בנוסף לרבים שיפורים מול המשתמש בגלגול האחרון של אנדרואיד שהוכרז אתמול, יש מספר אבטחה מעניינים שיפורים, שמצביעים על כך שגוגל לא הזניחה לחלוטין את אבטחת הפלטפורמה בחדש הזה לְשַׁחְרֵר. מאמר זה יעבור על מה חדש ומה זה אומר עבורך.
SELinux במצב Enforce
באנדרואיד 4.4, SELinux עבר מהפעלה במצב מתירני (שפשוט רושם כשלים), למצב אכיפה. SELinux, שהוצגה באנדרואיד 4.3, היא מערכת בקרת גישה חובה המובנית בליבת לינוקס, על מנת לסייע באכיפת זכויות בקרת הגישה הקיימות (כְּלוֹמַר הרשאות), ולנסות למנוע התקפות הסלמה של הרשאות (כְּלוֹמַר אפליקציה שמנסה לקבל גישת שורש במכשיר שלך).
תמיכה ב-Eliptic Curve Cryptography (ECDSA) מפתחות חתימה ב-AndroidKeyStore
ספק מאגר המפתחות המשולב של אנדרואיד כולל כעת תמיכה במפתחות חתימה של Eliptic Curve. בעוד ש-Eliptic Curve Cryptography אולי קיבל פרסום רע (לא מוצדק) לאחרונה, ECC הוא צורה מעשית של קריפטוגרפיה של מפתח ציבורי שיכולה לספק אלטרנטיבה טובה ל-RSA וכאלה אלגוריתמים. אמנם הצפנה אסימטרית לא תעמוד בפיתוחי מחשוב קוונטי, אבל טוב לראות שאנדרואיד 4.4 מציגה אפשרויות נוספות למפתחים. עבור אחסון נתונים לטווח ארוך, הצפנה סימטרית נשארת השיטה הטובה ביותר.
אזהרות על אישור SSL CA
סביבות IT ארגוניות רבות כוללות תוכנת ניטור SSL, אשר מוסיפה רשות אישורים (CA) למחשב ו/או לדפדפן שלך, כדי לאפשר לתוכנת סינון האינטרנט הארגונית לבצע התקפת "אדם באמצע" על הפעלות ה-HTTPS שלך לצורך אבטחה וניטור מטרות. זה התאפשר עם אנדרואיד על ידי הוספת מפתח CA נוסף למכשיר (המאפשר לשרת השער של החברה שלך "להעמיד פנים" שהוא כל אתר שהוא בוחר). אנדרואיד 4.4 תזהיר משתמשים אם למכשיר שלהם נוספה אישור CA כזה, כך שהם מודעים לאפשרות שזה יקרה.
זיהוי אוטומטי של הצפת מאגר
אנדרואיד 4.4 כעת קומפילציה עם FORTIFY_SOURCE הפועל ברמה 2, ומבטיחה שכל קוד C הידור עם הגנה זו. קוד הידור עם clang מכוסה גם על ידי זה. FORTIFY_SOURCE הוא תכונת אבטחה של המהדר, שמנסה לזהות כמה הזדמנויות של הצפת מאגר (שיכולות להיות מנוצלות על ידי תוכנות זדוניות או משתמשים כדי להשיג ביצוע קוד שרירותי במכשיר). בעוד FORTIFY_SOURCE אינו מבטל את כל האפשרויות של הצפת חוצץ, בהחלט עדיף להשתמש בו מאשר ללא שימוש, כדי להימנע מכל פיקוח ברור בעת הקצאת מאגר.
הצמדת אישורי Google
הרחבת התמיכה בהצמדת אישורים בגרסאות קודמות של Jellybean, אנדרואיד 4.4 מוסיפה הגנה מפני החלפת אישורים עבור תעודות Google. הצמדת אישורים היא הפעולה של התרת שימוש רק בתעודות SSL מסוימות ברשימת ההיתרים כנגד דומיין מסוים. זה מגן עליך מפני שהספק שלך יחליף (לדוגמה) אישור שסופק לו על פי צו של ממשלת ארצך. ללא הצמדת אישורים, המכשיר שלך יקבל אישור SSL תקף זה (כיוון ש-SSL מאפשר לכל CA מהימן להנפיק כל אישור). עם הצמדת אישורים, רק האישור התקף בקוד קשיח יתקבל על ידי הטלפון שלך, ויגן עליך מפני התקפה של איש-באמצע.
בהחלט נראה שגוגל לא נחה על זרי הדפנה עם אבטחת אנדרואיד. זה בנוסף ל הכללת dm-verity, דבר שעלול להיות בעל השלכות חמורות עבור אנשים שאוהבים לבצע רוט ולשנות את המכשירים שלהם עם עומסי אתחול נעולים (כְּלוֹמַר אשר אוכפים חתימות ליבה).