研究称苹果未能充分利用iOS安全机制 用户数据存在隐患

原标题:研究称苹果未能充分利用iOS安全机制用户数据存在隐患

DoNews1月18日消息(记者刘文轩)三名来自约翰斯·霍普金斯大学的研究人员近期发表一份研究报告,指出苹果iOS中内置了强大的安全和隐私控制机制,但是为了兼顾使用便利,苹果没有充分利用这些机制,为黑客或执法机构制造了机会,让它们得以存取iOS用户的数据。

该团队的研究目的,是为了挖掘移动设备中预防数据未经授权存取的安全机制、可未经授权存取数据的途径,以及如何改善以预防未经授权的存取,研究对象分别是iOS和Android平台。

研究人员表示,他们在iOS系统发现了由强加密支持的强大安全及隐私控制机制,但苹果并未充份利用这些机制,例如在手机首次完成解锁的状态下,苹果只使用脆弱的防护等级来保护内置应用程序的数据。

除了iOS系统本身外,iCloud把大量用户数据传输到苹果服务器的形式,同样可以让未经授权的黑客或执法机构远程存取。苹果采用安全处理器SEP来严格限制密码猜测攻击,但有证据显示,至少在2018年曾有黑客通过GrayKey工具破解了SEP。

除此之外,虽然苹果的许多云端服务标榜采用端到端加密技术,强调只有用户才能存取云端数据,但研究人员发现,当使用iCloud备份服务时,某些加密服务的安全性会遭到破坏。

苹果在文件和用户设置中模糊了“加密”与“端到端加密”的界限,但实际上只有“端到端加密”才能做到只让用户存取,所以对于苹果究竟存取了哪些数据,一般用户很难自行判断。

相比之下,Android平台的处境似乎更加复杂。研究人员发现,最新的Android旗舰机种可以提供强大的保护机制,但Google与Android设备厂商之间的脱节,导致软件更新进度参差不齐,使大多数Android手机的安全性和隐私控制机制不一致。

研究人员表示,虽然Android平台也具备加密机制,但保护等级并不如iOS,例如它缺乏了iOS具备的完全保护加密等级,因此,在完成解锁的状态下,Android密钥一直存放在机身存储空间,而可能被黑客获取。

虽然Android支持端到端加密备份服务,但必须由应用开发者主动开启才可以。Android设备由不同厂商打造,在安全性上,很难共同协调,这也导致Android设备暴露的可攻击范围更大。

对于使用Google服务的Android设备来说,设备不止缺乏原生应用端到端加密,将Android数据传送到Google云服务时,Google也没有采用端到端加密,使黑客有机会存取Android用户数据。

原创文章,作者:PC4f5X,如若转载,请注明出处:http://www.nan-mi.cn/33.html

发表评论

邮箱地址不会被公开。 必填项已用*标注