Pored mnogih poboljšanja okrenuta korisniku u najnovijoj inkarnaciji Androida koja je jučer najavljena, postoji niz zanimljivih sigurnosti poboljšanja, koja izgleda pokazuju da Google nije potpuno zanemario sigurnost platforme u ovom novom osloboditi. Ovaj će članak proći kroz ono što je novo i što to znači za vas.
SELinux u Enforce modu
U Androidu 4.4, SELinux je prešao iz rada u permisivnom načinu (koji jednostavno bilježi greške) u način nametanja. SELinux, koji je predstavljen u Androidu 4.3, obvezni je sustav kontrole pristupa ugrađen u Linux kernel, kako bi se pomoglo u provedbi postojećih prava kontrole pristupa (tj. dopuštenja) i pokušati spriječiti napade eskalacije privilegija (tj. aplikacija koja pokušava dobiti root pristup na vašem uređaju).
Podrška za ključeve za potpisivanje kriptografije eliptične krivulje (ECDSA) u AndroidKeyStoreu
Integrirani pružatelj pohrane ključeva za Android sada uključuje podršku za ključeve za potpisivanje Eliptic Curve. Iako je kriptografija Eliptic Curve u posljednje vrijeme možda dobila (neopravdani) loš publicitet, ECC je održiv oblik kriptografije s javnim ključem koji može pružiti dobru alternativu za RSA i slično algoritmi. Iako asimetrična kriptografija neće izdržati razvoj kvantnog računalstva, dobro je vidjeti da Android 4.4 uvodi više opcija za programere. Za dugoročnu pohranu podataka, simetrična enkripcija ostaje najbolja metoda.
Upozorenja SSL CA certifikata
Mnoga korporativna IT okruženja uključuju softver za nadzor SSL-a, koji vašem računalu i/ili pregledniku dodaje certifikacijsko tijelo (CA) dopustiti korporativnom softveru za web filtriranje da izvede napad "čovjek u sredini" na vaše HTTPS sesije radi sigurnosti i nadzora svrhe. To je bilo moguće s Androidom dodavanjem dodatnog CA ključa na uređaj (koji dopušta pristupnom poslužitelju vaše tvrtke da se "pretvara" da je bilo koje web mjesto koje odabere). Android 4.4 će upozoriti korisnike ako je njihov uređaj imao dodan takav CA certifikat, kako bi bili svjesni mogućnosti da se to dogodi.
Automatizirano otkrivanje prekoračenja međuspremnika
Android 4.4 sada se kompajlira s FORTIFY_SOURCE koji radi na razini 2 i osigurava da se sav C kod kompajlira s ovom zaštitom. Kod kompajliran s klangom također je obuhvaćen ovim. FORTIFY_SOURCE je sigurnosna značajka kompajlera, koja pokušava identificirati neki prilike za prekoračenje međuspremnika (koje zlonamjerni softver ili korisnici mogu iskoristiti za dobivanje proizvoljnog izvršavanja koda na uređaju). Iako FORTIFY_SOURCE ne eliminira sve mogućnosti prekoračenja međuspremnika, svakako ga je bolje koristiti nego ne koristiti, kako bi se izbjegli bilo kakvi očiti propusti prilikom dodjele međuspremnika.
Prikvačivanje Google certifikata
Proširujući podršku za prikvačivanje certifikata u ranijim verzijama Jellybeana, Android 4.4 dodaje zaštitu od zamjene certifikata za Google certifikate. Pričvršćivanje certifikata je čin dopuštanja korištenja samo određenih SSL certifikata s popisa dopuštenih za određenu domenu. To vas štiti od toga da vaš pružatelj usluga zamijeni (na primjer) potvrdu koju je dobio prema nalogu vlade vaše zemlje. Bez prikvačivanja certifikata, vaš bi uređaj prihvatio ovaj važeći SSL certifikat (jer SSL omogućuje svakom pouzdanom CA da izda bilo koji certifikat). Uz prikvačivanje certifikata, vaš će telefon prihvatiti samo tvrdo kodirani važeći certifikat, štiteći vas od napada čovjeka u sredini.
Čini se da Google nije počivao na lovorikama s Android sigurnošću. Ovo je dodatak na uključivanje dm-istine, što bi moglo imati ozbiljne posljedice za ljude koji vole rootati i modificirati svoje uređaje sa zaključanim bootloaderima (tj. koji provode potpise kernela).