Chiếc Pixel 3 của Google có một con chip bảo mật mang tên “Titan M”. Apple cũng có một con chip tương tự trên iPhone. Vậy những con chíp này hoạt động như thế nào?
Các điện thoại Galaxy của Samsung và một số thiết bị Android khác thì dùng công nghệ TrustZone của ARM. Với vấn đề bảo mật điện thoại, những con chíp này sẽ bảo vệ điện thoại cho bạn như thế nào?
Những con chip này về cơ bản là những chiếc máy tính nhỏ hoạt động độc lập với các linh kiện khác trong điện thoại của bạn. Chúng có các vi xử lý và bộ nhớ riêng, và chạy các hệ điều hành tí hon của riêng chúng.
Hệ điều hành thông thường trên điện thoại của bạn, cùng với các ứng dụng hoạt động trên hệ điều hành đó, không thể thấy được khu vực bảo mật này. Nhờ vậy, nó được bảo vệ khỏi các hành vi xâm phạm và cho phép nó thực hiện rất nhiều thứ hữu dụng.
Những con chip bảo mật hoạt động theo nhiều cách khác nhau. Trên chiếc điện thoại Pixel mới của Google, Titan M là một con chip vật lý thực thụ nằm tách biệt với CPU thông thường của máy.
Những con chip bảo mật hoạt động theo nhiều cách khác nhau. Trên chiếc điện thoại Pixel mới của Google, Titan M là một con chip vật lý thực thụ nằm tách biệt với CPU thông thường của máy.
Trong khi đó, Secure Enclave của Apple và TrustZone của ARM về mặt kỹ thuật lại không phải là một con chip riêng. Thay vào đó, chúng là một vi xử lý độc lập, tách biệt, được tích hợp thẳng vào SoC chính của thiết bị. Dù vậy, chúng vẫn có một vi xử lý và một vùng nhớ riêng. Nói một cách dễ hiểu, chúng như một con chip nằm bên trong con chip chính vậy.
Dù dưới hình thức nào, thì chip bảo mật cũng là một “đồng vi xử lý” (coprocessor) tách biệt, có vùng nhớ riêng và chạy hệ điều hành riêng. Chúng hoàn toàn bị cô lập khỏi mọi thứ khác.
Cứ tưởng tượng, nếu toàn bộ hệ điều hành Android hay iOS của bạn bị can thiệp bởi malware, và malware đó truy cập được mọi thứ, nó vẫn sẽ không thể truy cập được nội dung bên trong vùng bảo mật nói trên.
Theo goccongnghe, iPhone hoạt động tương tự. Apple Pay sử dụng Secure Enclave, do đó mọi chi tiết về thẻ thanh toán của bạn đều được lưu trữ và giao dịch an toàn. Apple còn cho phép các ứng dụng trên điện thoại lưu trữ khóa của chúng trong Secure Enclave để tăng cường bảo mật. Secure Enclave đảm bảo phần mềm của chính nó được ký bởi Apple trước khi khởi động, do đó nó không thể bị thay thế bằng phần mềm đã qua chỉnh sửa.
TrustZone của ARM hoạt động rất giống với Secure Enclave. Nó sử dụng một vùng bảo mật của vi xử lý chính để chạy các phần mềm chính yếu. Các khóa bảo mật có thể được lưu trữ tại đây. Phần mềm bảo mật KNOX của Samsung chạy trong khu vực TrustZone này, do đó nó biệt lập với phần còn lại của hệ thống. Samsung Pay cũng sử dụng TrustZone để xử lý thông tin thẻ thanh toán một cách an toàn.
Trên điện thoại Pixel mới, chip Titan M còn bảo mật cả bootloader. Khi bạn khởi động máy, Titan M đảm bảo bạn đang chạy “phiên bản Android gần đây nhất được cho là an toàn”. Bất kỳ ai được truy cập vào máy cũng không thể hạ cấp xuống một phiên bản Android cũ hơn với các lỗ hổng bảo mật được. Và firmware trên Titan M cũng không thể được cập nhật trừ khi bạn nhập passcode, do đó kẻ tấn công không thể tạo ra một firmware chứa mã độc để thay thế cho firmware của Titan M được.