Odber
Čo chráni smartfón ?

Čo chráni smartfón? Smartfón nie je chránený len PIN-om

ToSho
Bezpečnostné vzdelávanie
Nenechaj v tom známych samých – zdieľaj
Začiatočník

Väčšina ľudí si myslí, že mobil chráni hlavne PIN, odtlačok prsta alebo tvár. Lenže to je len posledná vrstva, ktorú vidíš. Skutočná odpoveď na otázku čo chráni smartfón je oveľa zaujímavejšia: moderný telefón chráni reťaz viacerých vrstiev, ktoré začínajú ešte skôr, než sa vôbec objaví zamknutá obrazovka. Výrobcovia dnes stavajú bezpečnosť na secure čipoch, overovanom boote, šifrovaní, izolovaných kľúčoch a kontrolách, ktoré rozhodujú, či zariadenie vôbec možno považovať za dôveryhodné. To je presne dôvod, prečo bezpečnosť smartfónu nie je jedna funkcia, ale celý systém obrany.

Čo v článku nájdeš

V článku si ukážeme, čo chráni smartfón okrem samotného PIN-u a biometrie. Pozrieš sa na bezpečnostné vrstvy, ktoré používajú iPhony, Samsung Galaxy aj Android zariadenia všeobecne – od Secure Enclave a Knox Vault až po Verified Boot, šifrovanie dát, hardware-backed keystore a kontrolu integrity zariadenia. Dozvieš sa aj to, prečo moderný mobil nie je chránený jednou funkciou, ale celým obranným reťazcom.

Prečo je to dôležité

Väčšina ľudí si myslí, že ochrana mobilu sa končí PIN-om, odtlačkom alebo Face ID. V skutočnosti však bezpečnosť smartfónu stojí na viacerých vrstvách, ktoré chránia dáta, systém aj dôveryhodnosť zariadenia ešte predtým, než sa mobil vôbec odomkne. Keď pochopíš, čo chráni smartfón na pozadí, lepšie porozumieš aj tomu, prečo root, jailbreak alebo odomknutý bootloader vedia tieto ochrany výrazne oslabiť.

PIN je len vrátnik. Budova za ním je oveľa väčšia

PIN, heslo, Face ID alebo odtlačok sú iba „predné dvere“. Apple priamo píše, že bezpečnostné funkcie ako hardvérovo založené šifrovanie, Secure Enclave, Face ID a Touch ID sú len súčasťou širšej architektúry. Android zas nestojí len na uzamknutej obrazovke, ale na Verified Boote, šifrovaní a hardvérovo podporovanom keystore. Keď sa teda pýtaš čo chráni smartfón, správna odpoveď nie je „PIN“, ale „viac vrstiev, ktoré si navzájom kryjú chrbát“.

iPhone: keď Apple stavia bezpečnosť ako trezor vo vnútri trezoru

Pri iPhone je jadrom ochrany Secure Enclave. Apple ju opisuje ako oddelený bezpečnostný subsystém integrovaný v SoC, izolovaný od hlavného procesora. Dôležitá „špecialitka“ je, že Secure Enclave má chrániť citlivé používateľské dáta dokonca aj vtedy, keď by bol kompromitovaný kernel hlavného aplikačného procesora. To je dosť brutálna poistka, lebo znamená, že niektoré tajomstvá zariadenia nežijú v tom istom svete ako bežný systém.

Apple k tomu pridáva aj secure boot. Oficiálna dokumentácia hovorí, že bezpečné štartovanie začína v silikóne a buduje reťaz dôvery cez softvér tak, aby každá ďalšia vrstva štartovala až po overení tej predchádzajúcej. Apple zároveň uvádza, že aktualizačný systém je navrhnutý tak, aby bránil downgrade útokom, teda návratu na staršiu, zraniteľnejšiu verziu systému. Inými slovami: iPhone sa nesnaží len chrániť tvoje dáta po štarte, ale aj samotný štart systému.

