Android & beveiliging: is Android goed beveiligd?

Bij de aanschaf van een smartphone worden gegevensbescherming en beveiliging vaak genegeerd. Google heeft stappen ondernomen om de beveiliging van smartphones die op Android draaien en met name die van de Google Pixel-smartphones te optimaliseren. 

In dit artikel geven we je een overzicht van beveiligingskenmerken van Android-smartphones. Denk hierbij aan bijvoorbeeld de Titan M-chip in de Pixel-smartphones, TrustZone en Private Compute Core.

Smartphones slaan gevoelige informatie op, zoals privé- en zakelijke chats en e-mails, VPN-toegang tot bedrijfsnetwerken, bewegings- en gezondheidsgegevens en vingerafdrukken. Bovendien kan een smartphone dienen als portemonnee, sleutelbos, ticketbewaarder en virtuele creditcard.

Een gestolen of verloren smartphone kan leiden tot verlies van gegevens en financiële schade als de geheime sleutels niet goed zijn beveiligd. Het is daarom essentieel om de beveiliging van smartphones te verhogen.

Google heeft stappen ondernomen om de beveiliging van Android en Pixel-telefoons te verbeteren. Beveiligingskenmerken zoals Titan M, TrustZone en Private Compute Core zijn geïmplementeerd om de privacy van gebruikers te beschermen en de beveiliging te verhogen.

Beveiliging roept misschien beelden op van hackers die wachtwoorden proberen te kraken met malware of roottoegang gebruiken om online bankopdrachten te manipuleren. Moderne Android-telefoons hebben verschillende hardware- en softwaremaatregelen om dergelijke aanvallen te voorkomen.

Google, als belangrijkste ontwikkelaar van Android, benadrukt het belang van beveiliging en belooft een hoog niveau van gegevensbescherming voor de Pixel-serie smartphones. Vanaf de zesde generatie Pixel-modellen gebruikt Google niet langer system-on-chip (SoC) van derden zoals de Snapdragon-chips van Qualcomm, maar in plaats daarvan de Tensor-SoC die samen met Samsung is ontwikkeld. Dit bevat niet alleen een ARM-CPU met acht kernen, maar ook twee speciale beveiligingskernen.

De Titan M2-chip is essentieel voor het veilig opslaan van cryptografische sleutels op Pixel-telefoons. Het genereert en bewaart deze sleutels veilig, wat belangrijk is voor het versleutelen van pincodes en wachtwoorden op de telefoon. Dit zorgt ervoor dat gevoelige gegevens niet gelezen kunnen worden, zelfs als de telefoon in verkeerde handen valt of besmet is met malware. De chip wordt de ‘Titan M’ genoemd in de Pixel 6 en is vergelijkbaar met de T2-chip van Apple. De sleutels die in de Titan M2 zijn opgeslagen, zijn essentieel voor dit proces en zorgen voor een veilige opslag van de gegevens in de SoC of het RAM.

In de Pixel-telefoons is er een speciaal gebied op de SoC genaamd de ‘Tensor Security Core’, die fungeert als de interface tussen de Titan M2 en de rest van de hardware van de Tensor-chip. Dit communiceert met het Android-systeem via een API.

Sinds Android 9 (API 28) heeft de geïsoleerde en vertrouwde omgeving ‘Android Strongbox’ een door hardware ondersteunde sleutelopslag genaamd Keymaster. Deze versleutelt wachtwoorden en biometrische gegevens veilig en beperkt de toegang tot deze gegevens zelfs voor het besturingssysteem. De geheime sleutel die de gegevens decodeert, wordt veilig bewaard in de Titan M2 en wordt nooit vrijgegeven.

Voor dergelijke taken heeft de smartphone’s secure element, zoals de Titan-chip in de Pixel 6 en 7, zijn eigen cpu en beveiligd geheugen nodig. Het moet beschikken over een toevalsgetal-generator en een beveiligde timer en fysieke bescherming bieden tegen onbevoegde toegang van buitenaf.

