新一代科学研究表明,即使拥有硬体安全可靠防雷,绝大部分终端加密应用领域依然存有重大安全漏洞
马来西亚–(美国Jhansi)–互联网化发展正推升现代人对强大互联网化身分功能的需求。毕马威近期正式发布的这份调查1报告表明,新冠肺结核禽流感显著加快了亚洲地区的互联网化进程。绝大部分受调查者称,自己与使用者或客户的交互中至少有80%是透过互联网化方式进行的,而禽流感前仅为58%。惋惜的是,各类组织机构也因此遭遇了越来越多的互联网反击,反击形式大多为敲诈应用软件反击和网上帐户和金融帐户挟持。
这种状况反而促进了双重校正消费市场的增长。ResearchAndMarkets.com估计,2020年双重校正消费市场的体量高达106.4万美元(到2026年,消费市场体量约增至283.4万美元2)。对于银行、银行服务或网络化应用领域而言,这意味著它们应选用某种双重校正技术(2FA),通常包括透过手机短信推送的纸制公钥(OTP),和由硬体副本或终端加密器应用领域聚合的标识符。
惋惜的是,经确认,透过手机短信推送的OTP并不安全可靠,容易被截击及遭遇互联网钓反击。硬体副本的安装成本低、使用不便,还需要定期更换。终端加密器被现代人视为更为安全可靠、方便的快捷键,许多加密用具有用作聚合OTP代码的公钥,由智能手机内建的专业硬体(称为可靠继续执行自然环境或TEE)保护。
但“更安全可靠”不一定意味著“完美”,一项针对以往被人忽略的结构设计瑕疵的新一代科学研究进一步确认了这点。
最令人困惑的是,假如加密器本身不可靠,那么位数服务就会被恶意程序驾驭,或被犯罪分子进行逆向工程操作,最终可能导致帐户挟持、数据外泄、互联网诈欺或更严重的后果。
作为亚洲地区首个交互式安全可靠组件的开发企业,马来西亚应用软件型位数安全可靠公司V-Key最近正式发布了这份绿皮书,揭示绝大部分终端加密应用领域如何遭恶意程序攻破。不论智能手机提供哪种硬体防雷,这实际上都在所难免。
绝大部分加密应用领域选用公钥来聚合标识符,用作校正使用者身分。那些应用领域就像是藏宝物,只有那些公钥才能打开。假如那些公钥失窃,骇客就能利用“库季的公钥”,黑心使用者校正交易或签署文件。正基于此,绝大部分加密应用领域都竭力选用最安全可靠的公钥纳米技术。
众多开发者认为,这就相当于智能手机的可靠继续执行自然环境。在Android智能手机中,这被称为StrongBox Keystore。在苹果智能手机中,这被称为iOS Secure Enclave(它有一个名为Keychain的配套应用软件,用作存储公钥等加密数据)。
V-Key首席技术官Er Chi升级安全漏洞’影响的机型尤其如此。我们把这种结构设计瑕疵称为‘信任缺口’。”
这到底是如何运作的呢?试想一下,有人使用终端加密应用领域来聚合2FA的OTP或签署位数文件。某天,他们发现一款有趣的智能手机游戏或加密货币咨询应用领域,并决定下载、安装和试用。
使用者并没察觉这款游戏或加密货币咨询应用领域实际上是恶意程序,而此类恶意程序可以利用特权升级安全漏洞,攻破使用者的终端加密应用领域。“特权升级”是一种利用操作系统或应用软件应用领域中的安全漏洞、结构设计瑕疵或配置疏忽的行为,目的是获得通常受其它应用领域或使用者保护的资源(如公钥)的访问权限。其造成的结果是,恶意程序获得了比预期更多的特权——并因此可以访问机密数据,进行未经授权的操作。
通常现代人坚信AndroidKeystore或iOS Secure Enclave保护公钥的能力,因此不会想到有人可能会非法入侵他们的加密器。然而,当他们玩新游戏或计算新一代加密货币投资的回报时,不良行为者可能已经在窃取他们的公钥,更精确地说,窃取他们被称为“OTP种子”的加密器公钥。
OTP种子是许多OTP副本的“独有秘方”。这种加密资产(连同计数器或时间)被输入到加密器的OTP算法中,以聚合OTP标识符。现在,骇客可利用OTP种子聚合的与目标人群加密器聚合的一样的OTP。换句话说,骇客实际上已经拥有了使用者的互联网化身分。
这是一种隐秘且复杂的反击,因为目标加密应用领域甚至不需要运行,或者在数据不被篡改的情况下遭反击。当被问及这一安全漏洞时,谷歌和苹果公司均表示,他们对使用者的智能手机操作概不负责。苹果公司还特别提及,这个安全漏洞主要影响越狱的苹果智能手机,该公司认为越狱智能手机已经超出了官方允许使用的范围。这一立场与枪支制造商在处理枪杀死亡事件时所持的立场基本相似。
上述场景主要涉及OTP种子。一些加密器依赖于其它类型的加密资产,如公钥基础设施公钥(PKI)。惋惜的是,PKI也会遭类似方式的克隆或窃取。V-Key的白皮书详述了骇客成功运作的方式。
企业和网络化应用领域的开发者实际上都忽略了这个重大的安全可靠安全漏洞。但假如手机短信OTP甚至终端加密应用领域都可以被破解,设备和操作系统层也帮助甚微,那么普通使用者到底该怎么办?消除信任缺口的最佳方式又是什么?
V-Key首席技术官Er表示,最佳解决方案是提供一种方法来识别系统中的每个端点——无论是应用领域、服务器,还是单个物联网设备。绑定到每个应用领域的安全可靠组件,如V-Key的应用领域身分解决方案,可作为应用领域的身分和完整性证明,无需任何外来的加密器,也不会影响使用者体验。
随着互联网化以前所未有的速度扩张,支持加密和信任的能力变得至关重要。毕竟,只要破解一个终端加密应用领域,就能渗入企业或政府的位数服务,并可能导致整个系统瘫痪。由此造成的损失并不限于经济处罚和民事责任,还会导致品牌和声誉损失,有时这种损失根本无法弥补。
关于V-KEY
V-Key是一家应用软件型位数安全可靠公司,其技术为面向位数身分管理、使用者加密和授权的超高安全可靠性解决方案提供支持。公司提供简单而安全可靠的通用位数身分服务,将亚洲地区各地的人、组织和设备相连结,并深受星展银行(DBS)、华侨银行(OCBC)、大华银行(UOB)等客户和合作伙伴的信任。
V-Key拥有国际专利的V-OS是亚洲地区首个交互式安全可靠组件,其先进的加密和互联网安全可靠保护功能符合亚洲地区标准(EAL 3+评级和FIPS 140-2),如此高的安全可靠等级之前仅用作昂贵的硬体解决方案。
