Google beschermt Pixel-firmware tegen insider-aanvallen
Google heeft maatregelen genomen om de firmware van de eigen Pixel 2-toestellen tegen aanvallen door "insiders" te beschermen. Alle gebruikersgegevens op een Pixel-toestel worden versleuteld en de encryptiesleutels worden in de hardware beveiligd. Deze hardware draait beveiligde firmware die het wachtwoord van de gebruiker controleert. Is het ingegeven wachtwoord verkeerd, dan zal de firmware het toestel niet ontsleutelen.
Deze firmware beperkt ook de snelheid waarmee wachtwoorden kunnen worden gecontroleerd, wat het lastiger maakt om bruteforce-aanvallen uit te voeren. Om te voorkomen dat aanvallers de firmware door een kwaadaardige versie vervangen maakt Google gebruik van digitale handtekeningen. Om de controle van de handtekening te omzeilen heeft een aanvaller twee mogelijkheden, zo laat Google in een blogpost weten.
De eerste mogelijkheid is het vinden van een kwetsbaarheid in het controleproces. De andere optie is het verkrijgen van toegang tot de signeersleutel en daarmee de eigen kwaadaardige firmware signeren, zodat het toestel die als een legitieme update accepteert. Volgens Google is de software die de handtekening controleert zeer goed gecontroleerd en lastig te omzeilen.
De signeersleutels moeten echter ergens bestaan en er moeten mensen zijn die er toegang toe hebben. Voorheen bewaarden fabrikanten deze sleutels op veilige locaties en beperkten het aantal mensen dat er toegang toe had. Dit stelt deze mensen echter bloot aan dwang, zoals afpersing, of social engineering, aldus Google. Om dit probleem bij de Pixel 2 te voorkomen heeft Google "insider attack resistance" geïmplementeerd in de hardwarematige beveiligingsmodule die de encryptiesleutels voor de gebruikersgegevens bevat.
Zelfs wanneer een aanvaller over gesigneerde kwaadaardige firmware beschikt kan die niet op de beveiligingsmodule van een verloren of gestolen toestel worden geïnstalleerd zonder hulp van de gebruiker. Het is met name niet mogelijk om de firmware te upgraden die op het wachtwoord controleert, tenzij het juiste wachtwoord wordt gegeven. Er kan wel een "gedwongen" upgrade worden geïnstalleerd, bijvoorbeeld voor de verkoop van een refurbished toestel, maar hierbij worden ook de geheimen gewist waarmee de gebruikersgegevens zijn te ontsleutelen. Volgens Google is een dergelijke firmwarebescherming erg belangrijk en het bedrijf roept andere fabrikanten op om deze maatregel ook te implementeren.
Google implementeert "insider attack resistance" "tegen mensen blootgesteld aan dwang" door de FBI, "Het is met name niet mogelijk om de firmware te upgraden die op het wachtwoord controleert, tenzij het juiste wachtwoord wordt gegeven." door de gebruiker wiens telefoon door de FBI maar ook door de Chinese/Syrische/Russische inlichtingendiensten van landen met meer smartphone klanten dan in alleen de VS is geconfisqueerd. "volgens Google is een dergelijke firmwarebescherming erg belangrijk" want in Silicon Valley zijn mensen als Tim Cook misschien open over hun politiek en persoonlijke leven maar in andere delen van de wereld kun je voor je grindr account worden opgehangen "en het bedrijf roept andere fabrikanten" zoals Apple dat recent onder druk gezet is om een ondertekende forensische onderzoeksfirmware te maken "op om deze maatregel ook te implementeren." want samen staan de concurrerende giganten Google en Apple sterker tegen de FBI.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.