Google garandeert dat de Titan M2 voldoet aan het beschermingsprofiel PP-0084 en aan de veiligheidsnormen van bankpaschips. Het beschermt tegen complexe aanvallen zoals het analyseren van het energieverbruik van de chip of het slijpen van de chip.

De Titan M2 waarborgt de integriteit van het Android-besturingssysteem. ‘Verified Boot’ controleert de code bij het opstarten en gebruikt een hardwarebeveiligd kanaal om de handtekeningen van de bootloader te controleren. Het controleert de opstartpartitie en andere kritieke partities tenzij de bootloader handmatig ontgrendeld wordt.

Met Verified Boot en rollback-bescherming sinds Android 13, is het onmogelijk om een verouderde versie van het OS te flashen met beveiligingslekken. De versleuteling van het OS voorkomt toegang tot opgeslagen gegevens en de pincode en vingerafdruk voorkomen toegang tot gegevens wanneer de smartphone is ingeschakeld. Aanvallers en spionnen moeten dus een ingeschakelde en ontgrendelde mobiele telefoon bemachtigen om gegevens te stelen.

Alle huidige modellen van Android-smartphones hebben een beveiligde besturingssysteemomgeving, Trust Zone genaamd, die gebruikmaakt van de ARM-architectuur. Deze omgeving virtualiseert een processor en draait Trusty OS parallel aan Android. Trusty OS heeft toegang tot de cpu en het geheugen, maar is geïsoleerd door virtualisatie en andere maatregelen. Dit voorkomt dat beveiligingsproblemen in Android of kwaadaardige apps Trusty OS aantasten.

Toepassingen onder Trusty OS draaien altijd in een modus zonder privileges. Elke app heeft alleen toegang tot zijn eigen virtuele geheugengebied volgens het sandbox-principe. Communicatie met het eigenlijke besturingssysteem vindt alleen plaats via een paar speciale API’s. Het DRM-framework van Android is een voorbeeld van een Trusty-toepassing. Het rechtenbeheersysteem krijgt onder Trusty OS toegang tot apparaatspecifieke sleutels die nodig zijn om beschermde audio- en video-inhoud te ontsleutelen.

Vervolgens wordt de inhoud doorgegeven aan het Android-besturingssysteem om af te spelen, zonder dat het toegang heeft tot de sleutels. Andere Trusty-toepassingen kunnen bank- en mobiele betaalfuncties beveiligen en een veilige verificatie mogelijk maken van pincodes, vingerafdrukken en schermvergrendelingen.

De Private Compute Core (PCC) is de derde beveiligingslaag van Android. De PCC beschermt gevoelige functies van het besturingssysteem tegen de rest van het OS en heeft een beperkte internetverbinding. De PCC wordt gebruikt voor functies zoals Pixel Launcher, Smart Replies en Now Playing.

Pixel Launcher houdt bij welke apps je gebruikt en genereert suggesties op basis hiervan. Smart Replies toont knoppen met snelle antwoorden zodra er een chatbericht binnenkomt en Now Playing herkent bekende nummers op de achtergrond. Om de privacy van de gebruiker te waarborgen draaien deze functies in de beveiligde PCC en worden gebruiksprofielen uitsluitend hier verwerkt.

Android heeft op het gebied van beveiliging een indrukwekkende ontwikkeling doorgemaakt. Het systeem heeft nu verschillende functies die het moeilijk maken voor apps, malware en derden om toegang te krijgen tot gevoelige gegevens. Bovendien worden steeds meer Android-smartphones uitgerust met speciale beveiligings-chips.

Desondanks blijft de zwakste schakel de mens. Wie een display time-out van tien minuten instelt en vervolgens zijn telefoon onbeheerd achterlaat, apps van dubieuze bronnen installeert of een eenvoudige pincode kiest, kan daar bittere spijt van krijgen.