Εκτός από τα πολλά βελτιώσεις που αντιμετωπίζουν οι χρήστες στην πιο πρόσφατη ενσάρκωση του Android που ανακοινώθηκε χθες, υπάρχει μια σειρά από ενδιαφέροντα θέματα ασφάλειας βελτιώσεις, οι οποίες φαίνεται να δείχνουν ότι η Google δεν έχει παραμελήσει εντελώς την ασφάλεια της πλατφόρμας σε αυτό το νέο ελευθέρωση. Αυτό το άρθρο θα περιλαμβάνει ό, τι νέο υπάρχει και τι σημαίνει για εσάς.
SELinux σε λειτουργία επιβολής
Στο Android 4.4, το SELinux έχει περάσει από την εκτέλεση σε λειτουργία επιτρεπόμενης (η οποία απλώς καταγράφει τις αποτυχίες), σε λειτουργία επιβολής. Το SELinux, το οποίο εισήχθη στο Android 4.3, είναι ένα υποχρεωτικό σύστημα ελέγχου πρόσβασης ενσωματωμένο στον πυρήνα του Linux, προκειμένου να βοηθήσει στην επιβολή των υφιστάμενων δικαιωμάτων ελέγχου πρόσβασης (δηλ. δικαιώματα) και να προσπαθήσει να αποτρέψει επιθέσεις κλιμάκωσης προνομίων (δηλ. μια εφαρμογή που προσπαθεί να αποκτήσει πρόσβαση root στη συσκευή σας).
Υποστήριξη για κλειδιά υπογραφής ελλειπτικής καμπύλης κρυπτογραφίας (ECDSA) στο AndroidKeyStore
Ο ενσωματωμένος πάροχος αποθήκευσης κλειδιών Android περιλαμβάνει πλέον υποστήριξη για κλειδιά υπογραφής Eliptic Curve. Ενώ η Eliptic Curve Cryptography μπορεί να έχει λάβει κάποια (αδικαιολόγητη) κακή δημοσιότητα τελευταία, το ECC είναι ένα βιώσιμη μορφή κρυπτογραφίας δημόσιου κλειδιού που μπορεί να προσφέρει μια καλή εναλλακτική λύση στο RSA και άλλα παρόμοια αλγόριθμους. Ενώ η ασύμμετρη κρυπτογραφία δεν θα αντέξει τις εξελίξεις στον κβαντικό υπολογισμό, είναι καλό να δούμε ότι το Android 4.4 εισάγει περισσότερες επιλογές για προγραμματιστές. Για μακροπρόθεσμη αποθήκευση δεδομένων, η συμμετρική κρυπτογράφηση παραμένει η καλύτερη μέθοδος.
Προειδοποιήσεις πιστοποιητικού SSL CA
Πολλά εταιρικά περιβάλλοντα πληροφορικής περιλαμβάνουν λογισμικό παρακολούθησης SSL, το οποίο προσθέτει μια Αρχή έκδοσης πιστοποιητικών (CA) στον υπολογιστή ή/και στο πρόγραμμα περιήγησής σας, επιτρέψτε στο εταιρικό λογισμικό φιλτραρίσματος ιστού να πραγματοποιήσει μια επίθεση "άνθρωπος στη μέση" στις συνεδρίες σας HTTPS για ασφάλεια και παρακολούθηση σκοποί. Αυτό κατέστη δυνατό με το Android προσθέτοντας ένα επιπλέον κλειδί CA στη συσκευή (το οποίο επιτρέπει στον διακομιστή πύλης της εταιρείας σας να "προσποιείται" ότι είναι οποιοσδήποτε ιστότοπος επιλέγει). Το Android 4.4 θα προειδοποιήσει τους χρήστες εάν στη συσκευή τους έχει προστεθεί ένα τέτοιο πιστοποιητικό CA, έτσι ώστε να γνωρίζουν την πιθανότητα να συμβεί κάτι τέτοιο.
Αυτοματοποιημένη ανίχνευση υπερχείλισης buffer
Το Android 4.4 μεταγλωττίζεται τώρα με το FORTIFY_SOURCE που εκτελείται στο επίπεδο 2 και διασφαλίζει ότι όλος ο κώδικας C έχει μεταγλωττιστεί με αυτήν την προστασία. Ο κώδικας που έχει συνταχθεί με clang καλύπτεται επίσης από αυτό. Το FORTIFY_SOURCE είναι ένα χαρακτηριστικό ασφαλείας του μεταγλωττιστή, το οποίο προσπαθεί να αναγνωρίσει μερικοί ευκαιρίες υπερχείλισης buffer (τις οποίες μπορούν να εκμεταλλευτούν κακόβουλο λογισμικό ή χρήστες για να αποκτήσουν αυθαίρετη εκτέλεση κώδικα σε μια συσκευή). Αν και το FORTIFY_SOURCE δεν εξαλείφει όλες τις πιθανότητες υπερχείλισης buffer, σίγουρα χρησιμοποιείται καλύτερα από το αχρησιμοποίητο, για να αποφευχθούν τυχόν εμφανείς παραλείψεις κατά την κατανομή buffer.
Καρφίτσωμα πιστοποιητικού Google
Επεκτείνοντας την υποστήριξη για καρφίτσωμα πιστοποιητικών σε προηγούμενες εκδόσεις του Jellybean, το Android 4.4 προσθέτει προστασία έναντι της αντικατάστασης πιστοποιητικών για τα πιστοποιητικά Google. Το καρφίτσωμα πιστοποιητικού είναι η πράξη που επιτρέπει τη χρήση μόνο συγκεκριμένων πιστοποιητικών SSL στη λίστα επιτρεπόμενων σε έναν συγκεκριμένο τομέα. Αυτό σας προστατεύει από το να αντικαταστήσει ο πάροχος σας (για παράδειγμα) ένα πιστοποιητικό που του παρέχεται βάσει εντολής της κυβέρνησης της χώρας σας. Χωρίς καρφίτσωμα πιστοποιητικού, η συσκευή σας θα αποδεχόταν αυτό το έγκυρο πιστοποιητικό SSL (καθώς το SSL επιτρέπει σε κάθε αξιόπιστη αρχή αρχής να εκδώσει οποιοδήποτε πιστοποιητικό). Με το καρφίτσωμα πιστοποιητικού, μόνο το έγκυρο πιστοποιητικό με σκληρό κώδικα θα γίνει αποδεκτό από το τηλέφωνό σας, προστατεύοντάς σας από μια επίθεση man-in-the-middle.
Φαίνεται σίγουρα ότι η Google δεν επαναπαύεται στις δάφνες της με την ασφάλεια Android. Αυτό είναι επιπλέον του συμπερίληψη του dm-verity, το οποίο θα μπορούσε ενδεχομένως να έχει σοβαρές συνέπειες για άτομα που τους αρέσει να κάνουν root και να τροποποιούν τις συσκευές τους με κλειδωμένους bootloaders (δηλ. που επιβάλλουν τις υπογραφές του πυρήνα).