Treťou vrstvou je šifrovanie a ochrana dát. Apple píše, že zariadenia majú šifrovacie funkcie na ochranu používateľských dát a umožňujú aj remote wipe pri strate alebo krádeži. K tomu pridaj fakt, že appky na Apple platforme fungujú v prostredí s viacerými vrstvami ochrany a prístup k používateľským dátam je starostlivo sprostredkovaný. Ak teda riešiš ochrana mobilu pri iPhone, nie je to len o tom, že nikto neuhádne PIN. Je to kombinácia izolovaných kľúčov, kontrolovaného štartu a striktnej práce s appkami.

Samsung Galaxy: Knox nie je nálepka, ale celá bezpečnostná architektúra

Ak si doteraz poznal len Knox, vlastne si nebol mimo. Samsung naozaj postavil okolo Knoxu plnohodnotný bezpečnostný príbeh. Základom je Knox Vault, ktorý Samsung opisuje ako nezávislý, tamper-proof bezpečnostný subsystém s vlastným procesorom, pamäťou a vyhradeným úložiskom. Ukladá citlivé údaje ako kryptografické kľúče a autentifikačné dáta a Samsung výslovne tvrdí, že ich má chrániť aj vtedy, keď je kompromitovaný hlavný procesor bežiaci s Androidom. To je veľmi podobná filozofia ako pri Apple, len pod iným názvom.

Samsung navyše nestojí len na bezpečnom úložisku. V Knox whitepaperi píše o Trusted Boot chain, kde sa pri štarte merajú a autentifikujú boot komponenty ešte predtým, než môžu bežať ďalšie. A potom prichádza ďalšia zaujímavá vrstva: Real-time Kernel Protection (RKP). Samsung ju opisuje ako hypervisor-based ochranu, ktorá v reálnom čase deteguje a tlmí útoky na kernel. Ešte zaujímavejšie je, že ich mechanizmus DEFEX má filtrovať neautorizované správanie v jadre a povoľovať root správanie len autorizovaným binárkam. Tu sa už bezpečnosť smartfónu mení z teórie na veľmi konkrétnu vojnu proti privilege escalation.

A teraz jedna pravdivá „špecialitka“, ktorú veľa ľudí nevie: Samsung v tej istej dokumentácii uvádza, že Knox Device Health Attestation dokáže detegovať aj systemless rooting, napríklad cez Magisk. To je dosť dôležité, lebo veľa používateľov si myslí, že keď je root „menej nápadný“, telefón o ňom nevie. Samsung zároveň používa Knox Warranty Bit, teda hardvérovo chránený záznam o tom, či zariadenie niekedy bootovalo s neautorizovaným kódom. Toto je pekný príklad, že odpoveď na otázku čo chráni smartfón nie je len „antivírus“, ale aj hardvérová pamäť na to, že si sa v systéme hral viac, než výrobca zamýšľal.

Pixel a bežný Android: otvorenejší svet, ale s tvrdými poistkami

Android má oproti iPhone väčšiu otvorenosť, ale to neznamená, že je bezpečnosť odfláknutá. Naopak. Google a AOSP stavajú ochranu na niekoľkých silných pilieroch. Prvým je hardware-backed Keystore. Android dokumentácia vysvetľuje, že TEE alebo podobné secure prostredie umožňuje zariadeniam poskytovať hardvérovo podporované bezpečnostné služby pre systém aj appky a citlivé operácie sa nevykonávajú v bežnom userspace či kernel space. Laicky: kľúče nemajú len „niekde uložené“, ale ukladajú a používajú ich v chránenom prostredí.

Druhou vrstvou je file-based encryption. Android 7.0+ podporuje šifrovanie po súboroch a zariadenia uvedené s Androidom 10 a vyšším ho podľa dokumentácie musia používať. Výhoda je, že rôzne súbory môžu byť chránené rôznymi kľúčmi a telefón sa vie dostať až na lockscreen aj pred úplným odomknutím dát používateľa. To je jedna z tých menej viditeľných vecí, ktoré robia ochrana mobilu reálne silnejšou, hoci si ich bežný používateľ nikdy nevšimne.

