Cuando Google presentó el Pixel 3 el 9 de octubre, una de las nuevas adiciones que mencionaron brevemente fue el chip de seguridad Titan M. Si bien hablaron sobre cómo mejorará la seguridad general, no ampliaron la cantidad de cambios que trae a la seguridad de Pixel 3. Bueno, finalmente compartieron más, y es un gran problema.
El Titan M es una versión más avanzada del módulo de seguridad de hardware en la línea Pixel 2 del año pasado. Tomaron prestado el chip Titan utilizado en sus centros de datos y lo adaptaron a los usuarios móviles (de ahí el M). Y gracias a las mejoras de seguridad de Android 9.0 Pie, Google integró mejor el chip de seguridad para que las aplicaciones también puedan aprovechar su poder.
Con las nuevas mejoras, tanto el sistema operativo como las aplicaciones se beneficiarán de un hardware seguro. Titan M se asegurará de que su teléfono arranque con software verificado cada vez que compruebe cada capa de arranque. Las aplicaciones pueden estar seguras de que las contraseñas y los pagos están autorizados y no son correctos cuando salen de su teléfono. El resultado es un posible fin de las vulnerabilidades aplicadas en los teléfonos bloqueados, un cifrado más sólido y una reescritura de las fallas anteriores de Google para proteger a sus usuarios.
Protegiendo la bota vertificada
Al expandirse en el sistema de arranque verificado de Android, Google está tomando una página de BlackBerry e integrando el chip de seguridad en el proceso de arranque seguro. El Pixel 3 validará el número de versión del sistema operativo Android para asegurarse de que está utilizando la versión correcta. Específicamente, ofrece protección contra retroceso para evitar que alguien cambie la versión de su teléfono a una versión anterior de Android.
De esta manera, un atacante no puede degradar el sistema operativo para eludir las nuevas herramientas de seguridad introducidas en la última versión. Para Pixel 3, esto es muy importante, ya que Android 9.0 Pie introdujo una serie de nuevas características de seguridad. Al degradarte a Oreo, un atacante podría eludir estas actualizaciones. Sin embargo, con la versión de Android ahora verificada en el chip Titan M, estás protegido contra ataques extranjeros durante el proceso de verificación, ya que el Titan M está separado del SoC.
Además, Titan M también protege su dispositivo de ejecutar una versión dañada de Android. Durante cada arranque, el Arranque Verificado (realizado en el Titan M) asegurará que todo el código provenga de una fuente confiable, requiriendo que se verifique cada partición antes de pasar a la siguiente.
Finalmente, al ejecutar el proceso de verificación en el chip Titan M, evita que las vulnerabilidades desbloqueen el gestor de arranque en Android. El gestor de arranque no pasará el proceso de verificación y no pasará a la siguiente etapa. Para que quede claro, esto no le impide desbloquear el gestor de arranque en el Pixel 3, que sigue siendo tan fácil como siempre.
Proteger las transacciones
Con Android 9.0 Pie, Google introdujo las API de Strongbox KeyStore, una nueva herramienta que trata específicamente el módulo de seguridad de hardware. Usando esta API, Titan M ahora puede generar y almacenar claves privadas para aplicaciones, extendiendo así su protección no solo al sistema operativo, sino también a aplicaciones de terceros.
Android 9.0 Pie también presentó la Confirmación protegida, una función que muestra un mensaje solicitando a un usuario que apruebe una breve declaración. Al aceptar la declaración, la aplicación puede reafirmar que el usuario leyó el mensaje y está dispuesto a completar la transacción confidencial, como pagos o votaciones. Usando Titan M, se generará una clave para firmar el mensaje. Debido a que Titan M está separado del sistema operativo, la firma es única y deja a la aplicación con un alto nivel de certeza de que el usuario ha leído el mensaje y lo ha aceptado.
Protección contra la manipulación
Durante años, los teléfonos han utilizado entornos seguros para proteger las claves de cifrado. Estos entornos ejecutan un firmware altamente seguro y responsable de verificar el código de acceso de los usuarios para obtener la clave para descifrar la partición de almacenamiento.
Sin embargo, los usuarios malintencionados podrían atacar este sistema reemplazando el firmware seguro que ejecutan con uno explotable, lo que facilita el acceso. Para evitar esto, los OEM, incluido Google, aplican una firma digital que confirma que el software que se está utilizando es de Google. Sin embargo, los atacantes pueden anular este proceso de una de estas dos maneras: encuentre una vulnerabilidad en el proceso de confirmación de firma u obtenga acceso a una clave firmada y úselo para firmar su software malicioso.
La primera es bastante difícil, pero con la segunda opción, las claves se pueden capturar mediante coerción o ingeniería social. Por lo tanto, Google sintió la necesidad de mejorar esta protección para evitar que estas claves sean accesibles para el individuo equivocado.
Lo que Google ha hecho con Titan M es una protección mejorada al construir una resistencia de ataque interna. Con esta protección, Titan M está protegido contra el uso de software malicioso al evitar que se realicen actualizaciones de su firmware sin que el usuario ingrese primero un código de acceso. Esto significa que sin su código de acceso para desbloquear la pantalla de bloqueo, no hay forma de que un actor malintencionado cambie el firmware del Titan M, lo que hace que las claves queden integradas. Esto hará que el cifrado de su Pixel 3 o 3 XL sea mucho más fuerte y más resistente a la manipulación.
Con los cambios que Google está haciendo, parece que BlackBerry los está borrando. Google está priorizando la seguridad y haciendo todo lo posible para asegurarse de que su Pixel 3 y 3 XL esté a salvo de cambios no deseados utilizando la potencia del chip de seguridad Titan M. ¿Qué te parecen estos cambios? ¿Estás entusiasmado con este nivel de protección? Háganos saber en los comentarios a continuación.