去年谷歌推出其旗舰产品 6 以及 6 Pro 智能手机的时候，该公司称其“芯片上的系统”以及专用的 M2 安全芯片是为了支撑新一代安全和隐私功能而特意设计的。如今，这一安全芯片已然成为 7 系列和 6a 等谷歌手机的宣传点。

从技术层面来说，2 系列内置了名为 Core 的独立芯片。但最初谷歌没有激活它，用户起初只能通过开发者选项来启用该芯片的功能。过了一代之后，该公司宣称 3 设备将会包含一个名为 M 的硬件安全模块。接着，在 2021 年，谷歌紧接着推出了 M2。

在这篇文章里，我们来仔细瞧一瞧 M2 在设备里所起的作用，以及它的工作原理。

M2 芯片到底是什么?

谷歌的 服务器芯片(左)和第一代 M 安全芯片(右)

M2 是 6 系列和 7 系列智能手机所包含的专用安全芯片。谷歌对 M2 进行了内部设计，所以它能够完全掌控其功能集。该芯片是以 RISC-V CPU 架构为基础的，并且包含有自身的内存、RAM 以及密码加速器。

谷歌多年来为提高智能手机安全性采取了众多措施，M2 是其中之一。谷歌花费三年时间让 M2 接受了第三方实验室 SGS 的测试。该芯片如今拥有一系列通用标准的硬件安全认证，其认证过程与智能卡、SIM 卡和银行卡芯片的安全认证过程相同。M2 通过了最高级别的硬件漏洞评估，这表明它具备很强的抵御物理攻击的能力。

以某种的强制性全盘加密为例。在多数设备上，它借助被称作可信执行环境（TEE）的安全功能，此功能本质上是处理器的一个安全区域。设备会把其加密密钥存储在这个安全区域里，并且该区域会受到你所设置的图案、PIN 码或密码的保护。也就是说，TEE 将加密密钥隔离开来，从不向用户以及操作系统泄露这些密钥。

当今时代，几乎所有的智能手机 SoC 都具备 TEE 或者类似的安全环境。在骁龙芯片方面，其通常被称作高通安全执行环境（QSEE）。苹果基于 Arm 的芯片（像 M1 这类）是拥有相关安全环境的。有了这些安全环境，恶意应用程序就没办法访问解密密钥、生物特征以及其他敏感数据。

在 3 中，谷歌把 TEE 从芯片组中分离出来，接着使用了单独的安全模块。M 本身现在已被 M2 所取代，它几乎可以被看作是独立的处理器。该芯片既不与主处理器共享内存等资源，也不共享高速缓存等资源，并且还利用受保护的闪存来存储敏感数据，同时运行着自己的微内核。

M2 芯片有什么作用?

主芯片执行通用任务，而像 M2 这样的专用安全芯片执行的功能很少。这使得潜在攻击媒介的数量大大减少，因为大多数软件无法直接与安全芯片进行交互。

我们先从启动安卓操作系统来谈安全芯片的作用。当打开设备时，M2 会与引导加载程序进行通信，目的是验证正在运行的是最新的已知版本。通过此检查，能确保攻击者不会将设备的操作系统回滚到可能不安全的旧版本。谷歌还称，该芯片能够防止恶意对引导加载程序进行解锁的尝试。

手机启动后，其存储会一直处于加密状态且无法被访问，要到您清除锁定屏幕提示才行。M2 起着关键作用，因为它存有解密密钥。即便攻击者篡改操作系统去尝试暴力破解锁定屏幕，该芯片也会在硬件层面限制尝试的次数。倘若您输入正确的图案或 PIN，M2 只会将解密密钥显示出来。

但是，如果攻击者打算直接对 M2 进行篡改呢？谷歌对此也有考虑。没有设备的模式或 PIN 的情况下，您无法对芯片的固件进行更改或更新。该公司还宣称，它增强了芯片，使其能够抵御诸如功率分析和电压波动等侧信道攻击。

M2 提供支持，它是第三方应用程序用以存储加密密钥的安全空间。比如，支付应用程序能够请求芯片为所保存的卡生成并留存私钥。同时，借助该芯片，还能支持通用的 FIDO 认证标准。这表明您可以把手机当作在线账户的物理双因素身份验证密钥。

谷歌表明不会记录用户的浏览数据，同时该公司称会记录一些匿名的汇总性指标。

END