背景知識
安卓手機太不安全了。我覺得敢在安卓手機上,使用手機銀行的算是勇者了吧。在安卓手機上,如果root了,基本上沒有秘密可言了。各大公司的APP,各個比較好用的APP或遊戲,都會擷取到很多遊戲。做研發的同僚都明白,為什麼開發個跟通訊錄一點關系沒有的軟體就要通路通訊錄?微網誌,微信,360哪個不是?哪個程式都在背景悄悄的運作着幾個線程。也許說的誇張,其實99%的android開發者應該都明白。相對來說,蘋果要好很多吧。
2013年,參加了軟體開發者大會。聽了《Android軟體安全與逆向分析》非蟲的演講和瞬間微網誌的賬号和密碼就能被讀取的示範。感覺安卓手機沒法用了。
非蟲給了幾點建議。
1.不要root自己的手機
2.從正規應用商店下載下傳APP
相關新聞
2004年,ARM建立安全功能标準,推出TrustZone技術
2013年,王駿超: 基于Trustzone技術的手機安全平台及移動支付方案
我拿什麼拯救
在任何一個系統,被很多技術屌絲熟悉之後。系統的安全性就很難保證了,尤其是純軟體的東西。所有的安全公司都在尋找着,一個救世主。不過基本都是最後把密鑰存儲到CPU中了事。單個硬體破解成本遠遠大于,重新購買一個新裝置。索尼PSP、PSV的CPU,還有近幾年提出的“安全晶片”基本都是這樣的。由于現在的手機廠商都是SOC。是以,在不在CPU裡并不重要,一起掩模到SOC中。99%的破解者就不會朝這邊努力了。
安全晶片推廣有兩個難題,就是硬體一旦密鑰丢失,或者損壞,必須更換整個主機闆,成本是個問題;另外就是運作時,無法得到保證,無法擋住其他程序窺探(就像邊上色狼偷看MM)。
如果一個部分是黑盒,與網絡部分的通訊進行加密。基本上就算是很高的安全級别了。現實中的例子就是,遊戲用戶端與伺服器中間加密傳輸,遊戲用戶端使用代碼擾亂或其他防止調試手段保護軟體被反編譯破解,再加上定期更新就非常安全了。其實TrustZone就是那個黑盒。
TrustZone出現了,救世主出現了。依靠ARM指定标準。各大廠商配合。未來前景一片大好。
我們看一下,使用者眼中的TrustZone。就是支付安全了,應用安全了,檔案視訊也安全了。
我們在看看技術屌絲眼中的TrustZone。是不是各位美女覺得很專業?
有木有想了解這個神秘技術?有木有想了解一下,這個技術會不會改變這個世界?也許就會發生在不久的将來。
其實TrustZone技術已經包含在三星和蘋果的手機中了。GalaxyS3歐版和Iphone5s的SecureEnclave。
這個技術能找到的資料非常少。各位看官,不用浪費時間搜尋了。等我慢慢揭開TrustZone的神秘面紗吧。