5月底，谷歌宣称，其 Pixel 2 智能手机中的加密功能可有效阻止对硬件、软件、操作系统和固件的攻击。该安全功能的核心是“内部人攻击阻抗”，即便取得管理员权限的特权用户也无法在手机主人不配合的情况下无损突破该加密。

5月31日，谷歌安卓开发者博客上，谷歌软件工程师 Shawn Willden 表示：“安卓安全团队认为，内部人攻击阻抗是用户数据防护整体策略中的重要部分。”

随着 Pixel 2 的发布，谷歌证明了用户数据是可以抵御特权内部人攻击的，所有手机厂商最好都采取类似措施。

内部人攻击阻抗功能是为了挫败攻击者利用流氓固件取得解密手机数据所需的密钥的。Pixel 2 手机默认加密用户的所有数据。用于解密数据的密钥存储在手机单独的一块防篡改硬件模块上。

该模块含有检查用户口令有效性的固件，确保只有输入了正确的口令才能解密设备，并对口令输错重试的速度做了限制，防止攻击者使用暴力破解方法猜解口令。

固件本身经过了数字签名，防止攻击者使用伪造或流氓固件试图盗取该硬件模块中的解密密钥。攻击者只有破解了数字签名验证过程，或者获取到数字签名密钥给自己的流氓固件签上名，才可以突破该方法的防护。

因为签名检查软件不仅体积小，还是隔离的，所以非常难以破解。

但用于签名的密钥还是得存储在某个地方，而且至少有一小部分人需要用这些密钥来签名合法固件。

公司企业通常会把这些密钥存储在非常安全的地方，并尽量减少能接触到它们的人数，降低密钥被盗的风险。但这么做并不能保证安全，因为能取得签名密钥的人有可能被强迫或被诱骗交出密钥。

所以谷歌在 Pixel 2 中的策略就是，将防护做到含有加密密钥的硬件安全模块中。谷歌的目标是确保即便攻击者成功搞到固件签名密钥，也无法在缺乏用户主动配合的情况下往 Pixel 2 上安装流氓固件。尤其是，除非用户输入正确的口令，否则即使固件经过合法签名，攻击者也不能在 Pixel 2 上更新该固件。

攻击者当然可以强制固件升级，就像翻新时可能需要做的一样，但这样一来手机上存储的所有加密数据也就同时清除掉了。