多年来,苹果为其设备带来的主要安全增强功能之一就是Secure Enclave芯片,它可以加密和保护设备上存储的所有敏感数据。然而,最近有安全团队声称他们在Secure Enclave中发现了一个永久性的漏洞,这可能会使iPhone、iPad甚至Mac用户的数据处于危险之中。
什么是Secure Enclave?
Secure Enclave是一个安全协处理器,几乎每台苹果设备都包含了它,以提供额外的安全保护。所有存储在iPhone、iPad、Mac、Apple Watch和其他Apple设备上的数据都会用随机私钥进行加密,只有Secure Enclave才能访问。这些密钥对你的设备来说是独一无二的,而且它们绝不会与iCloud同步。
不仅仅是加密文件,Secure Enclave还负责存储管理敏感数据的密钥,如密码、Apple Pay使用的信用卡,以及Touch ID和Face ID的生物特征信息。
虽然Secure Enclave芯片内置在设备中,但它的工作原理与系统的其他部分完全分离。这样可以确保应用程序无法访问私钥,因为它们只能发送请求以解密特定数据(例如指纹)以通过Secure Enclave解锁应用程序。
即使是一台可以完全访问系统内部文件的越狱设备,所有由Secure Enclave管理的东西仍然会受到保护。
目前采用Secure Enclave芯片的设备:
- iPhone 5s及更高版本
- iPad(第五代)及更高版本
- iPad Air(第1代)及更高版本
- iPad mini 2及更高版本
- iPad Pro
- 配备T1或T2芯片的Mac电脑
- Apple TV HD(第4代)及更高版本
- Apple Watch Series 1及更高版本
- HomePod
这不是黑客第一次发现与Secure Enclave相关的漏洞。2017年就已经有黑客能够解密Secure Enclave固件,以探索该组件的工作原理。然而,他们无法获得私钥的访问权限,因此用户并没有任何风险。
据报道,现在来自国内的盘古团队在苹果的Secure Enclave芯片上发现了一个“不可修复”的漏洞,可能导致私人安全密钥的加密被破解。不可修补的漏洞意味着该漏洞是在硬件中发现的,而不是存在于软件系统的,所以苹果可能无力修复。
目前还没有关于该漏洞的细节披露,尚不清楚能实现什么目的,但如果能通过漏洞完全访问Security Enclave,也就意味着可以获得用户的密码、信用卡等敏感信息。
需要注意的是,像这样的漏洞通常需要黑客对设备进行物理访问才能获得数据,不太可能通过远程破解用户设备,因此使用苹果设备的用户不必过于担心会受到该漏洞的影响。
展开全文
- 移动支付网 | 2022/8/25 9:37:35
- 移动支付网 | 2022/8/15 10:57:20
- 移动支付网 | 2022/8/4 10:24:14
- 站长之家 | 2022/7/19 16:13:04
- 移动支付网 | 2022/6/30 9:43:08
- 移动支付网 | 2022/6/15 19:22:32
- 移动支付网 | 2022/6/14 9:51:13
- 移动支付网 | 2022/6/7 17:00:20
- 新浪科技 | 2022/5/10 11:48:26
- IT之家 | 2022/5/9 11:10:25
- 星洲网 | 2022/8/19 10:20:15
- 移动支付网 | 2022/8/2 17:59:09
- FreeBuf | 2022/5/24 18:12:33
- 移动支付网 | 2022/4/12 15:47:21
- 移动支付网 | 2022/1/24 14:48:04