Monien lisäksi käyttäjäkohtaisia parannuksia eilen julkistetussa Androidin uusimmassa inkarnaatiossa on useita mielenkiintoisia suojauksia parannuksia, jotka näyttävät osoittavan, että Google ei ole täysin laiminlyönyt alustan turvallisuutta tässä uudessa vapauttaa. Tässä artikkelissa käydään läpi, mitä uutta ja mitä se merkitsee sinulle.
SELinux Enforce-tilassa
Android 4.4:ssä SELinux on siirtynyt sallivasta tilasta (joka yksinkertaisesti kirjaa virheet) pakottavaan tilaan. SELinux, joka otettiin käyttöön Android 4.3:ssa, on pakollinen Linux-ytimeen sisäänrakennettu kulunvalvontajärjestelmä, joka auttaa valvomaan olemassa olevia kulunvalvontaoikeuksia (eli käyttöoikeudet) ja yrittää estää etuoikeuksien eskalaatiohyökkäyksiä (eli sovellus, joka yrittää saada pääkäyttäjän oikeudet laitteellesi).
Tuki elliptisen käyrän salausavaimille (ECDSA) allekirjoitusavaimille AndroidKeyStoressa
Integroitu Android-avainsäilön tarjoaja sisältää nyt tuen Eliptic Curve -allekirjoitusavaimille. Vaikka Eliptic Curve Cryptography on saattanut viime aikoina saada (oikeudettomasti) huonoa julkisuutta, ECC on elinkelpoinen julkisen avaimen salausmuoto, joka voi tarjota hyvän vaihtoehdon RSA: lle ja muille vastaaville algoritmeja. Vaikka epäsymmetrinen kryptografia ei kestä kvanttilaskennan kehitystä, on hyvä nähdä, että Android 4.4 tuo lisää vaihtoehtoja kehittäjille. Pitkäaikaiseen tietojen tallentamiseen symmetrinen salaus on edelleen paras menetelmä.
SSL CA -varmennevaroitukset
Monet yritysten IT-ympäristöt sisältävät SSL-valvontaohjelmiston, joka lisää varmenteen myöntäjän (CA) tietokoneellesi ja/tai selaimeesi. salli yrityksen web-suodatusohjelmiston suorittaa "mies keskellä" -hyökkäys HTTPS-istuntojesi turvallisuuden ja valvonnan vuoksi tarkoituksiin. Tämä on ollut mahdollista Androidilla lisäämällä laitteeseen ylimääräinen CA-avain (mikä sallii yrityksesi yhdyskäytäväpalvelimen "teeskennellä" olevansa mikä tahansa valitsema verkkosivusto). Android 4.4 varoittaa käyttäjiä, jos heidän laitteeseensa on lisätty tällainen CA-varmenne, jotta he ovat tietoisia tämän mahdollisuudesta.
Automaattinen puskurin ylivuodon tunnistus
Android 4.4 kääntää nyt FORTIFY_SOURCE-lähteellä, joka on käynnissä tasolla 2, ja varmistaa, että kaikki C-koodi käännetään tällä suojauksella. Tämä kattaa myös clangilla kootun koodin. FORTIFY_SOURCE on kääntäjän suojausominaisuus, joka yrittää tunnistaa jonkin verran puskurin ylivuotomahdollisuudet (jota haittaohjelmat tai käyttäjät voivat hyödyntää saadakseen mielivaltaisen koodin suorittamisen laitteella). Vaikka FORTIFY_SOURCE ei poista kaikkia puskurin ylivuotojen mahdollisuuksia, se on varmasti parempi käyttää kuin käyttämätön, jotta vältytään ilmeisiltä virheiltä puskureita varattaessa.
Google-sertifikaatin kiinnitys
Laajentaen varmenteiden kiinnityksen tukea Jellybeanin aiemmissa versioissa, Android 4.4 lisää suojan varmenteiden korvaamista vastaan Google-varmenteilla. Sertifikaatin kiinnitys on toimenpide, jossa sallitaan vain tiettyjen sallittujen luetteloon lisättyjen SSL-varmenteiden käyttö tiettyä verkkotunnusta vastaan. Tämä suojaa sinua siltä, että palveluntarjoajasi korvaa (esimerkiksi) varmenteen, jonka se on antanut maasi hallituksen määräyksen mukaisesti. Ilman varmenteen kiinnitystä laitteesi hyväksyisi tämän voimassa olevan SSL-varmenteen (koska SSL sallii minkä tahansa luotetun CA: n myöntää minkä tahansa varmenteen). Varmenteen kiinnityksellä puhelimesi hyväksyy vain kovakoodatun voimassa olevan varmenteen, mikä suojaa sinua välimieshyökkäykseltä.
Näyttää varmasti siltä, että Google ei ole lepäänyt laakereillaan Android-tietoturvan suhteen. Tämä on lisäksi dm-verityn sisällyttäminen, jolla voi olla vakavia seurauksia ihmisille, jotka haluavat rootata ja muokata laitteitaan lukituilla käynnistyslataimilla (eli jotka pakottavat ytimen allekirjoituksia).