手机能当U盾用,谷歌要让安卓比iOS更安全?

就在大家围绕首张黑洞照片这个超级热点进行讨论之时,大洋彼岸的谷歌悄悄的宣布了一项大动作。现在运行Android 7.0或更高版本的Android手机,都可以作为物理双因素认证的安全密钥,也就是说在某种程度上,大家手中的Android机型已经能起到与银行U盾类似的作用。

要想让自己的Android手机成为安全密钥,只需要通过蓝牙将手机连接到ChromeOS、MacOS或Windows 10设备,然后打开单独的Chrome浏览器验证登录即可。不过目前该功能仅支持谷歌旗下的Gmail、G Suite、Google Cloud,或其他以谷歌账户登录的服务。

关于Android手机的安全性问题,早已是老生常谈,而在许多人的印象中,闭源iOS的iPhone要比Android手机安全得多。尽管这句话在绝大多数情况下是正确的,但是在安全行业中,谷歌的Pixel系列机型却一直被誉为最难被攻破的手机,同时也是移动安全领域最高赛事Mobile Pwn2Own,在2017年唯一一款未被攻破的移动设备。

作为亲儿子的Pixel系列,可以说一直被倾注了谷歌众多的心血。比如在去年亮相的Pixle 3系列上,谷歌就特意安装了Titan M芯片,更是公开宣称“Titan M makes Pixel 3 our most secure phone yet(Titan M使Pixle 3成为最安全的手机)”。

当然,目前除了Pixel 3之外,绝大多数Android机型都没有进行这样额外的安全防护,这就意味着谷歌认为目前的Android系统不需要额外的保护也足够安全。就像之前AV-Comparatives的评测一样,Android端许多杀毒APP其实根本就是样子货,但这也没有让Android手机重演彼时PC上病毒和木马泛滥的情况。

尽管Android并不是闭源的,但是相应规则也限制了不良开发者作恶的机会,规范了安卓标准组件(Activity、Service、Receiver、Provider)的访问权限。同时,根据之前曝光的谷歌与手机厂商新的OEM协议显示,Android设备厂商必须在至少2年时间内,为热门手机和平板电脑产品定期推送更新,同时还规定厂商需要在手机发布一年时间内,提供“至少4次安全更新”,更需要与谷歌的月度安全更新保持步调一致。

这就从根本上解决了Android生态中,各大厂商各自为战的状态。之前,Android漏洞的修复是安全人员发现漏洞上报谷歌,谷歌研究漏洞并推送安全补丁给厂商,但是厂商又需要研究安排加更漏洞推送的必要性,再一个个匹配相应的机型,最终在数月之后,这一漏洞补丁才算是终于被用户接收到。而现在漏洞补丁的推送速度大大加快,最起码比很多低水平的黑、灰产团队要快得多。

至于说,谷歌为什么有自信让Android手机成为双因素认证的密钥?这则得益于新的技术,其使用一对身份验证协议——FIDO与WebAuthn,通过双重检查用户是否在正确的网站上,而不是被钓鱼。

WebAuthn是Web身份验证的缩写,是一种用于更简单和强大的身份验证过程的浏览器与平台标准。该规范允许用户使用生物特征、移动设备和/或FIDO安全密钥登录在线帐户。

而FIDO则是Android手机能够成为“U盾”的关键,这是以设备为中心的全新技术标准,旨在解决移动设备碎片化严重、接口不统一,以及兼容多应用困难的问题,将认证方式与认证协议分离,并利用硬件设备内嵌的安全能力,对多设备多应用的不同身份认证方式提供同样的支持。提供致力于“无密码体验”(生物特征)的UAF标准,和“双因子体验”的U2F标准,且两种认证方式可选。

简单来说,用户既可以通过生物特征(指纹、声纹、面部识别),也能够用口令和特定设备来生成密钥。源于谷歌在安全性上的不断努力,Android手机已经可以承担起特定的移动端认证器作用。

需要注意的是,如果你认为谷歌这是又提出了一种仅为Android服务,而不是为国内安卓有作用的新技术,那可就大错特错了。因为,谷歌为Android手机准备的这项新功能是基于FIDO标准的,目前京东、支付宝、百度钱包、翼支付都是FIDO标准所支持的服务商。此外,WebAuthn也是一项通用的Web认证技术,并非是Chrome浏览器的专属功能,所以国内的Android用户体验到用Android手机当U盾的日子,也并不会太远。

【本文图片来自网络】

推荐阅读:

先别急着哀叹,亚马逊并不会离开中国市场

近期关于亚马逊中国的误读,我们做了一下小结。

高通AI开放日:第一次真正看到了满是AI的未来

近日在高通的AI开放日上的干货,看完这篇你就能了解。

(0)

相关推荐