Chip bảo mật trên điện thoại: nó hoạt động ra sao và có ích gì cho chúng ta?

Một xu hướng trên smartphone hiện tại là chip bảo mật, Google trang bị chip Titan M trên dòng Pixel 3 trong khi Apple thì đã triển khai Secure Enclave trên iPhone từ lâu. Samsung và nhiều hãng khác cũng đang khai thác công nghệ TrustZonecủa ARM. Vậy chúng có chức năng gì và mang lại lợi ích gì cho người dùng?
Về cơ bản mỗi con chip giống như một chiếc máy tính thu nhỏ, nó có nhân xử lý riêng, bộ nhớ riêng và chạy một hệ điều hành riêng ở cấp thấp hơn nhiều so với hệ điều hành mà anh em đang dùng như Android hay iOS.

Mặc dù đều có tính năng bảo mật nhưng những con chip bảo mật này hoạt động theo nhiều cách khác nhau. Trên dòng Pixel 3 thì Titan M là một con chip thật sự (ô màu đỏ), nó nằm tách biệt với SoC Snapdragon 450 trong khi đó Secure Enclave của Apple hay TrustZone của ARM không hẳn là chip, nó là một nhân xử lý đặc biệt được tích hợp trong SoC. Và mặc dù không nằm ngoài như Titan M nhưng Secure Enclave hay TrustZone đều dùng bộ nhớ riêng. Cả 3 loại chip này đều được gọi là vi xử lý bổ trợ (co-processor) và chúng đều chạy một hệ điều hành rất nhỏ, được thiết kế riêng và cách ly hoàn toàn với mọi thứ xung quanh như OS chính của máy hay các ứng dụng. Vì vậy cho dù chiếc điện thoại của bạn bị dính malware, malware có thể chiếm quyền kiểm soát toàn hệ điều hành Android hay iOS, truy xuất mọi thông tin hay dữ liệu nó muốn nhưng nó sẽ không thể truy xuất vào những thứ nằm trong vùng bảo mật được những Titan M hay Secure Enclave tạo ra.
Vậy chip bảo mật bảo vệ điện thoại của bạn ra sao?
Dữ liệu trên điện thoại được lưu trữ trong một ổ lưu trữ được mã hoá, cũng chính là bộ nhớ máy và “chìa khoá” để mở quyền truy xuất dữ liệu này lại được lưu trong chip bảo mật. Khi bạn mở khoá điện thoại bằng mã PIN, mật khẩu, Face IDhay Touch ID thì vi xử lý bên trong vùng bảo mật sẽ xác thực bạn và sử dụng khoá xác thực này để giải mã dữ liệu trong bộ nhớ.
Khoá mã hoá luôn nằm trong vùng bảo mật của chip bảo mật. Nếu kẻ xấu cố tình mở máy bạn bằng cách đoán và nhập nhiều lần mã PIN hay mật khẩu thì chip bảo mật có thể khiến hắn nản lòng bằng nhiều cách, chẳng hạn như nhập sai nhiều lần mã PIN thì phải đợi mấy phút để thử lại hoặc vô hiệu hoá luôn. Thậm chí nếu hắn có vào được hệ điều hành máy thì chip mã hoá vẫn hạn chế khả năng truy xuất khoá bảo mật đã lưu.

Trên iPhone hay iPad, Secure Enclave lưu khoá mã hoá bảo vệ những thứ như Face ID, Touch ID. Cho dù máy có bị chôm mất và kẻ gian có thể can thiệp vào iOS thì hắn vẫn không thể lấy được thông tin về dấu vân tay, mật khẩu hay dấu hiệu nhận diện khuôn mặt của bạn đã lưu trong con chip này. Ngoài ra, Secure Enclave còn bảo vệ mọi thanh toán qua Apple Pay thành ra thông tin thẻ thanh toán đã lưu và giao dịch đều được bảo mật. Apple cũng cho phép ứng dụng trên điện thoại lưu khoá mã hoá riêng trên Secure Enclave để tăng tính bảo mật.

