手机信息安全还有芯片的事在大脑里也能上锁
而当安卓取代塞班成为智能手机的主流操作系统后,新的问题很快就凸显出来了。首先,作为以联网和触摸交互作为重要特征的操作系统,浏览器在安卓系统中的重要性被大大提升了。不少应用都是基于网
相比人尽皆知的电脑病毒,智能手机上的病毒远远没有这么高调。但其实早在十几年前,当时主流的塞班智能手机上就出现过病毒的踪迹。只是当时的病毒通常只是单纯的破坏手机系统,并不会对用户造成更多的经济损失。再加上那时候的手机并没有今天这样功能丰富,病毒的传播路径也相对较少,因此只要不去下载那些来路可疑的应用,病毒就无计可施了。
而当安卓取代塞班成为智能手机的主流操作系统后,新的问题很快就凸显出来了。首先,作为以联网和触摸交互作为重要特征的操作系统,浏览器在安卓系统中的重要性被大大提升了。不少应用都是基于网页代码来编写,运行时持续从服务器上下载数据,再在本地进行呈现,大多数人日常使用的淘宝就是一个典型的例子。而这样的设计就意味着安卓系统天生就面临着更多来自互联网的恶意网页代码攻击。
同时安卓系统与同时期的iOS、Windows Phone等系统相比拥有更高的开放性。例如我们可以轻松通过网页去安装第三方App。这也就意味着各种盗版软件、甚至是伪装的病毒应用,也就有了被用户自行“装”进手机的可能。再加上早期安卓系统在权限管理方面的羸弱,让心怀不轨的应用可以为所欲为。
而随着移动互联网的快速发展,每个人都开始越来越频繁地使用智能手机来记录日常生活,这也意味着手机中存储了比过去更多的个人隐私信息,针对这些数据所进行的窥探和盗窃也越来越多。
更不用说,如今“用户数据”本身也已成为黑产人士眼中的宝藏。为了能够获取更多的用户信息,哪怕是“正经”应用也普遍存在过度获取系统权限、频繁收集用户使用习惯,甚至“偷窥”剪贴板、“偷用”摄像头、“偷偷启动”其他应用等行为。
01 骁龙的进化史,正是智能手机安全性不断提升的缩影
面对安卓时代智能手机更为严峻的安全风险,各大厂商自然也不会坐以待毙。以Google为首的通过增强权限控制,优化系统架构来提升安全性。而在更加底层的硬件部分,高通无疑是最早做出实质性反应的上游厂商之一。
2015年年底,高通正式发布骁龙820平台。虽然大家都知道其首发搭载了高通自研的Kyro CPU架构,但有些朋友可能不知道的是,骁龙820还内置了行业中的第一款NPU——Zeroth。
不过不同于现在的NPU被用来进行影像处理,Zeroth上运行了高通的Smart Protect技术,通过先进的、基于机器学习的行为分析来实现侦测。它将实时分析终端应用的实际行为,即时侦测所有可疑或异常行为并对其进行分类,最终达到零时差 (Zero-Day) 侦测病毒、恶意软件的效果,而且可以离线运行。
2017年推出的骁龙835集成了Qualcomm Haven安全平台,包含了内容保护、恶意软件检测、防盗、身份验证等4大方面的安全特性。此时的Android旗舰已经可以让虹膜、人脸等敏感信息存放在SoC的TrustZone并与系统隔离。而与FIDO联盟、腾讯等厂商的合作,也为指纹和虹膜移动支付铺平了道路;
当然,高通对于智能手机的安全加强还在继续。2017年与2018年底,骁龙845和骁龙855先后亮相,而它们在安全性方面的显著改进,就在于高通首次实现了SoC内集成一个独立的安全处理单元(Secure Processing Unit,简称SPU)。事实上,SPU本质上可以视作一套完整的“小电脑”,它拥有自己的CPU、内存和磁盘空间,可以完全独立于SoC运行。如此一来,所有的加密、认证计算,以及密钥存储工作全部转移到了SPU中独立运行,不仅解放了CPU的算力,还大幅强化了安全性。
值得一提的是,2019年6月,骁龙855的SPU组件还获得了智能卡硬件安全保证与测试的最高等级认证——通用评估准则EAL4 级安全认证(Common Criteria EAL4 ),这也代表着它的安全加密性能完全达到了“企业级”的需求。该国际认证让骁龙855成为首款具有达到智能卡级别安全性内核的移动SoC。在此基础上,高通和合作伙伴还联合展示了集成式SIM卡(iSIM)——无需添加额外的安全芯片,即可在手机上实现离线支付、可信平台模块(TPM)功能、转账、电子身份和加密钱包等功能。
