智慧手機的安全革命:一場至關重要的“攻防戰”

語言: CN / TW / HK

十幾年前,當筆者還只是一名大學新生時,就已經聽說了“手機病毒”的名號。對於當時智慧手機主流的塞班系統來說,“病毒”雖然不常見,可一旦中招手機基本就會直接“變磚”,並且幾乎沒有任何的解決辦法,可謂是讓人“心驚肉跳”。

為什麼會這樣?一方面是因為當時的主流病毒主要還是以“作惡”為主,要的就是將你的手機整成沒法正常使用的效果;另一方面,這也與早期智慧手機所使用的主控晶片硬體架構過於老舊,其實也有著很大的關係。

畢竟,絕大多數的“諾X亞”手機用的都是一顆基於ARM11架構的369MHz單核飛思卡爾主控,本身CPU在底層設計上就缺乏針對性的安全措施,再加上算力孱弱,自然也不可能像當時的主流PC一樣,日常在後臺就掛著“防毒軟體”。

當然,從另外一個角度來說,雖然塞班時代的智慧手機對於病毒的防護力本身很弱,但那時候大家普遍也就用手機聊個QQ、看個小說,只要不亂下應用“中招”的機率其實還是很小的。而在進入到安卓時期後,一切就完全不同了。

  • 你可能不知道,曾經的智慧手機有多“高危”

與早期的塞班智慧手機相比,安卓的流行很快就帶來了更多、更復雜的安全問題。

首先,安卓本身是一個以觸屏互動、聯網功能作為重要特徵的作業系統。這意味著它擁有了比塞班時期智慧手機“現代化”得多的瀏覽器、郵箱應用,也代表著很多APP本質上可以完全基於網頁程式碼來編寫,執行時實際上是持續從伺服器上下載資料,再在本地顯示(很典型的就有大家熟悉的淘寶、微信)。而這也就意味著,安卓系統“天生”要比早期的塞班、WM、LIMO等智慧手機系統更容易面臨惡意網頁程式碼、釣魚郵件的攻擊。

其次,安卓相比其他智慧手機作業系統,最大的優勢就是擁有更高的開放性。這一點最明顯的體現,就在於安卓甚至沒有一個固定、官方的“統一應用商店”,使用者可以從任何網站下載應用的APK檔案,自行拷貝到手機中進行安裝。這也就意味著各種盜版軟體、甚至是偽裝的病毒應用,也就有了被使用者自行“裝”進手機的可能。

不僅如此,隨著安卓生態的快速擴大,當越來越多的普通使用者開始用上安卓智慧手機時,一些新的問題也隨之出現了。

例如當用戶開始越來越多地使用智慧手機來記錄日常生活,就意味著手機中儲存了比過去更多的個人隱私資訊,而針對這些資料進行所進行的窺探和盜竊也越來越多。

又比如,當網購、移動支付逐漸成為使用者日常生活中必不可少的一部分時,傳統用數字作為密碼加密本身就已經成為了一種不便。因此更加便捷的生物加密措施,也就成為了現代手機必須的功能配置之一。

更不要說,如今“使用者資料”早已成為網際網路企業重要的生財之道。而為了能夠獲取更多的使用者資訊,哪怕是“正經”應用也普遍存在過度獲取系統許可權、頻繁收集使用者使用習慣,甚至“偷窺”剪貼簿、“偷用”攝像頭、“偷偷啟動”其他應用等行為.

