Lugege uusimate komplikatsioonide kohta, mida verity ja Marshmallow toovad lukustatud seadmete juurdumisele kaasa.
Kui tolm settib Android 6.0 väljalase, Nexuse kasutajad sukelduvad OTA-de ja Tehase pildidja valmistuge Androidi operatsioonisüsteemi uusimaks iteratsiooniks.
Kuigi väljastpoolt vaadates näib Android 6.0 (vähemalt visuaalselt) märkimisväärselt sarnane Android 5.0 ja 5.1-ga (Lollipopi väljalasked), on selles mitmeid olulisi muudatusi. sees. Ühel neist võib olla kohandatud ROM-i ja juurkogukondade tagajärjed. Esiteks natuke tausta. Kui te ei ole sellest huvitatud, jätke lihtsalt alla jaotise "Miks see on oluline".
Funktsioon nimega Verity
Probleem (see on probleem, kui teile meeldivad juur- ja muutmisseadmed) tuleneb millestki, millele juhtisin tähelepanu juba ammu, kui see esimest korda AOSP-d tabas – dm-verity Androidile. Verity on turvafunktsioon, mis leiti algselt ChromeOS-is ja mis on loodud pakkuma kindlaid ja usaldusväärseid arvutiseadmeid, takistades pahatahtlikul tarkvaral seadet muutmast. Android 4.4-s teatas Google Androidi tõepärasusest ja seejärel jäi kõik vaikseks. Kuigi on olnud mõned
tõesuse kasutamise uurimine, enamjaolt on asjad vaikseks jäänud. Siiani see on.Android 6.0-ga on Google hakanud oma mängu seadme turvalisuse osas täiustama. Üks selle põhinõudeid on vältida seadme tarkvara muutmist ilma kasutaja teadmata – kuigi paljud siin XDA-s juurduge iseenesestmõistetavana, kujutage ette, et kasutaja seade on juurdunud ilma tema teadmata või nõusolekuta ja juurjuurdepääsu kasutatakse nende varastamiseks. andmeid. Sel põhjusel on Google hakanud mõnes seadmes süsteemisektsiooni kontrollimist rakendama. Samuti värskendasid nad hiljuti oma tugilehed selle katmiseks.
Mida see juurtega kasutajate jaoks tähendab?
Tõepoolest paigas, kõik süsteemisektsioonis tehtud muudatused tuvastatakse alglaadimisel või juurdepääsul. Seejärel seisate silmitsi ühe ülaltoodud veaga. Mõned võimaldavad teil jätkata ja mõned soovivad teid kaitsta, peatades seadme käivitamise. Saadaval on kolm osariiki. Üks kuvatakse, kui alglaadur on lukustamata, mis näitab, et võite olla ohus, kuni alglaaduri uuesti lukustate. See on nii, kuna muudetud kerneli kujutis võib tõelisusest mööda minna, kuna kerneli ramdisk sisaldab võtmeid, mida kasutatakse süsteemi oleku kontrollimiseks.
Asjad tunduvad lukustatud seadmetes juurkasutajate jaoks üsna ebalõbusad.
Järgmine olek kuvatakse (arvatavasti), kui tõend on keelatud või välja lülitatud või kui seda ei saa mäluketta muudatuste tõttu kontrollida. Ma ei saa olla kindel, kuna mul puudub uurimiseks Nexus 5X või 6P, kuid minu kahtlus (põhineb sõnumitel) on et kui laadite teise ROM-i, mis seejärel asetab seadmesse oma tuuma, kuvatakse leht "eri operatsioonisüsteem". ilmuvad.
Lõplik olek on punane hoiatus, mis näitab, et seade on rikutud. Ma kahtlustan, et see tähendab, et pilt sisaldab tõesust, kuid kinnitamine ebaõnnestus süsteemi kujutise muutmise tõttu. Jällegi, me ei saa olla kindlad, kui riistvara pole käes, kuid see tõrge näib olevat viga, mida näete, kui ründetarkvara on muutnud varuseadet.
Miks see oluline on?
Android M (6.0) puhul nõuab root praegu lisaks failisüsteemile muudatusi ka tuuma kujutises. See tähendab, et isegi kui me tõesust ignoreerime (nt vanemas Nexuse seadmes, nagu a Nexus 7 2013), on vaja uut kerneli kujutist, et mööda minna SELinuxi kaitsetest, mis takistavad juurjuurdepääsu töötamist.
Kui soovite juba täna, Android Marshmallow's juurkasutada, peate kasutama muudetud alglaadimispilti.
Siiani on olnud modifitseeritud tuumad SELinuxi lubavasse režiimi seadmiseks, kuid see pole ideaalne lahendus, kuna see tähendab, et te ei saa SELinuxi kaitsest tulenevaid turvaeelisi. Ja pärast Rambipalaviksaaga, eeldan, et näete SELinuxi ja muude turvarünnakute vastaste kaitsete eeliseid.
XDA tunnustatud vanemarendaja, Aheltuli, Master of all- things root on välja andnud an SuperSU uuendatud versioon mis säilitab SELinuxi jõustamisrežiimis, kuid see nõuab taas kord alglaadimispildi SELinuxi konfiguratsiooni muutmist. See tähendab, et peate installima nii SuperSU kui ka muudetud alglaadimispildi.