Video đang HOT

Tương tự, Titan M của Google cũng lưu trữ thông tin như mã PIN, dấu vận tay, mật khẩu … và cũng bảo vệ giao dịch nhảy cảm trong các ứng dụng Android. Ứng dụng có thể sử dụng hàm StrongBox KeyStore trên Android 9 Pie mới để tạo và lưu khoá bảo mật riêng trong Titan M. Google Pay cũng sẽ sớm khai thác đặc tính bảo mật của con chip này, ngoài ra Titan M còn bảo mật các loại giao dịch khác như bỏ phiếu điện tử, chuyển tiền điện tử.
Trên dòng Pixel 3, Titan M còn đóng vai trò bảo mật cho bootloader. Khi bạn khởi động điện thoại thì Titan M sẽ đảm bảo thiết bị đang chạy phiên bản Android bảo mật nhất, mới nhất. Bạn cũng không thể hạ phiên bản Android và firmware trên Titan M không thể được cập nhật nếu không có mã bảo mật.

TrustZone của ARM hoạt động tương tự Secure Enclave, nó cũng tạo ra một vùng an toàn để lưu khoá bảo mật. Chẳng hạn như phần mềm Samsung KNOX chạy trên vùng bảo mật TrustZone nhờ đó nó tách biệt hoàn toàn với phần còn lại của hệ thống. Dịch vụ Samsung Pay cũng sử dụng TrustZone để bảo mật thông tin thẻ thanh toán.
Tại sao điện thoại lại cần chip bảo mật?
Thiết bị sẽ dễ bị tấn công bởi chip bảo mật cách ly dữ liệu tối quan trọng như khoá mã hoá và thông tin giao dịch. Như đã nói ở trên, malware cho dù có chiếm quyền điều khiển hệ điều hành chính trên thiết bị vẫn không thể truy xuất dữ liệu được lưu trong vùng bảo mật này. Kẻ tấn công cũng không có cơ hội đoán mã PIN hay mật khẩu bởi chỉ cần sai vài lần là chip bảo mật sẽ đưa ra cơ chế bảo vệ, ngăn nhập nhiều lần hoặc vô hiệu hoá hoàn toàn.

Ngoài ra khi bạn sử dụng ví điện tử như Apple Pay, Samsung Pay hay Google Pay thì thông tin thanh toán của bạn sẽ được lưu trữ an toàn, đảm bảo phần mềm độc hại hay malware trên máy không thể truy xuất. Google cũng tăng độ bảo mật cho dòng Pixel 3 khi mà con Titan M còn đóng vai trò khoá bootloader, không thể hạ phiên bản OS hay can thiệp vào firmware máy. Thậm chí kẻ tấn công có khai thác lỗ hổng Spectre để đọc dữ liệu trên bộ nhớ đi nữa thì phân vùng bộ nhớ này không nằm chung với bộ nhớ của chip bảo mật.
Chip bảo mật là một thành phần rất quan trọng trên smartphone ngày nay khi mà hầu hết thông tin cá nhân, tài khoản ngân hàng hay các giao dịch điện tử đa phần được thực hiện trên loại thiết bị này. Không phải ngẫu nhiên mà cả Apple, Google hay Samsung đều dành 1 phần để nói về tính năng bảo mật trên điện thoại của họ. Dù không phải người dùng nào cũng có nhu cầu được biết hay thật sự quan tâm nhưng nó khiến chúng ta an tâm hơn khi sử dụng smartphone.

Theo Tinh Te

Google sẽ mở mã nguồn chip bảo mật Titan M: Mọi smartphone Android sẽ được bảo vệ kỹ càng Không chỉ dành riêng cho Pixel 3, Google sẽ mã nguồn mở firmware của Titan M trong thời gian tới để có thể nâng cao bảo mật cho cả nền tảng Android của mình. Bên cạnh nhiều nâng cấp về phần cứng và phần mềm, Google Pixel 3 còn mang tới một điều thú vị khác bên trong chiếc smartphone mới của mình....