根据约翰·霍普金斯大学的密码学家所说,iOS没有尽可能多地利用内置加密,这导致了潜在的不必要的安全漏洞。

密码学家使用Apple和Google的公开文档,关于绕过移动安全功能的执法报告以及他们自己的分析,评估了iOS和Android加密的可靠性。

该研究发现,尽管iOS上的加密基础设施“听起来确实不错”,但是基本上没有使用它。

“尤其是在iOS上,该分层加密基础结构已经到位,而且听起来确实不错”。

iOS首席研究员Maximilian Zinkus说。

“但是看到它当时没有使用多少,我感到非常惊讶”。

当iPhone启动时,所有存储的数据都处于“完全保护”状态。

状态,用户必须先解密设备,然后再解密任何内容。

尽管这样做非常安全,但研究人员强调,一旦重启后首次将设备解锁,大量数据将进入苹果所谓的“在首次用户身份验证之前受到保护”的状态。

状态。

由于设备很少重启,因此大多数数据处于“保护到第一用户认证”状态。

大部分时间,而不是“完全保护”。

这种不太安全的状态的优点在于,解密密钥存储在快速访问内存中,并且可以由应用程序快速访问。

从理论上讲,攻击者可以在iOS系统中找到并使用某些类型的安全漏洞,以快速访问内存中的加密密钥,从而可以解密设备中的大量数据。

我相信这也是许多智能电话访问工具(例如法医访问公司Grayshift工具)的工作原理。

尽管攻击者确实需要特定的操作系统漏洞来获取密钥,并且Apple和Google在发现这些漏洞时会应用许多补丁程序,但可以通过更深地隐藏加密密钥来避免这种情况。

“这真的让我感到震惊,因为当我进入这个项目时,我认为这些电话确实保护了用户数据”。

约翰·霍普金斯大学的密码学家马修·格林说。

"现在我从这个项目开始,以为几乎没有任何东西受到保护,因为它可以保护。

那么,由于这些手机提供的保护太差了,为什么我们需要执法后门?”研究人员还直接与Apple分享了他们的信息。

发现和一些技术建议。

苹果发言人对此发表了公开声明。

“ Apple设备设计有多层安全保护措施,可抵御各种潜在威胁。

我们一直在努力为用户数据添加新的保护措施。

随着设备上存储的敏感信息数量的不断增加,我们将继续在硬件和软件上开发更多保护措施,以保护其数据”。

IT House了解到,该发言人还告诉《连线》杂志,Apple的安全工作主要集中在保护用户免受黑客,小偷和想窃取个人信息的个人的攻击。

被criminal徒袭击。

他们还指出,研究人员强调的攻击类型开发成本非常高,需要对目标设备进行物理访问,并且只有在Apple发布补丁程序后才能有效。

苹果还强调,iOS的目标是在安全性和便利性之间取得平衡。