這套政策的核心是骁龍8所搭載的專用信任管理引擎(Trust Management Engine),其基于硬體且不對外開放,能夠實作更高安全性,并為應用和服務提供額外信任根(Root of Trust)。骁龍8也是首個采用專用信任管理引擎的移動平台。
在專用信任管理引擎之上,是骁龍8擁有的三大可信執行環境——高通可信執行環境(QTEE)、高通安全處理單元(SPU)和DSP安全區域(面部識别等)。其中vivo在軟體端對骁龍8的SPU進行深度挖掘與适配,實作全功能設計,從軟體底層入手,搭建了千鏡安全架構,全方位提升安全隐私保護能力。它遍布于裝置的每次運算中,從晶片、核心、架構和應用4個層級,全方位覆寫手機的運作安全。
在核心層和架構層上,千鏡架構時刻保障着系統的正确運作能力,對應用行為進行管制和記錄,基于骁龍8的SPU搭建獨立資料隔離沙盒,保證使用者資訊不被洩漏。 在應用層裡,vivo建構了可信環境互動、隐私防跟蹤、隐私防洩漏三大能力,數十種隐私功能,包括原子隐私系統、模糊地理位置等等都內建在這三大能力當中,讓使用者做到可感、可知、可控。
系統層面上,OriginOS Ocean所搭載的原子隐私系統則利用了骁龍8處理器所支援的Hypervisor技術,通過硬體級的雙系統能力,為使用者提供一套系統級的隐私加密解決方案——原子隐私系統,可以實作本地存儲、無痕浏覽、資料隔離、背景防護等功能。
以往大家在部分機型看到的“雙系統”、“兒童模式”等技術,大多是基于軟體層面的解決方案來實作,雖然也有一定的安全性,但畢竟缺失了底層硬體的配合。而有了骁龍8處理器的Hypervisor技術後,原子隐私系統真正實作了從硬體到軟體的全棧打通,大大提升安全性。
日常生活中,越來越多的各類賬戶讓管理密碼成了一件大麻煩。單憑自己的記憶難免會出錯,記錄下來又擔心會被洩露。vivo X Fold與X Note在系統中內建了基于骁龍8 SPU定制開發的密碼保險箱功能,使用受硬體保護的密鑰在SPU内加密使用者密碼。可以覆寫網購、辦公、娛樂等應用,凡是開啟密碼自動填充功能的密碼,均可受到硬體級安全守護。在将自己從記密碼的痛苦中解放出來的同時,也能保證密碼的安全。
03 總結
從最初的“裸奔”,到使用者的安全意識慢慢覺醒,再到目前智能手機從系統、晶片底層等全方位的安全技術加強。可以說智能手機安全設計的發展,一方面展現出手機在我們日常生活中地位不斷提升,承載的私密資訊越來越多;另一方面也反映了各大廠商與惡意軟體之間的不斷鬥争。
骁龍處理器發展到現在,一代代的安全改進或許并不像性能提升那樣引人注意,但如果沒有這些安全設計,那麼我們現在可能就不會有移動支付、不會有手機公交卡、不會有如此豐富的智能生活和移動計算體驗。而高通作為智能手機出色使用體驗的推動者,相信其也将不斷努力,讓我們手中的智能手機更安全。