Ja see on kõik hea, kuni USA lennuettevõtjad segusse sisenevad. Tarbijate valikuvabaduse bastionid, stürakad, nagu AT&T ja Verizon, naudivad teadaolevalt seadmete lukustamist, takistades kasutajatel alglaaduri lukkude kaudu kohandatud püsivara installimast. Tõepoolest, Verizon ei suuda Sony Xperia Z3v puhul isegi püsivara värskendusi kasutajatele edastada. pole seatud vahukommi vastu võtma samas kui ülejäänud Z3 vahemik (ja tegelikult ka Z2 vahemik) seda teeb. Pagan, nad pole ikka veel isegi Lollipopi seadmesse välja toonud, kuigi see on saadaval päris tükk aega (november 2014) tavalisel Z3-l.
Mitteametliku alglaaduri avamise asemel (need on tänapäeval üsna haruldased, mõne Samsungi seadme jaoks pole lekkinud tehnilisi alglaadureid) tundub see väga ebatõenäoline et saavutate Android 6.0 juurutamise ilma jumaliku sekkumiseta – dm-verity kombinatsiooni (et peatada teie telefoni käivitamine, kui seadet muudetakse süsteemi partitsioon) ja SELinuxi muudatuste nõue ramdiskil (et lubaks root töötada), näivad olevat seatud nii, et nende juur-kasutajate jaoks on asjad üsna ebameeldivad. lukustatud seadmed.
Android Pay?
Lõpuks Android Pay. Tõenäoliselt kõlab see ülejäänud artikliga täiesti mitteseotuna, kuid tegelikult on see üsna asjakohane. Android Pay tugineb uuele SafetyNeti API-d Google'i patenteeritud teenuste raamistikus, mille eesmärk on pakkuda seadme olekuteateid selle kohta, kas seade on juurdunud või muul viisil muudetud või töötab heakskiitmata olekus.
Kuigi on olemas a projekt Vaadates SafetyNeti võltsimise vastuseid, vajab see praegu Xposedi pistikprogrammi ja selle toimimist arvestades ei näi see tõenäoliselt muutuvat. Xposed nõuab juurfaili ja teeb süsteemisektsioonis muudatusi. See muudab selle alglaaduriga lukustatud seadmes keeruliseks. Isegi siis on sellised asjad alles alustamas Google'iga kassi-hiire mängu. SafetyNeti puhul peetakse juurdunud seadmeid (või üldse muudetud seadmeid) "mitte-CTS-ühilduvateks", mis on muudetud seadmete eufemism.
SafetyNeti kohta on kirjutatud palju rohkem selles rebimise ajaveebi postituses, kuid kindlasti tundub, et suudame tuvastada mõned valdkonnad, mida Google soovib piirata. Esiteks, neile ei meeldi root, Xposed ja kõik, mis muudab süsteemi partitsiooni. Teiseks tundub, et Google kaalub kasutajate tuvastamist, kellel on reklaamide blokeerimine lubatud – SSL-käepigistus kontrollib pubads.g.doubleclick.net Kindlasti soovitan, et Google tahaks teada, kas blokeerite oma seadmes reklaame. Arvestades, et juur on seal tavaliselt eeltingimus, kuid selleks võib potentsiaalselt kasutada VPN API-d see ilma juuruta, tundub, et Google tahab vähemalt aimu, kes (või kui palju inimesi) blokeerib reklaamid. Reklaamide blokeerimine on aktuaalne probleem, arvestades Apple'i tõuget seda veebibrauseris toetada (väidetavalt julgustamiseks inimesed kasutavad rakendusi rohkem, kus nad juhivad kasutuskogemust ja saavad pakkuda mitteblokeeritavaid reklaame), ja need sammud on seda huvitav.
Järeldus
Kui soovite juba täna, Android Marshmallow (6.0), peate kasutama muudetud alglaadimispilti. Kuigi on veel näha, kas see jääb kehtima lõputult, näib see tõenäoliselt veel mõnda aega – SELinuxi muudatused muudavad juurjuurdepääsu hankimise ilma alglaadimispilti muutmata palju raskemaks. Ja kuna alglaadimispildi muutmiseks on vaja lukustamata alglaadurit, võib see lõpetada root (ja Xposedi ja muud juurfunktsioonid) seadmetes, mis on tarnitud alglaaduritega, mida lõppkasutajad ei saa avada. Dm-verity on samuti ilmumas ja tundub, et see on uutes seadmetes jõustamisrežiimis lubatud. See raskendab /system muutmist, isegi kui teil on juurjuurdepääs, ilma et teil oleks taas lukustamata alglaadurit.
Kas see muudab teie vaadet alglaaduriga lukustatud seadmetele? Kas Android on jõudnud faasi, kus ostaksite ikkagi alglaaduriga lukustatud seadme, kui teie operaator annaks teile hea tehingu, või olete huvitatud ainult lukustamata seadmetest? Milliseid juurrakendusi või funktsioone te lukustatud alglaaduris igatseksite?
Jagage julgelt oma mõtteid allolevates kommentaarides.