提高手机安全性的想法

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

这是一个创建于 516 天前的主题，其中的信息可能已经有所发展或是发生改变。

很多漏洞都是嵌入系统达到隐藏的目标。应该把系统做成固化的，烧录进芯片，从物理上封掉修改权限。类似 cd-rom 。可以有效避免用户修改系统造成的不开机和病毒入侵。存储系统芯片嵌入进 soc ，附加 mtp 安全芯片。用户数据单独存在 nand 里面，再利用触发点做防拆设计，打开后盖直接清空数据。也可以有效避免第三方维修。新机搭配新系统发布。把系统 bug 修复完整之后再烧录芯片，避免了更新带来的卡顿。系统没有自启 api ，防止病毒进入用户区隐藏。强制开启全盘加密。

第 1 条附言 · 2022-11-22 10:28:41 +08:00

补充一点内容，解释原文有问题的地方：系统文件存放在独立的 8G 空间的 nand 里面，并非分区，这个 nand 不可修改，在工厂烧录后固化，除非拆下来重新用编程器修改。用户数据也是储存在另一个单独 nand 里。
漏洞是肯定存在的，固化是保证了在漏洞被利用之后，影响最小。任何用权限限制的只读都有被突破的可能。在固化系统之前，只能是尽量修复使用层面的 bug （耗电，定位偏差，通话掉线）防止后期影响使用，可以内部测试几个月，再发布。防拆是为了 JTAG 调试和目前安卓通用破解方案（短接），防拆不一定在后盖检测，我不懂硬件设计，可以选择一个比较不会误触发的位置。最典型的 rootkit 就是利用了 bios 的可修改性进行攻击、隐藏的。

芯片

系统

嵌入

防拆

35 条回复 • 2022-11-22 18:11:34 +08:00

0o0O0o0O0o

2022-11-20 18:48:55 +08:00 via iPhone

槽点太多，一时失语

superrichman

2022-11-20 18:52:55 +08:00 via Android

too young

seers

2022-11-20 18:55:27 +08:00

iOS 的 checkmate 漏洞就是固化在 boot 里面导致无法修复

YamatoRyou

2022-11-20 19:05:02 +08:00

![](

)

EliteOtaku

2022-11-20 19:05:44 +08:00

打开后盖直接清空数据
-----------------------------
所以用户不小心摔坏手机后盖就意味着数据直接清空？笑死

shawndev

2022-11-20 19:16:37 +08:00

安全的很多实践是反直觉的，比如 Constant Time AES 。槽点确实太多了。

dingwen07

2022-11-20 19:29:42 +08:00

合着你设备买来就不更新操作系统了，然后发现安全漏洞之后让用户买一台新的？很多时候固化在硬件中不可更改的代码才是最麻烦的，就比如 CVE-2019-8900 。
苹果现在做的是有一个不可更改的固件会在启动时对操作系统进行验证，如果操作系统没有来自 Apple 的针对处理器的签名，那么就会拒绝加载内核。

singerll

2022-11-20 19:31:46 +08:00 via Android

从第一句话开始就是错的。

billlee

2022-11-20 20:13:56 +08:00

Secure boot 了解一下, read-only rootfs 了解一下，dm-verify 了解一下

yaott2020

2022-11-20 20:18:48 +08:00 via Android

看完之后竟然不知道该从哪里下口

ReVanTis

2022-11-20 20:20:54 +08:00

Not even wrong

hezhile

2022-11-20 20:25:03 +08:00

无知则骄傲

xdym520

2022-11-20 21:08:14 +08:00

硬件级的漏洞才是最难解决的，推荐阅读[Intel CPU 漏洞简述]( https://paper.seebug.org/500/)

tanler9

2022-11-20 21:26:23 +08:00 via Android

看完顿时失语(~_~;)

evilStart

2022-11-20 23:02:50 +08:00 via Android

这是想要证伪相对论的民科在手机行业的又一力作么？

JiuW

2022-11-20 23:12:14 +08:00 via Android

特斯拉车机系统的一大优点就是可以远程升级，出现漏洞可以及时修复。

Planarians

2022-11-21 00:45:07 +08:00 via iPhone

最安全的就是准备一台一模一样看不出毛病的备用机

skies457

2022-11-21 00:56:21 +08:00 via Android

我有个想法，不如每次重启直接还原整个手机系统（狗头

ddggdd

2022-11-21 04:08:08 +08:00

你媳妇知不知道你这么聪明，回家跪键盘！

nyxsonsleep

2022-11-21 05:30:59 +08:00

挺逗的，看点书吧

ltkun

2022-11-21 05:57:00 +08:00 via Android

op 你肯定不是学理科的

liuidetmks

2022-11-21 08:53:38 +08:00

....把系统 bug 修复完....

