بالإضافة إلى الكثير التحسينات التي تواجه المستخدم في أحدث إصدار من Android الذي تم الإعلان عنه أمس، هناك عدد من الإجراءات الأمنية المثيرة للاهتمام التحسينات، والتي يبدو أنها تشير إلى أن جوجل لم تهمل أمان النظام الأساسي تمامًا في هذا الجديد يطلق. ستتناول هذه المقالة ما هو جديد وما يعنيه بالنسبة لك.
SELinux في وضع الفرض
في Android 4.4، انتقل SELinux من التشغيل في الوضع المسموح (الذي يقوم ببساطة بتسجيل حالات الفشل)، إلى وضع التنفيذ. SELinux، الذي تم تقديمه في Android 4.3، هو نظام إلزامي للتحكم في الوصول مدمج في Linux kernel، من أجل المساعدة في فرض حقوق التحكم في الوصول الحالية (أي. الأذونات)، ومحاولة منع هجمات تصعيد الامتيازات (أي. تطبيق يحاول الوصول إلى الجذر على جهازك).
دعم مفاتيح التوقيع ذات المنحنى الإهليلجي (ECDSA) في AndroidKeyStore
يشتمل الآن مزود مخزن مفاتيح Android المدمج على دعم لمفاتيح التوقيع Eliptic Curve. في حين أن تشفير المنحنى الإهليلجي ربما تلقى بعض الدعاية السيئة (غير المبررة) في الآونة الأخيرة، إلا أن تشفير المنحنى الإهليلجي هو وسيلة شكل قابل للتطبيق من تشفير المفتاح العام الذي يمكن أن يوفر بديلاً جيدًا لـ RSA وما شابه خوارزميات. في حين أن التشفير غير المتماثل لن يصمد أمام تطورات الحوسبة الكمومية، فمن الجيد أن نرى أن Android 4.4 يقدم المزيد من الخيارات للمطورين. بالنسبة لتخزين البيانات على المدى الطويل، يظل التشفير المتماثل هو أفضل طريقة.
تحذيرات شهادة SSL CA
تشتمل العديد من بيئات تكنولوجيا المعلومات الخاصة بالشركات على برنامج مراقبة SSL، والذي يضيف مرجعًا مصدقًا (CA) إلى جهاز الكمبيوتر و/أو المتصفح الخاص بك، السماح لبرنامج تصفية الويب الخاص بالشركة بتنفيذ هجوم "رجل في المنتصف" على جلسات HTTPS الخاصة بك للأمان والمراقبة المقاصد. أصبح هذا ممكنًا مع Android عن طريق إضافة مفتاح CA إضافي إلى الجهاز (مما يسمح لخادم بوابة شركتك "بالتظاهر" بأنه أي موقع ويب تختاره). سيحذر Android 4.4 المستخدمين إذا تمت إضافة شهادة CA إلى أجهزتهم، بحيث يكونون على دراية باحتمال حدوث ذلك.
الكشف الآلي عن تجاوز سعة المخزن المؤقت
يتم الآن تجميع Android 4.4 مع FORTIFY_SOURCE الذي يعمل في المستوى 2، ويضمن تجميع جميع أكواد C البرمجية مع هذه الحماية. يتم أيضًا تغطية التعليمات البرمجية المجمعة باستخدام clang في هذا. FORTIFY_SOURCE هي إحدى ميزات الأمان الخاصة بالمترجم، والتي تحاول التعرف عليها بعض فرص تجاوز سعة المخزن المؤقت (والتي يمكن استغلالها بواسطة البرامج الضارة أو المستخدمين لتنفيذ تعليمات برمجية عشوائية على الجهاز). على الرغم من أن FORTIFY_SOURCE لا يلغي جميع احتمالات تجاوز سعة المخزن المؤقت، فمن المؤكد أنه من الأفضل استخدامه بدلاً من عدم استخدامه، لتجنب أي أخطاء واضحة عند تخصيص المخازن المؤقتة.
تثبيت شهادة جوجل
مع التوسع في دعم تثبيت الشهادات في الإصدارات السابقة من Jellybean، يضيف Android 4.4 الحماية ضد استبدال الشهادات لشهادات Google. تثبيت الشهادة هو السماح فقط باستخدام بعض شهادات SSL المدرجة في القائمة البيضاء مقابل نطاق معين. وهذا يحميك من قيام مزود الخدمة الخاص بك باستبدال (على سبيل المثال) الشهادة المقدمة إليه بموجب أمر من حكومة بلدك. بدون تثبيت الشهادة، سيقبل جهازك شهادة SSL الصالحة (حيث يسمح SSL لأي مرجع مصدق موثوق بإصدار أي شهادة). من خلال تثبيت الشهادة، لن يقبل هاتفك سوى الشهادة الصالحة ذات الترميز الثابت، مما يحميك من هجوم الوسيط.
يبدو بالتأكيد أن Google لم تكن ترتكز على أمجادها فيما يتعلق بأمان Android. هذا بالإضافة إلى إدراج مارك ألماني الحقيقة، والتي قد يكون لها عواقب وخيمة على الأشخاص الذين يرغبون في عمل روت لأجهزتهم وتعديلها باستخدام أدوات تحميل التشغيل المقفلة (أي. التي تفرض توقيعات النواة).