Chiếc Pixel 3 của Google có một con chip bảo mật mang tên "Titan M". Apple cũng có một con chip tương tự trên iPhone là "Secure Enclave". Các điện thoại Galaxy của Samsung và một số thiết bị Android khác th́ dùng công nghệ TrustZone của ARM. Vậy những con chip này bảo vệ điện thoại của bạn như thế nào?
Những thông tin cơ bản
Những con chip này về cơ bản là những chiếc máy tính nhỏ hoạt động độc lập với các linh kiện khác trong điện thoại của bạn. Chúng có các vi xử lư và bộ nhớ riêng, và chạy các hệ điều hành tí hon của riêng chúng.
Hệ điều hành thông thường trên điện thoại của bạn, cùng với các ứng dụng hoạt động trên hệ điều hành đó, không thể thấy được khu vực bảo mật này. Nhờ vậy, nó được bảo vệ khỏi các hành vi xâm phạm và cho phép nó thực hiện rất nhiều thứ hữu dụng.
Một vi xử lư độc lập
Secure Enclave là một phần trong SoC ḍng A của Apple
Những con chip bảo mật hoạt động theo nhiều cách khác nhau. Trên chiếc điện thoại Pixel mới của Google, Titan M là một con chip vật lư thực thụ nằm tách biệt với CPU thông thường của máy.
Trong khi đó, Secure Enclave của Apple và TrustZone của ARM về mặt kỹ thuật lại không phải là một con chip riêng. Thay vào đó, chúng là một vi xử lư độc lập, tách biệt, được tích hợp thẳng vào SoC chính của thiết bị. Dù vậy, chúng vẫn có một vi xử lư và một vùng nhớ riêng. Nói một cách dễ hiểu, chúng như một con chip nằm bên trong con chip chính vậy.
Dù dưới h́nh thức nào, th́ chip bảo mật cũng là một "đồng vi xử lư" (coprocessor) tách biệt, có vùng nhớ riêng và chạy hệ điều hành riêng. Chúng hoàn toàn bị cô lập khỏi mọi thứ khác.
Cứ tưởng tượng, nếu toàn bộ hệ điều hành Android hay iOS của bạn bị can thiệp bởi malware, và malware đó truy cập được mọi thứ, nó vẫn sẽ không thể truy cập được nội dung bên trong vùng bảo mật nói trên.
Chip bảo mật bảo vệ điện thoại của bạn ra sao?
Secure Enclave nắm giữ ch́a khóa mở ra dữ liệu sinh trắc học của Face ID
Dữ liệu trên điện thoại của bạn được lưu trữ dưới h́nh thức mă hóa trên bộ nhớ. Ch́a khóa để mở dữ liệu đó được lưu trữ trong khu vực bảo mật. Khi bạn mở khóa điện thoại bằng mă PIN, mật mă, Face ID, hay Touch ID, vi xử lư bên trong khu vực bảo mật sẽ xác thực danh tính bạn và sử dụng khóa để giải mă dữ liệu đang ở trong bộ nhớ.
Khóa giải mă này không bao giờ lọt ra khỏi khu vực bảo mật của chip bảo mật. Nếu một kẻ tấn công t́m cách đăng nhập bằng cách đoán đi đoán lại mă PIN hay mật mă, chip bảo mật có thể giữ chân chúng và buộc chúng phải chờ đợi giữa các lần đăng nhập. Ngay cả khi kẻ đó đă xâm nhập được vào hệ điều hành chính của thiết bị, chip bảo mật cũng sẽ hạn chế được khả năng truy xuất vào các khóa bảo mật của bạn.
Trên iPhone hay iPad, Secure Enclave lưu trữ các khóa mă hóa để bảo vệ thông tin khuôn mặt (Face ID) hay vân tay (Touch ID) của bạn. Kể cả khi ai đó đánh cắp được điện thoại và bằng cách nào đó can thiệp được vào iOS, chúng cũng sẽ không thể xem thông tin vân tay hay khuôn mặt được.