软件永远有 bug 。

ThirdFlame

2022-11-21 09:54:19 +08:00

"很多漏洞都是嵌入系统达到隐藏的目标。" 漏洞是客观一定存在的、无需隐藏，都在代码里写的清清楚楚的。只是没有被是被识别出来。

没有被识别出来何谈“把系统 bug 修复完整”，等识别出来想修复的时候却发现“固化的，烧录进芯片，从物理上封掉修改权限。类似 cd-rom 。”，导致无法修复。

baobao1270

2022-11-21 10:12:54 +08:00

系统做成固化的，烧录进芯片——手机不是本来就是这样的吗？ TPM ，Secure Boot ，甚至 x86 上还有 Intel ME ，在 CPU 里运行一个 minix 系统。现在大多数系统都是用户无法修改的，只有厂家签名的系统才能安装进去
存储系统芯片嵌入进 SOC——苹果 M1 、M2：？
打开后盖直接清空数据——HP 、DELL 、联想：我们在 PC 已经有类似的实现了，打开机箱直接报警，保密单位打开机箱就清空数据也不是不可能。
有效避免第三方维修——在国外这个不合法

你想到的工程师都想过了，你觉得没实现的都是在技术和成本上不现实的

llsquaer

2022-11-21 10:33:10 +08:00

搞个 ip 白名单, 且你知道这些白名单的来源和对应的地址...其余的全部 pass 网不好不用担心.能用就行

testver

2022-11-21 10:35:38 +08:00

OP 让我想起了邓宁-克鲁格效应(The Dunning-Kruger Effect)，也称达克效应（ D-K Effect ）。

邓宁将这种效应归纳为：「如果你没有能力，你就不会知道自己没有能力。」

testver

2022-11-21 10:37:11 +08:00

还有一句，是说产品经理说客户侧的需求：

头脑混乱点子多，瞎出主意不负责。

chrawsl

2022-11-21 11:01:22 +08:00

学而不思则罔，思而不学则殆

akaHenry

2022-11-21 11:25:45 +08:00

题主很多想法, 槽点有点多.

不过, 关于机器防破拆 + 系统自毁机制, 是有实践的.

智能 POS 机(Android), 就使用了防破拆机制, 防止盗刷, 而且 POS 也内置了安全芯片+认证模组.

LS 很多人, 喜欢嘲笑外行, 大可不必. 而且题主很多想法, 在 POS 机领域, 有类似实践.

嘲笑别人无知的, 可能自己更加物质. ego 过多, 也是一种无知.

非专业人士, 往往会从意想不到的地方, 想出新的解决思路.

马斯克, 造火箭🚀 的时候, 也是门外汉, 也不妨碍, 他造出了当前最好的火箭.

鼓励更多人开脑袋, 科学创新, 往往从脑洞开始.

故步自封的"所谓专家", 比比皆是.

zyzkeion

2022-11-21 11:49:32 +08:00 via iPhone

不知道题主知不知道 FIPS 140-2 level4 标准的设备，就是这样规定和要求的，和答主说的一模一样，主要用于部门存放机密数据用的标准。
芯片确实就是全固化灌黑胶拆开就直接清零，有的还有 IP67 防水。
题主这个脑洞已经在实践中使用了，只不过大部分是储存设备。
因为代码总会有 bug 在正常使用中难免会误杀清空数据，最多也是 U 盘用这种标准，而且这个标准有一条要求代码绝对可靠。
手机设备目前没有一款能达到这个要求的，谁都不想在正常使用时手机变砖无法还原