アプリケーションデータをモバイルデバイスに安全に保存する方法
デバイスにメッセージング履歴を保存するメッセージングアプリ(whatsappなど)でセキュリティを最大限に強化するにはどうすればよいですか?具体的には、デバイスが物理的に侵害された場合やマルウェアを使用して侵害された場合にデータが盗まれるリスクを最小限に抑える方法について言及しています。 whatsappはチャットの履歴を含むファイルを暗号化しますが、デバイス間でこのファイルを転送しても、whatsappで開いてコンテンツを読み取ることができます。では、この保護はどのようなリスクを軽減することを意味するのでしょうか?ファイルシステムがアクセスを制限しているため、アプリケーションだけがファイルにアクセスできることを知っています。つまり、デバイスが危険にさらされていない限り、悪意のあるエンティティがこの情報にアクセスすることはできません。この仮定は正しいですか?別のスレッドで、セキュリティを提供する手段としてSIMカードを使用する機能があることを確認しました- ユーザー/所有者からでもモバイルデバイス上のデータを保護しますか? これは私のシナリオ?
コンピューターで行うのと同じ方法で行いますが、マシンが危険にさらされると、すべての賭けが無効になり、ほとんどの時間を無駄に費やしています。あなたはチェックアウトすることができます この関連する質問 ハードウェアからキーを導出し、それを使用して機密データを暗号化することを提案していますが、それでも攻撃者がリバースエンジニアリングするまでの時間を増やすだけですアプリがこのキーを生成し、同じ電話で実行されている彼のマルウェアを使用して同じキーを生成します(したがって、同じハードウェアにアクセスできます)。
この場合、HSMが役立ちますが、アプリがHSMからデータを取得できる場合、マシンへのrootアクセス権を持つ攻撃者もそうすることができます。 HSMは、秘密鍵など、それらから取得することが想定されていないデータに対してのみ有効です(これらはHSMで生成されます。HSM自体がそれらを使用して、ホストマシンによって送信されたデータの暗号化操作を行いますが、実際のキー)ですが、ユーザーが読み取りたい(つまり、HSMから戻る)メッセージ履歴を保護する必要があるため、このケースには当てはまりません。