圖片來源: 蘋果
3名來自約翰霍普金斯大學的研究人員近日發表一研究報告,指出蘋果的iOS中內建了非常強大的安全及隱私控制機制,然而,為了兼顧使用上的方便,蘋果並未充份利用這些機制,而替駭客或執法機構製造了機會,讓它們得以存取iOS用戶的機密資料,且與雲端同步資料加劇了iOS與Android資料遭到存取的風險。
該團隊的研究目的為挖掘行動裝置中預防資料未經授權存取的安全機制、可未經授權存取資料的管道,以及如何改善以預防未經授權的存取,研究對象為iOS及Android平臺。
研究人員在iOS上發現了由強加密支持的強大安全及隱私控制機制,只是蘋果並未充份利用這些機制,例如在手機首次解鎖後(After First Unlock,AFU)的狀態下,蘋果只使用脆弱的防護等級來保護內建程式的資料;或者是iCloud把大量用戶資料傳輸到蘋果伺服器的形式,是可被未經授權的駭客或執法機構遠端存取的;蘋果採用了安全處理器SEP來嚴格限制密碼猜測攻擊,但有證據顯示,至少在2018年曾有駭客利用GrayKey工具破解了SEP。
此外,雖然許多蘋果雲端服務都標榜端對端加密,強調只有使用者才能存取雲端資料,但研究人員卻發現,當結合iCloud雲端備份服務時,某些加密服務的安全性便會遭到破壞。且不論是蘋果文件或使用者設定,都模糊了加密與端對端加密的界線,只有後者才代表唯有使用者能存取,因而很難判斷蘋果究竟存取了哪些資料。
蘋果系統上還有一個重要弱點,蘋果只要在用戶手機上顯示一個對話框,就能將使用者資料重新配置到新的、但也許已經被危害的安全模組(HSM)上。
在Android平臺上,雖然研究人員發現最新的Android旗艦機種出現了強大的保護機制,但Google與Android製造商之間脫節的更新程序,使得大多數Android手機的安全性及隱私控制不一致。
研究人員指出,Android平臺雖然也具備檔案加密機制,但其保護等級不若iOS,例如它缺乏了iOS所具備的完全保護加密等級,因此,在AFU狀態下時,Android加密金鑰一直存放在記憶體中,而可能被取得;雖然Android支援端對端加密備份服務,但必須由App開發者主動啟用才行;Android元件是由許多不同的業者所打造,很難共同協調Android設備的安全性,也讓它呈現大型的攻擊表面;Android只針對第三方傳訊程式提供預設的端對端加密,許多原生的Android傳訊程式卻反而缺乏端對端加密。
不只是原生傳訊程式缺乏端對端加密,在將Android資料傳送到Google雲端服務時,Google也未採用端對端加密,意味著不管是駭客或執法機構都有機會存取Android用戶資料。
精選專案.APP / 休閒餐飲類
網站技術:PHP . iOS . Android/MySql
勝博殿兌換推出APP版,讓使用者隨時使用APP確認點數、查詢門市...等等。可以隨時隨地的查詢目前使用多少點數。也可以在下次用餐時可以兌換餐點。
精選專案.網頁設計.RWD響應式網站.企業形象網站 / 休閒餐飲類
網站技術:PHP . Javascript/MySql
丹醇用最新鮮的原料製作最安心的商品,追求吃進身體裡面的食物與飲品都是健康、安全、無負擔。 網站主打線上訂購乳製品,簡易的下定流程,對於第一次使用的會員也不是問題,也能配合指定的時間抵達喔。
網頁設計.RWD響應式網站.無障礙網頁 / 農林漁牧類
網站技術:Javascript
致力於花蓮與宜蘭地區的農業事務,像是農作物推廣、技術改良或是新興發展等等。除了推動台灣農作物的發展,也提供民眾遊玩地點,可以體驗農村的好山好水,感受農作物的生長與農民的辛苦。
由於網站的資訊較多,大多皆以文字呈現。將比較重要的區塊額外用區塊獨立在左側,以利閱讀。 當滑鼠移到選單時也會直接就跳出子選單,不用逐筆的去尋找。
電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策