那麼有沒有那麼容易呢,android系統是如何保護使用者指紋這一極度私密的資訊的呢?
由於android 6.0之前,系統沒有統一的指紋識別處理流程,當時提供指紋功能的各手機廠商的方案都是自行實現的,實現方式各異,其安全性也得不到保障,因此屢屢爆出被破解的新聞。google在統一了fingerprint api之後,緊接著對所有支援指紋識別的手機廠商提出了要求:
必須有乙個硬體支援的金鑰庫實現,並在可信執行環境(tee)或帶有安全通道的晶元上執行指紋匹配。
必須將所有可識別的指紋資料加密並進行加密認證,使其不能在可信執行環境(tee)之外獲得,讀取或更改。
下圖是google統一介面後的指紋識別流程:
除此之外,google還有以下要求:
只有加密形式的指紋資料可以儲存在檔案系統中(即使檔案系統本身已加密)
指紋模板必須已通過裝置專用私鑰(例如 aes 金鑰)簽名,並且必須至少包含絕對檔案系統路徑、群組和指紋 id,這樣一來,相應模板檔案便無法在其他裝置上使用,並且無法用於在同一裝置上註冊的任何其他使用者。
在指紋錄入以後,指紋圖像還需要在tee中被處理成數字資訊,經過提取和加密,最終儲存在tee環境中。在驗證指紋時,所有的資料傳遞、解密及指紋匹配等操作同樣發生在tee中,執行完所有的操作後,才將匹配結果返回給系統的中間層fingerprintservice,也就是ree。正是通過這一系列措施,強化了指紋錄入和識別的安全性。
除了指紋識別之外,trustzone還可以應用在更多的場景,例如 drm(數字版權管理),移動支付等。不過,特立獨行的iphone雖然使用的也是arm架構的處理器,但他們的指紋安全方案可沒有採用trustzone。
如何保護系統免受slow HTTP attacks
slow http attacks是一種拒絕服務攻擊 dos 方式,這種方式主要是通過以10 100s每位元組的慢速向伺服器傳送http請求。假如乙個http請求沒有結束,或者這個傳輸速率很慢,那麼伺服器就會保留系統的資源來等待還剩餘的資料。當伺服器的當前連線數達到它的額定值,那麼這就造成了dos攻...
android 如何保護我們的app(二)(乾貨)
什麼是乾貨啊,不多說了,直接上 一看就懂 檢測安卓程式是不是谷歌應用商店,其他市場也實用 param context return true 表示是谷歌應用市場 public static boolean checkgoogleplaystore context context 檢查自己是不是執行在...
用chattr保護檔案系統的安全
chattr 1.作用 修改ext2和ext3檔案系統屬性 attribute 使用許可權超級使用者。2.格式 chattr rv aacddijssu v version 檔案或目錄 3.主要引數 chattr 命令的作用很大,其中一些功能是由linux核心版本來支援的,如果linux核心版本低於...