Per proteggere i nostri smartphone e i dati sensibili che contengono dall'attacco di hacker, malware, virus e malintenzionati di ogni tipo, i giganti dell'elettronica hanno inserito nei loro più recenti device alcune tecnologie innovative. Di cosa si tratta? Di chip dedicati alla sicurezza o, in altri casi, di "aree nascoste" dei chip in cui vengono archiviati i nostri dati più preziosi. Google, ad esempio, protegge i suoi telefoni Pixel 3 tramite un apposito microprocessore chiamato "Titan M", mentre Apple protegge gli iPhone di ultima generazione ricorrendo alla cosiddetta "Secure Enclave". Strategia simile per Samsung, che usa per i Galaxy la "ARM TrustZone". Dietro queste tecnologie diverse c'è sempre la stessa idea: separare i dati sensibili dal resto del sistema operativo e creare una robusta porta d'accesso affinché eventuali software malevoli non riescano ad entrare nella "zona sicura".
Questa zona è costituita da un chip dedicato (o da una parte dedicata all'interno del chip principale) dotato di una sua memoria a cui il resto dei componenti del sistema non può accedere. In questa memoria vengono archiviate sia le informazioni relative a PIN, password, Face ID, Touch ID o qualsiasi altro metodo di accesso al telefono, ma anche eventuali numeri di carte di credito collegate ai sistemi di pagamento come Google Pay, Samsung Pay o Apple Pay.
Come funzionano i chip per la sicurezza
Il funzionamento di questi chip è leggermente diverso in base al costruttore. Google adotta un vero e proprio chip separato, il Titan M, con una sua memoria per archiviare i dati e un sistema operativo che ha il solo compito di far girare il Titan. Apple Secure Enclave e ARM TrustZone (quest'ultima utilizzata da diversi produttori di smartphone Android, come Samsung) non sono invece dei processori separati ma una zona del processore principale separata dal resto, che gestisce una sua area di memoria inaccessibile al resto del chip. In entrambe le soluzioni tecniche, come avrai capito, la parola d'ordine è "separare": anche se l'intero sistema operativo (sia esso Android o iOS) fosse attaccato e del tutto compromesso da un malware, non ci sarebbe modo per questo software malevolo di accedere alla zona ristretta.
Normalmente i dati presenti su ogni smartphone sono criptati con una chiave composta da una sequenza di numeri e lettere. Questa chiave è memorizzata proprio nell'area protetta e quando esegui l'accesso al tuo cellulare (tramite PIN, password, Face ID o Touch ID), il chip di sicurezza (o la parte dedicata alla sicurezza all'interno del chip principale) utilizza tale chiave per decrittografare i dati dello smartphone. Questa chiave di crittografia non esce mai dall'area protetta: neanche un sistema operativo infetto da un virus ha modo di chiederla e di ottenerla, per sbloccare il telefono si passa sempre dal "reparto sicurezza" che mette in atto alcune strategie per proteggere la chiave e, di conseguenza, i tuoi dati più importanti.
Queste strategie consistono principalmente in una: rallentare. Quando un virus vuole la chiave di sicurezza, infatti, di solito inizia a bombardare il "reparto sicurezza" di richieste tramite delle password generate automaticamente, fino a quando non trova quella giusta per entrare. Se il "reparto sicurezza" riceve la password (o il PIN o la FaceID/TouchID) giusta, infatti, crede che a sbloccare il telefono sei tu e "ti lascia entrare". I virus, quindi, generano milioni di richieste al secondo fino a quando non riescono a fare breccia. Ma il chip dedicato alla sicurezza glielo impedisce accettando solo un numero molto limitato di richieste al secondo e rendendo inutile "l'artiglieria pesante" del malware.
Cosa proteggono i chip di sicurezza
Sempre seguendo questa logica, i chip di sicurezza possono proteggere anche altri dati ritenuti importanti oltre a quelli necessari a sbloccare il cellulare. Google Titan M, ad esempio, può anche proteggere le transazioni sensibili (cioè quelle con carta di credito) eseguite dalle app Android. Le app possono utilizzare la nuova "StrongBox KeyStore API" di Android 9 per generare e archiviare le proprie chiavi private in Titan M (che le protegge esattamente come fa con la chiave principale del telefono: rallentando gli attacchi). Google Pay a breve inizierà a testare questa funzionalità e, in futuro, si potrebbe anche decidere di usarla per permettere all'utente operazioni che richiedono la massima privacy e sicurezza, come il voto online o l'invio diretto di denaro.
Similmente Secure Enclave su iPhone registrao in modo sicuro i dati delle carte di credito e aggiunge anche un ulteriore livello di sicurezza: non accetta richieste di accesso da software che non sia firmato da Apple. Anche TrustZone di ARM memorizza nell'area sicura tutte le chiavi di sicurezza e può anche ospitare ulteriori software che proteggono il telefono. Il software KNOX di Samsung, ad esempio, non viene eseguito nella memoria generale e dal chip principale del telefono, ma gira esclusivamente dentro la ARM TrustZone, quindi è isolato dal resto del sistema. Stessa cosa per Samsung Pay.
18 novembre 2018