  • 驍龍的進化史,正是智慧手機的一場安全風暴

面對安卓時代智慧手機更為嚴峻的安全風險,高通無疑是最早做出實質性反應的上游廠商之一。

首先,針對智慧手機的綜合安全加密需求,早在驍龍S4的時代,高通就已經在處理器中集成了Secure MSM安全技術。其包括了對早期生物識別裝置、企業級安全網路連線協議、多媒體版權保護,以及手機中內容硬體加密功能等一系列安全特性。

而在這其中尤為稱道的,就在於高通很早就意識到了生物識別裝置對手機的重要性。正是基於Secure MSM,早在2013年HTC就釋出了配備指紋識別模組的旗艦安卓機型HTC One MAX。而它所採用了背部指紋識別單元,也在隨後的許多年裡影響了整個行業。

緊接著,為了應對惡意軟體和病毒的威脅,2015年年底,高通正式釋出驍龍820平臺。雖然大家都知道其首發搭載了高通自研的Kyro CPU架構,但有些朋友可能不知道的是,驍龍820還內建了行業中的第一款NPU——Zeroth。

只不過,這款NPU在驍龍820上並不負責影像處理,而是一款專門用於安全防護的人工智慧核心。通過機器學習演算法,驍龍820的Zeroth NPU可以實時監測手機的執行狀況,在惡意軟體或病毒啟動的瞬間進行“零時差”阻止。

此後,為了進一步加強手機的安全認證能力,2017年在高通釋出的驍龍835中還集成了Qualcomm Haven安全平臺,讓智慧手機對於生物識別裝置的支援從指紋擴充套件到了虹膜、眼球和更廣泛的面部識別。相信大家已經意識到,現在在諸多應用中很常見的“面部識別”技術,正是在驍龍835釋出後,才真正在安全性上變得可靠、並得到了快速的發展。

當然,高通對於智慧手機的安全加強還在繼續。2017年與2018年底,驍龍845和驍龍855先後亮相,而它們在安全性方面的顯著改進,就在於高通首次實現了SoC內整合一個獨立的安全處理單元(Secure Processing Unit,簡稱SPU)。事實上,SPU本質上可以視作一套完整的“小電腦”,它擁有自己的CPU、記憶體和磁碟空間,可以完全獨立於SoC執行。如此一來,所有的加密、認證計算,以及金鑰儲存工作全部轉移到了SPU中獨立執行,不僅解放了CPU的算力,還大幅強化了安全性。

值得一提的是,2019年6月,驍龍855的SPU元件還獲得了智慧卡硬體安全保證與測試的最高標準——通用評估準則EAL4+級安全認證(Common Criteria EAL4+),這也代表著它的安全加密效能完全達到了“企業級”的需求。並且有意思的是,正是在驍龍845、驍龍855時代開始,市面上以“配備獨立安全單元”為宣傳賣點的手機開始大幅減少,畢竟這些獨立的安全晶片很多可能還不如驍龍SoC裡整合的SPU高。

  • 從驍龍865到新驍龍8,手機安全從“端”到“雲”

2019年年底,至今還被許多使用者稱道的驍龍865正式上市。而它也第一時間成為了當時安卓陣營的安全標杆,在行業內率先支援了Android 11的安全憑證API,這意味著它可以實現從硬體到系統全面打通的個人隱私資訊保安儲存。例如大家熟悉的“行程碼”、“健康卡”、“數字駕照”,這類涉及到深度個人資訊的憑證,就可以在基於驍龍865平臺的機型上得到更為安全妥善,防窺探的保護。

2020年底隨著驍龍888的登場,高通再次帶來了智慧手機安全防護方面的全新思路。全新的Type-1 Hypervisor技術讓基於驍龍888的手機,真正從硬體底層上支援了多套作業系統、不同應用執行環境之間的完全隔離和瞬間切換。

vivo OriginOS Ocean新增加的“原子隱私系統”,就是在基於驍龍888的機型上首發

這是什麼概念呢?簡單來說,就是以往大家在部分機型看到的“雙系統”、“兒童模式”等技術,大多是基於軟體層面的解決方案來實現,雖然也有一定的安全性,但畢竟缺失了底層硬體的配合。而有了驍龍888的Type-1 Hypervisor後,手機上的“多系統隔離”不僅真正實現了從硬體到軟體的全棧打通,而且這項技術還能實現一些別樣的有趣功能。比如說,驍龍888可以支援真正硬體級別的“應用多開”,同時它也能將一些必要、但“手腳不乾淨”的應用與主系統進行完全隔離,讓它們窺探不到一絲使用者的個人資訊。

