Il tuo smartphone ha un chip di sicurezza speciale. Ecco come funziona
I nuovi telefoni Pixel 3 di Google hanno un chip di sicurezza "Titan M". Apple ha qualcosa di simile con il suo "Secure Enclave" su iPhone. I telefoni Samsung Galaxy e altri telefoni Android utilizzano spesso la tecnologia TrustZone di ARM. Ecco come aiutano a proteggere il tuo telefono.
Le basi
Questi chip sono in pratica piccoli computer separati all'interno del telefono. Hanno diversi processori e memoria, e gestiscono i loro minuscoli sistemi operativi.
Il normale sistema operativo del telefono e le applicazioni in esecuzione su di esso non possono vedere all'interno dell'area protetta. Ciò protegge l'area protetta dalla manomissione e consente all'area protetta di svolgere una varietà di cose utili.
È un processore separato
Secure Enclave fa parte dell'hardware system-on-a-chip della serie A di Apple.Tutti questi chip funzionano in modi leggermente diversi. Nei nuovi telefoni Pixel di Google, Titan M è un vero chip fisico separato dalla normale CPU del telefono.
Con Secure Enclave di Apple e TrustZone di ARM, Secure Enclave o TrustZone non è tecnicamente un "chip" diverso. È invece un processore separato e separato integrato nel sistema principale su chip del dispositivo. Mentre è integrato, ha ancora un processore e un'area di memoria separati. Pensalo come un chip all'interno del chip principale.
In ogni caso, che si tratti di Titan M, Secure Enclave o TrustZone, il chip è un "coprocessore" separato. Ha una propria area speciale di memoria e gestisce il proprio sistema operativo. È completamente isolato da tutto il resto.
In altre parole, anche se l'intero sistema operativo Android o iOS fosse stato compromesso da malware e che il malware avesse accesso a tutto, non sarebbe stato in grado di accedere ai contenuti dell'area protetta.
Come protegge il tuo telefono
Secure Enclave di Apple detiene le chiavi dei dati biometrici di Face ID.I dati sul tuo telefono sono memorizzati su disco. La chiave che sblocca i dati è memorizzata nell'area protetta. Quando sblocchi il tuo telefono con il tuo PIN, password, ID viso o Touch ID, il processore all'interno dell'area protetta ti autentica e usa la tua chiave per decrittografare i tuoi dati in memoria.
Questa chiave di crittografia non lascia mai l'area protetta del chip di sicurezza. Se un utente malintenzionato sta tentando di accedere indovinando più PIN o password, il chip sicuro può rallentarli e imporre un ritardo tra i tentativi. Anche se quella persona avesse compromesso il sistema operativo principale del tuo dispositivo, il chip sicuro limiterebbe i loro tentativi di accedere alle tue chiavi di sicurezza.
Su un iPhone o iPad, Secure Enclave memorizza le chiavi di crittografia che proteggono le informazioni sul viso (per Face ID) o le impronte digitali (per Touch ID). Anche qualcuno che ha rubato il tuo telefono e in qualche modo compromesso il sistema operativo iOS principale non sarebbe in grado di visualizzare le informazioni sulla tua impronta digitale.
Il chip Titan M di Google può anche proteggere le transazioni sensibili nelle app Android. Le app possono utilizzare la nuova "StrongBox KeyStore API" di Android 9 per generare e archiviare le proprie chiavi private in Titan M. Google Pay lo testerà presto. Potrebbe anche essere utilizzato per altri tipi di transazioni sensibili, dal voto all'invio di denaro.
Gli iPhone funzionano allo stesso modo. Apple Pay utilizza Secure Enclave, quindi i dati della tua carta di pagamento vengono memorizzati e trasmessi in modo sicuro. Apple consente inoltre alle app sul telefono di archiviare le proprie chiavi in Secure Enclave per maggiore sicurezza. Secure Enclave assicura che il proprio software sia firmato da Apple prima dell'avvio, quindi non può essere sostituito con software modificato.
TrustZone di ARM funziona in modo molto simile a Secure Enclave. Utilizza un'area protetta del processore principale per eseguire software critico. Le chiavi di sicurezza possono essere memorizzate qui. Il software di sicurezza KNOX di Samsung viene eseguito nell'area ARM TrustZone, quindi è isolato dal resto del sistema. Samsung Pay utilizza anche ARM TrustZone per gestire in modo sicuro le informazioni sulle carte di pagamento.
Su un nuovo telefono Pixel, il chip Titan M protegge anche il bootloader. Quando avvii il telefono, Titan M ti garantisce di eseguire "l'ultima versione sicura per Android". Chiunque abbia accesso al tuo telefono non può eseguire il downgrade a una versione precedente di Android con noti buchi di sicurezza. E il firmware su Titan M non può essere aggiornato a meno che non si immetta il codice di accesso, quindi un utente malintenzionato non potrebbe nemmeno creare un sostituto dannoso per il firmware di Titan M.
Perché il tuo telefono ha bisogno di un processore sicuro
Samsung Pay utilizza ARM TrustZone e Samsung KNOX.Senza un processore sicuro e un'area di memoria isolata, il tuo dispositivo è molto più aperto agli attacchi. Il chip sicuro isola i dati critici come le chiavi di crittografia e le informazioni di pagamento. Anche se il tuo dispositivo è compromesso, il malware non può accedere a queste informazioni.
L'area protetta controlla inoltre l'accesso al tuo dispositivo. Anche se qualcuno ha il tuo dispositivo e sostituisce il suo sistema operativo con uno compromesso, il chip sicuro non permetterà loro di indovinare un milione di PIN o codici di accesso al secondo. Li rallenterà e li bloccherà dal tuo dispositivo.
Quando utilizzi un portafoglio mobile come Apple Pay, Samsung Pay o Google Pay, i dati di pagamento possono essere memorizzati in modo sicuro per garantire che nessun software dannoso in esecuzione sul tuo dispositivo possa accedervi.
Google sta anche facendo alcune cose interessanti con il chip Titan M, come l'autenticazione del tuo bootloader e assicurando che nessun utente malintenzionato possa eseguire il downgrade del tuo sistema operativo o sostituire il tuo firmware Titan M.
Anche un attacco in stile Spettro che consente a un'applicazione di leggere la memoria che non gli appartiene non sarebbe in grado di crackare questi chip, poiché i chip utilizzano una memoria completamente separata dalla memoria principale del sistema.
Protegge il tuo telefono in background
Nessun utente di smartphone veramente ha bisogno di sapere su questo hardware, anche se dovrebbe farti sentire più sicuro quando tieni dati sensibili come le carte di credito e i dettagli di banking online sul tuo telefono.
Questa è solo una tecnologia interessante che funziona silenziosamente per proteggere il telefono e i dati, mantenendoti più sicuro. Un sacco di persone intelligenti stanno mettendo un sacco di lavoro per proteggere gli smartphone moderni e proteggerli da tutti i tipi di possibili attacchi. E un sacco di lavoro contribuisce a rendere tale sicurezza così facile che non dovrai nemmeno pensarci.
Credito immagine: Google, Poravute Siriphiroon / Shutterstock.com, Hadrian / Shutterstock.com, Samsung