2019年年底,至今还被许多用户称道的骁龙865正式上市。而它也第一时间成为了当时安卓阵营的安全标杆,在行业内率先支持了Android 11的安全凭证API,即使安装了恶意软件,数据也不会被复制到安全区以外。
2020年底随着骁龙888的登场,高通为智能手机的安全防护带来了全新思路。全新的Type-1 Hypervisor技术让基于骁龙888的手机,真正从硬件底层上支持了多套操作系统、不同应用运行环境之间的完全隔离和瞬间切换。
02 智能手机的强大安全能力,由骁龙8驱动
对于商务人士来说,隐私信息的安全至关重要。轻则影响个人财产安全,重则泄露商业机密,因此选择一款足够安全的手机十分重要。近期,vivo推出了旗舰机型vivo X Fold与X Note,作为面向商务人士的产品,两款机型在隐私安全方面都下了不少功夫。而在这些功能背后,都有着其搭载的骁龙8处理器的身影。
vivo X Note
为了保障用户的隐私安全,vivo X Fold与vivo X Note选择在安全性上进一步提升的全新一代骁龙8移动平台作为手机的核心。骁龙8采用高通深度防御策略,通过整合一系列安全技术,全面覆盖运算、处理、存储等环节,达到抵御主动及被动攻击的效果。这套策略的核心是骁龙8所搭载的专用信任管理引擎(Trust Management Engine),其基于硬件且不对外开放,能够实现更高安全性,并为应用和服务提供额外信任根(Root of Trust)。骁龙8也是首个采用专用信任管理引擎的移动平台。
在专用信任管理引擎之上,是骁龙8拥有的三大可信执行环境——高通可信执行环境(QTEE)、高通安全处理单元(SPU)和DSP安全区域(面部识别等)。其中vivo在软件端对骁龙8的SPU进行深度挖掘与适配,实现全功能设计,从软件底层入手,搭建了千镜安全架构,全方位提升安全隐私保护能力。它遍布于设备的每次运算中,从芯片、内核、框架和应用4个层级,全方位覆盖手机的运行安全。
在内核层和框架层上,千镜架构时刻保障着系统的正确运行能力,对应用行为进行管制和记录,基于骁龙8的SPU搭建独立数据隔离沙盒,保证用户信息不被泄漏。 在应用层里,vivo构建了可信环境交互、隐私防跟踪、隐私防泄漏三大能力,数十种隐私功能,包括原子隐私系统、模糊地理位置等等都集成在这三大能力当中,让用户做到可感、可知、可控。
系统层面上,OriginOS Ocean所搭载的原子隐私系统则利用了骁龙8处理器所支持的Hypervisor技术,通过硬件级的双系统能力,为用户提供一套系统级的隐私加密解决方案——原子隐私系统,可以实现本地存储、无痕浏览、数据隔离、后台防护等功能。
以往大家在部分机型看到的“双系统”、“儿童模式”等技术,大多是基于软件层面的解决方案来实现,虽然也有一定的安全性,但毕竟缺失了底层硬件的配合。而有了骁龙8处理器的Hypervisor技术后,原子隐私系统真正实现了从硬件到软件的全栈打通,大大提升安全性。
日常生活中,越来越多的各类账户让管理密码成了一件大麻烦。单凭自己的记忆难免会出错,记录下来又担心会被泄露。vivo X Fold与X Note在系统中集成了基于骁龙8 SPU定制开发的密码保险箱功能,使用受硬件保护的密钥在SPU内加密用户密码。可以覆盖网购、办公、娱乐等应用,凡是开启密码自动填充功能的密码,均可受到硬件级安全守护。在将自己从记密码的痛苦中解放出来的同时,也能保证密码的安全。
03 总结
从最初的“裸奔”,到用户的安全意识慢慢觉醒,再到当前智能手机从系统、芯片底层等全方位的安全技术加强。可以说智能手机安全设计的发展,一方面体现出手机在我们日常生活中地位不断提升,承载的私密信息越来越多;另一方面也反映了各大厂商与恶意软件之间的不断斗争。
骁龙处理器发展到现在,一代代的安全改进或许并不像性能提升那样引人注意,但如果没有这些安全设计,那么我们现在可能就不会有移动支付、不会有手机公交卡、不会有如此丰富的智能生活和移动计算体验。而高通作为智能手机出色使用体验的推动者,相信其也将不断努力,让我们手中的智能手机更安全。
文章评论