Lisaks paljudele kasutajale suunatud täiustused eile välja kuulutatud Androidi uusimas kehastuses on mitmeid huvitavaid turvaelemente täiustused, mis näivad viitavat sellele, et Google pole selles uues platvormi turvalisust täielikult tähelepanuta jätnud vabastada. Selles artiklis kirjeldatakse, mis on uus ja mida see teie jaoks tähendab.
SELinux jõustamisrežiimis
Android 4.4-s on SELinux liikunud lubavas režiimis (mis lihtsalt logib tõrked) töötamise asemel jõustamisrežiimi. SELinux, mis võeti kasutusele Android 4.3-s, on Linuxi kernelisse sisseehitatud kohustuslik juurdepääsukontrollisüsteem, mis aitab jõustada olemasolevaid juurdepääsukontrolli õigusi (st. õigused) ja püüda ära hoida privileegide eskalatsioonirünnakuid (st. rakendus, mis üritab teie seadmele juurjuurdepääsu saada).
Elliptilise kõvera krüptograafia (ECDSA) allkirjastamisvõtmete tugi AndroidKeyStore'is
Integreeritud Androidi võtmehoidja pakkuja sisaldab nüüd Eliptic Curve allkirjastamisvõtmete tuge. Kuigi Eliptic Curve Cryptography võis viimasel ajal (põhjendamatult) halba reklaami saada, on ECC avaliku võtmega krüptograafia elujõuline vorm, mis võib olla hea alternatiiv RSA-le ja muule sellisele algoritmid. Kuigi asümmeetriline krüptograafia ei pea kvantarvutite arengutele vastu, on hea näha, et Android 4.4 pakub arendajatele rohkem võimalusi. Andmete pikaajaliseks salvestamiseks on sümmeetriline krüptimine endiselt parim meetod.
SSL CA sertifikaadi hoiatused
Paljud ettevõtte IT-keskkonnad sisaldavad SSL-i seiretarkvara, mis lisab teie arvutisse ja/või brauserisse sertifitseerimisasutuse (CA). lubada ettevõtte veebifiltreerimistarkvaral turvalisuse ja jälgimise eesmärgil teie HTTPS-i seanssidele "mees keskel" rünnak eesmärkidel. Androidiga on see võimalik olnud, lisades seadmele täiendava CA-võtme (mis võimaldab teie ettevõtte lüüsiserveril "teeselda" mis tahes veebisaidina, mille ta valib). Android 4.4 hoiatab kasutajaid, kui nende seadmesse on lisatud selline CA-sertifikaat, nii et nad on selle võimalikust juhtumist teadlikud.
Automaatne puhvri ületäitumise tuvastamine
Android 4.4 kompileerib nüüd allikaga FORTIFY_SOURCE, mis töötab tasemel 2, ja tagab, et kogu C-kood kompileeritakse selle kaitsega. See hõlmab ka klangaga koostatud koodi. FORTIFY_SOURCE on kompilaatori turvaelement, mis püüab tuvastada mõned puhvri ületäitumise võimalused (mida võivad ära kasutada ründetarkvara või kasutajad, et suvalist koodi käivitada seadmes). Kuigi FORTIFY_SOURCE ei välista kõiki puhvri ületäitumise võimalusi, on seda kindlasti parem kasutada kui kasutamata, et vältida ilmseid möödalaskmisi puhvrite eraldamisel.
Google'i sertifikaadi kinnitamine
Laiendades Jellybeani varasemates versioonides serdi kinnitamise tuge, lisab Android 4.4 kaitse Google'i sertifikaatide sertifikaatide asendamise eest. Sertifikaadi kinnitamine on toiming, mille käigus lubatakse teatud domeeni vastu kasutada ainult teatud lubatud loendisse kantud SSL-sertifikaate. See kaitseb teid selle eest, et teie teenusepakkuja asendaks (näiteks) sertifikaadi, mis on talle teie riigi valitsuse korralduse alusel antud. Ilma sertifikaadi kinnitamiseta aktsepteeriks teie seade seda kehtivat SSL-sertifikaati (kuna SSL võimaldab igal usaldusväärsel CA-l mis tahes sertifikaati väljastada). Sertifikaadi kinnitamise korral aktsepteerib telefon ainult kõvakoodiga kehtivat sertifikaati, mis kaitseb teid keskmise rünnaku eest.
Kindlasti näib, et Google ei ole Androidi turvalisuse osas loorberitele puhkama jäänud. See on lisaks dm-verity kaasamine, millel võivad olla tõsised tagajärjed inimestele, kellele meeldib juurutada ja muuta oma seadmeid lukustatud alglaaduritega (st. mis jõustavad kerneli allkirju).