暗号化についてはかなり白熱した議論が行われており、最近、米国のテロリストの iPhone で Apple 社が解読を拒否したことで、このような議論が再び見られました。 Android でも、この暗号化はしばらく前から利用可能になっていますが、安全性ははるかに低いようです。
サンバーナーディーノの iPhone 5C 事件は、最終的には iOS 暗号化が屈服したとしても、iOS 暗号化の有効性を証明しました。 iPhone では、暗号化キーはユーザーの PIN とハードウェア キーに基づいています。したがって、それを破るのは非常に困難です。唯一の方法は総当たり攻撃することですが、これは特に、X の試行後にすべてのデータが消去されるようにユーザーがセキュリティを設定している場合に、多くの問題を引き起こします。
しかし、これは Android ではどのように機能するのでしょうか?このすべてを、より正確に掘り下げたのは、すでにお話ししたガル・ベニアミニでした。Qualcommプロセッサを搭載した端末、これらは最も普及しているプロセッサです。
彼は、暗号化がまったく同じではないことに気づきました。基本的な仮定が同じ場合、つまり PIN コードの派生関数を使用する場合、暗号化キーはソフトウェアマスターキーであり、TrustZone のスマートフォンのメモリに保存されます。
セキュリティ研究者にとってはそれだけで十分だったTrustZone の 2 つの欠陥キーを入力して取得します。その後、ブルート フォース攻撃用の Python スクリプトを作成し、その操作は自分の Nexus 6 で成功しました。
- こちらもお読みください:本当にmicroSDカードを暗号化する必要がありますか?
幸いなことに、これら 2 つの欠陥は、毎月のセキュリティ更新プログラムの実装のおかげでパッチされています。残念ながら、各メーカーは Google や Samsung ほど迅速にこれらのアップデートを展開しているわけではなく、今日に至るまで Android デバイスの 37% がこの欠陥に対して脆弱です。