A sok mellett felhasználóbarát fejlesztések az Android tegnap bejelentett legújabb inkarnációjában számos érdekes biztonsági megoldás található fejlesztések, amelyek azt jelzik, hogy a Google nem hanyagolta el teljesen a platformbiztonságot ebben az újban kiadás. Ez a cikk bemutatja az újdonságokat, és azt, hogy mit jelent ez az Ön számára.
SELinux kényszerítő módban
Az Android 4.4-ben a SELinux megengedő módról (amely egyszerűen naplózza a hibákat) kényszerítő módba vált. Az Android 4.3-ban bevezetett SELinux a Linux kernelbe épített kötelező beléptetőrendszer, amely a meglévő hozzáférés-felügyeleti jogok érvényesítését segíti elő (azaz engedélyek), és megpróbálja megakadályozni a privilégium-eszkalációs támadásokat (azaz egy alkalmazás, amely megpróbál root hozzáférést szerezni az eszközén).
Az elliptikus görbe kriptográfia (ECDSA) aláíró kulcsainak támogatása az AndroidKeyStore-ban
Az integrált Android kulcstároló szolgáltató mostantól támogatja az Eliptic Curve aláíró kulcsokat. Míg az Eliptic Curve Cryptography kaphatott némi (indokolatlan) rossz reklámot az utóbbi időben, az ECC a nyilvános kulcsú kriptográfia életképes formája, amely jó alternatívát jelenthet az RSA-val és más hasonlókkal szemben algoritmusok. Bár az aszimmetrikus kriptográfia nem fog ellenállni a kvantumszámítástechnikai fejlesztéseknek, jó látni, hogy az Android 4.4 több lehetőséget is kínál a fejlesztők számára. A hosszú távú adattároláshoz továbbra is a szimmetrikus titkosítás a legjobb módszer.
SSL CA-tanúsítvány figyelmeztetések
Számos vállalati informatikai környezet tartalmaz SSL-figyelő szoftvert, amely tanúsítványkibocsátót (CA) ad hozzá számítógépéhez és/vagy böngészőjéhez. lehetővé teszi a vállalati webszűrő szoftver számára, hogy "ember a középen" támadást hajtson végre HTTPS-munkamenetei ellen a biztonság és a felügyelet érdekében célokra. Ez az Android esetében lehetővé vált egy további CA-kulcs hozzáadásával az eszközhöz (amely lehetővé teszi, hogy a vállalat átjárószervere bármely általa kiválasztott webhelynek "játsszon"). Az Android 4.4 figyelmezteti a felhasználókat, ha eszközükhöz ilyen CA-tanúsítványt adtak hozzá, így tudatában vannak ennek a lehetőségnek.
Automatizált puffertúlcsordulás-észlelés
Az Android 4.4 mostantól a 2. szinten futó FORTIFY_SOURCE forrással fordít, és biztosítja, hogy az összes C kód ezzel a védelemmel legyen lefordítva. Ez vonatkozik a csengéssel összeállított kódra is. A FORTIFY_SOURCE a fordító biztonsági funkciója, amely megpróbálja azonosítani néhány puffertúlcsordulási lehetőségek (amelyeket rosszindulatú szoftverek vagy felhasználók kihasználhatnak arra, hogy tetszőleges kódot hajtsanak végre az eszközön). Bár a FORTIFY_SOURCE nem szünteti meg a puffertúlcsordulás minden lehetőségét, minden bizonnyal jobb használni, mint a nem használtat, hogy elkerüljük a pufferek lefoglalása során felmerülő nyilvánvaló hibákat.
Google tanúsítvány rögzítése
A Jellybean korábbi verzióiban a tanúsítványrögzítés támogatását kiterjesztve az Android 4.4 védelmet nyújt a Google-tanúsítványok tanúsítványcsere ellen. A tanúsítvány rögzítése az a művelet, amely csak bizonyos, az engedélyezési listán szereplő SSL-tanúsítványok használatát engedélyezi egy bizonyos domainhez. Ez megvédi Önt attól, hogy szolgáltatója helyettesítsen (például) egy tanúsítványt, amelyet az Ön országa kormányának rendelkezése alapján kapott. Tanúsítvány rögzítése nélkül az eszköz elfogadná ezt az érvényes SSL-tanúsítványt (mivel az SSL lehetővé teszi bármely megbízható CA bármilyen tanúsítvány kiadását). A tanúsítvány rögzítésével csak a kódolt érvényes tanúsítványt fogadja el telefonja, megvédve Önt a köztes támadástól.
Minden bizonnyal úgy tűnik, hogy a Google nem pihent meg babérjain az Android biztonságával. Ez amellett, hogy a dm-verity felvétele, ami súlyos következményekkel járhat azokra az emberekre, akik szeretik rootolni és módosítani eszközeiket zárolt rendszertöltővel (azaz amelyek kikényszerítik a kernel aláírásait).