Chip Titan M của Google c̣n có thể bảo vệ các giao dịch nhạy cảm trong các ứng dụng Android. Các ứng dụng có thể sử dụng hàm API StrongBox KeyStore mới của Android 9 để tạo và lưu trữ các khóa riêng tư của chính chúng vào Titan M. Google Pay sẽ sớm ứng dụng tính năng này. Nó cũng có thể được sử dụng cho các loại giao dịch nhạy cảm khác, từ bỏ phiếu cho đến chuyển tiền.
iPhone hoạt động tương tự. Apple Pay sử dụng Secure Enclave, do đó mọi chi tiết về thẻ thanh toán của bạn đều được lưu trữ và giao dịch an toàn. Apple c̣n cho phép các ứng dụng trên điện thoại lưu trữ khóa của chúng trong Secure Enclave để tăng cường bảo mật. Secure Enclave đảm bảo phần mềm của chính nó được kư bởi Apple trước khi khởi động, do đó nó không thể bị thay thế bằng phần mềm đă qua chỉnh sửa.
TrustZone của ARM hoạt động rất giống với Secure Enclave. Nó sử dụng một vùng bảo mật của vi xử lư chính để chạy các phần mềm chính yếu. Các khóa bảo mật có thể được lưu trữ tại đây. Phần mềm bảo mật KNOX của Samsung chạy trong khu vực TrustZone này, do đó nó biệt lập với phần c̣n lại của hệ thống. Samsung Pay cũng sử dụng TrustZone để xử lư thông tin thẻ thanh toán một cách an toàn.
Trên điện thoại Pixel mới, chip Titan M c̣n bảo mật cả bootloader. Khi bạn khởi động máy, Titan M đảm bảo bạn đang chạy "phiên bản Android gần đây nhất được cho là an toàn". Bất kỳ ai được truy cập vào máy cũng không thể hạ cấp xuống một phiên bản Android cũ hơn với các lỗ hổng bảo mật được. Và firmware trên Titan M cũng không thể được cập nhật trừ khi bạn nhập passcode, do đó kẻ tấn công không thể tạo ra một firmware chứa mă độc để thay thế cho firmware của Titan M được.
Tại sao điện thoại lại cần một vi xử lư bảo mật?
Samsung Pay sử dụng ARM TrustZone và Samsung KNOX
Nếu không có vi xử lư bảo mật và vùng nhớ biệt lập, điện thoại của bạn sẽ rất dễ bị tấn công. Chip bảo mật sẽ cách ly dữ liệu trọng yếu như các khóa mă hóa và thông tin thanh toán. Ngay cả khi thiết bị của bạn đă bị can thiệp, malware cũng không thể truy xuất thông tin này.
Khu vực bảo mật c̣n hạn chế quyền truy xuất đến thiết bị của bạn. Ngay cả nếu ai đó có được thiết bị và thay thế hệ điều hành của nó bằng một hệ điều hành đă chỉnh sửa khác, chip bảo mật cũng sẽ không cho phép chúng đoán một triệu mă PIN hoặc passcode mỗi giây. Nó sẽ làm chúng chậm lại và cấm cửa chúng truy cập vào thiết bị của bạn.
Khi bạn sử dụng một ví di động như Apple Pay, Samsung Pay, hay Google Pay, các thông tin thanh toán của bạn có thể được lưu trữ bảo mật để đảm bảo không phần mềm độc hại nào đang chạy trên thiết bị của bạn có thể truy xuất được chúng.
Google c̣n đang thực hiện một vài thứ thú vị mới mẻ với chip Titan M, như xác thực bootloader của bạn và đảm bảo không kẻ tấn công nào có thể hạ cấp hệ điều hành hay thay thế firmware của Titan M.
Thậm chí một cuộc tấn công theo kiểu Spectre cho phép ứng dụng đọc bộ nhớ không thuộc về nó cũng không thể bẻ găy những con chip này, bởi chip sử dụng bộ nhớ hoàn toàn tách biệt khỏi bộ nhớ chính của hệ thống.
Nó bảo vệ điện thoại bạn trong khi chạy nền
Không người dùng smartphone nào thực sự cần biết về phần cứng này, dù điều đó có thể giúp bạn cảm thấy an toàn hơn khi lưu giữ các dữ liệu nhạy cảm như thông tin thẻ tín dụng và ngân hàng trực tuyến trên điện thoại.
Chip bảo mật đơn giản là một công nghệ thú vị, hoạt động âm thầm để bảo vệ điện thoại và dữ liệu của bạn, giúp bạn an toàn hơn. Rất nhiều người có kiến thức chuyên môn cao đang tập trung nghiên cứu để tăng cường bảo mật cho các smartphone hiện đại và bảo vệ chúng khỏi mọi loại tấn công có thể xảy ra. Và họ cũng đang cố hết sức để điều đó trở nên đơn giản đến mức bạn sẽ chẳng bao giờ phải nghĩ về nó!
VnReview
Bookmarks