而當時間來到2021年底,全新一代驍龍8平臺攜ARM十年以來變化最大的CPU指令集、高通全新換代的自研Adreno GPU、綜合性能達到上代四倍的AI引擎正式亮相。而這一次,其在手機安全特性上的設計,同樣有了一些令人眼前一亮的新思路。

首先,新驍龍8改進了Hypervisor功能。一方面,這意味著新的Hypervisor現在可以呼叫SoC裡的更多部件,從而讓被“隔離”的獨立系統和應用支援更豐富的功能;另一方面,新驍龍8的Hypervisor正式對合作夥伴和客戶開源,這使得我們有理由期待未來手機廠商基於新驍龍8開發出更多樣化的手機“安全系統”功能。

其次,新驍龍8首次集成了新的信任管理引擎(Trust Management Engine)。而它則將起到兩個關鍵作用,一是為新驍龍8的應用執行環境增加更多的“防線”,可以更好地防止資料洩露;二是信任管理引擎創新性地支援了基於雲端的信用評估技術。比如說當你連線到某個雲電腦、雲遊戲平臺時,雲端的伺服器就能識別出手機上的信任管理引擎,從而自動為其配置從雲端到晶片的信任防護體系。

不僅如此,信任管理引擎還為新驍龍8帶來一些新的功能特性。比如說,它使得新驍龍8成為了業內第一批符合Android Ready SE安全規範的移動平臺。這就意味著基於新驍龍8的手機,將可以受到更多、更廣泛的第三方安全應用支援,將手機變成智慧車鑰匙、智慧門卡、電子身份證、電子錢包等,為大家的數字生活增添更多便利。

最後,針對網路安全需求,新驍龍8還極大地增強了對偽基站、惡意蜂窩網路的識別能力。而其內建的iSIM技術,更是被視作未來淘汰實體SIM卡,實現“全無線”、“隨時攜號轉網”的先進設計,甚至是突破性新形態移動計算裝置的關鍵技術之一。

  • 在你沒意識到的時候,智慧手機正變得越來越安全

從最初的“裸奔”,到後來使用者的安全意識覺醒、廠商開始追捧指紋識別,到面部識別大行其道,再發展到現在智慧手機從系統、晶片底層等全方位的安全技術加強。可以說,這一連串關於手機“安全設計”的變遷,背後反映出的既有手機在我們日常生活中愈發重要、承載私密資訊越來越多的變化,同時更體現出了黑客、病毒、惡意軟體與晶片廠商和手機廠商“鬥爭”態勢的多次轉變和發展。

小米在MIUI 12上首次大幅強化的隱私功能,如今已經成為行業標配

從某種程度上來說,這其實是一個不太為使用者所知,但又充滿了激烈對抗、技術競爭,甚至是“勾心鬥角”的過程。而其之所以不太為普通使用者所知,其實也從另一個側面反映出了以高通為代表的上游廠商,以及一眾手機企業在這場關乎使用者安全、商業信譽的鬥爭過程中,始終佔據上風的事實。

從最初的驍龍S4到最新的新驍龍8,它們一代代的安全改進或許並不像效能進步那麼“鼎鼎大名”,但如果沒有這些改進,那麼我們現在可能就不會有移動支付、不會有手機公交卡、不會有如此豐富的智慧生活和移動計算體驗。換而言之,歷代驍龍移動平臺的安全改進,它們或許並不為人知,但卻毫無疑問至關重要。

【本文圖片來自網路】

推薦閱讀:

三星給“老旗艦”準備的新功能,有些超出了業界常識

Expert RAW帶來的16bit RAW格式成像能力,或隱藏了許多祕密。

以NBA賽事為矛,微信影片號試水付費直播

用傳統熱門體育賽事來試水付費直播,影片號此舉顯然很有深意。