Pri Pixeloch Google pridáva ešte vlastný hardvérový prvok: Titan M2. Google uvádza, že Titan M2 podporuje Android StrongBox, bezpečne generuje a ukladá kľúče používané na ochranu PINov a hesiel a spolupracuje s Google Tensor security core pri ochrane dátových kľúčov počas ich používania v SoC. Preložené: Pixel má vlastnú „mini trezorovú“ vrstvu na kľúče, niečo ako ďalšie poistenie pod podlahou.

A potom je tu ešte vrstva, ktorú nevidí používateľ, ale vidia ju appky: Play Integrity API. Google píše, že pomáha overovať, či požiadavky prichádzajú z originálnej appky, z genuine a certified Android zariadenia, a dokonca vie dávať signály o tom, či je zariadenie rizikové, či je Play Protect zapnutý a či našiel nebezpečné appky. Toto je skvelá špecialitka, lebo ukazuje, že moderný Android nechráni len seba, ale dáva aj aplikáciám podklady na to, či majú zariadeniu veriť.

Čo túto ochranu najčastejšie oslabí

Najväčší problém je, že ľudia si tieto vrstvy nevedomky vypínajú alebo oslabujú. Google priamo uvádza, že pri modifikovaných, rooted verziách Androidu používateľ prichádza o časť ochrany od Google, o automatické bezpečnostné aktualizácie a zvyšuje riziko škodlivých appiek s neobmedzeným prístupom k dátam. V takom momente sa odpoveď na otázku čo chráni smartfón začne meniť na „oveľa menej než predtým“.

Ak ťa zaujíma, čo sa zmení po roote alebo jailbreaku aj z pohľadu zákona, záruky a bezpečnosti, pozri si aj môj článok Jailbreak a Root zariadení: Porušuješ zákon alebo len záruku?, kde rozoberám, čo všetko môžeš takýmto zásahom vypnúť alebo oslabiť.

Rýchly checklist: ako si nestrieľať do vlastnej ochrany

Ak chceš mať rozumnú bezpečnosť smartfónu, drž sa týchto základov:

  • používaj aktuálny systém a neodkladaj bezpečnostné aktualizácie
  • nechávaj zapnuté šifrovanie a biometriku len ako pohodlnú vrstvu nad silným PINom
  • nevypínaj ochrany typu Verified Boot alebo root detekciu len preto, že „nejaká appka frfle“
  • pri Androide dávaj pozor, čo inštaluješ mimo oficiálnych zdrojov
  • pri Samsungu ber Knox ako súčasť ochrany, nie ako marketingový nápis v reklamnom letáku.

 

Tieto kroky sú nudné, ale presne táto nuda robí v praxi najväčší rozdiel.

Záver

Takže ešte raz: čo chráni smartfón? Nie jedna vec. Chráni ho celý obranný reťazec. Na iPhone je to Secure Enclave, secure boot, šifrovanie a kontrolované appky. Na Galaxy zariadeniach Samsung pridáva Knox Vault, Trusted Boot, RKP, DEFEX a attestation. Na Pixeloch a Androide to sú hardware-backed Keystore, file-based encryption, Titan M2, StrongBox a integritné signály pre appky. Presne preto sa ochrana mobilu nedá zredukovať na „mám PIN, som v pohode“. Nie si. V pohode si až vtedy, keď všetky tie vrstvy fungujú spolu.

A to je možno na celej téme najzaujímavejšie: mobil dnes nie je malý počítač s jedným zámkom. Je to malá pevnosť. Len ju veľa ľudí vníma ako byt s jednými dverami. A potom sa čudujú, prečo výrobcovia tak panikária pri roote, odomknutom bootloaderi alebo zásahoch do systémových vrstiev. Oni totiž nevypínaš len jednu poistku. Rozoberáš celý bezpečnostný reťazec.

Prejsť na úvod

Zdroje :

support apple, samsungknox, googleblog

Odporúčané články:

Prihlásiť sa na odber
Upozorniť na
0 komentárov
Najstaršie
Najnovšie Najviac hlasovalo
Inline Feedbacks
Zobraziť všetky komentáre
Accessibility by WAH