გარდა ბევრისა მომხმარებლის წინაშე არსებული გაუმჯობესებები გუშინ გამოცხადებულ ანდროიდის უახლეს ინკარნაციაში, არის არაერთი საინტერესო უსაფრთხოება გაუმჯობესებები, რომლებიც, როგორც ჩანს, მიუთითებს იმაზე, რომ Google-მა სრულიად არ უგულებელყო პლატფორმის უსაფრთხოება ამ ახალში გათავისუფლება. ეს სტატია განიხილავს ახალს და რას ნიშნავს თქვენთვის.
SELinux Enforce Mode-ში
Android 4.4-ში SELinux გადავიდა ნებადართული რეჟიმიდან გაშვებიდან (რომელიც უბრალოდ აფიქსირებს წარუმატებლობებს) აღსრულების რეჟიმში. SELinux, რომელიც დაინერგა Android 4.3-ში, არის სავალდებულო წვდომის კონტროლის სისტემა, რომელიც ჩაშენებულია Linux-ის ბირთვში, რათა დაეხმაროს არსებული წვდომის კონტროლის უფლებების დაცვას (ე.ი. ნებართვები) და პრივილეგიების ესკალაციის შეტევების თავიდან აცილების მცდელობა (ე.ი. აპლიკაცია, რომელიც ცდილობს მოიპოვოს root წვდომა თქვენს მოწყობილობაზე).
ელიფსური მრუდის კრიპტოგრაფიის (ECDSA) ხელმოწერის გასაღებების მხარდაჭერა AndroidKeyStore-ში
Android keystore-ის ინტეგრირებული პროვაიდერი ახლა მოიცავს მხარდაჭერას Eliptic Curve ხელმოწერის გასაღებებისთვის. მიუხედავად იმისა, რომ ელიფსური მრუდის კრიპტოგრაფიამ შეიძლება მიიღო გარკვეული (გაუმართლებელი) ცუდი საჯაროობა ბოლო პერიოდში, ECC არის საჯარო გასაღების კრიპტოგრაფიის სიცოცხლისუნარიანი ფორმა, რომელსაც შეუძლია უზრუნველყოს RSA და სხვა მსგავსი კარგი ალტერნატივა ალგორითმები. მიუხედავად იმისა, რომ ასიმეტრიული კრიპტოგრაფია ვერ გაუძლებს კვანტურ გამოთვლის განვითარებას, კარგია იმის დანახვა, რომ Android 4.4 დეველოპერებისთვის უფრო მეტ ვარიანტს შემოაქვს. მონაცემთა გრძელვადიანი შენახვისთვის, სიმეტრიული დაშიფვრა რჩება საუკეთესო მეთოდად.
SSL CA სერთიფიკატის გაფრთხილებები
ბევრი კორპორატიული IT გარემო მოიცავს SSL მონიტორინგის პროგრამულ უზრუნველყოფას, რომელიც ამატებს სერთიფიკატის ავტორიტეტს (CA) თქვენს კომპიუტერს და/ან ბრაუზერს. ნება მიეცით კორპორატიულ ვებ ფილტრაციის პროგრამას განახორციელოს "კაცი შუაში" შეტევა თქვენს HTTPS სესიებზე უსაფრთხოებისა და მონიტორინგისთვის მიზნები. ეს შესაძლებელი გახდა Android-ით, მოწყობილობაზე დამატებითი CA გასაღების დამატებით (რაც საშუალებას აძლევს თქვენი კომპანიის კარიბჭის სერვერს "თვითონ" ნებისმიერ ვებსაიტად, რომელსაც თავად აირჩევს). Android 4.4 გააფრთხილებს მომხმარებლებს, თუ მათ მოწყობილობას დაემატა ასეთი CA სერთიფიკატი, რათა მათ იცოდნენ ამის შესაძლებლობა.
ავტომატური ბუფერის გადინების გამოვლენა
Android 4.4 ახლა კომპილირებულია FORTIFY_SOURCE-ით, რომელიც მუშაობს მე-2 დონეზე და უზრუნველყოფს ყველა C კოდის კომპილაციას ამ დაცვით. კლანგით შედგენილი კოდიც ამას ფარავს. FORTIFY_SOURCE არის შემდგენელის უსაფრთხოების ფუნქცია, რომელიც ცდილობს იდენტიფიცირებას ზოგიერთი ბუფერული გადადინების შესაძლებლობები (რომლებიც შეიძლება გამოიყენონ მავნე პროგრამულმა ან მომხმარებლებმა მოწყობილობაზე კოდის თვითნებური შესრულების მოსაპოვებლად). მიუხედავად იმისა, რომ FORTIFY_SOURCE არ გამორიცხავს ბუფერის გადადინების ყველა შესაძლებლობას, ის, რა თქმა უნდა, უკეთესია გამოყენებული, ვიდრე გამოუყენებელი, რათა თავიდან იქნას აცილებული რაიმე აშკარა უგულებელყოფა ბუფერების გამოყოფისას.
Google სერთიფიკატის ჩამაგრება
Jellybean-ის ადრინდელ ვერსიებში სერთიფიკატების დამაგრების მხარდაჭერის გაფართოებით, Android 4.4 ამატებს დაცვას Google სერთიფიკატების ჩანაცვლებისგან. სერთიფიკატის ჩამაგრება არის აქტი, რომლის საშუალებითაც ნებადართულია მხოლოდ გარკვეული SSL სერთიფიკატების გამოყენება გარკვეული დომენის წინააღმდეგ. ეს გიცავთ თქვენმა პროვაიდერმა არ ჩაანაცვლოს (მაგალითად) სერტიფიკატი, რომელიც მას მიეწოდება თქვენი ქვეყნის მთავრობის ბრძანებით. სერთიფიკატის ჩამაგრების გარეშე, თქვენი მოწყობილობა მიიღებს ამ მოქმედ SSL სერთიფიკატს (რადგან SSL საშუალებას აძლევს ნებისმიერ სანდო CA-ს გასცეს ნებისმიერი სერტიფიკატი). სერთიფიკატის დამაგრებით, მხოლოდ მყარი კოდირებული მოქმედი სერტიფიკატი მიიღება თქვენი ტელეფონით, რაც დაგიცავთ შუაში კაცის შეტევისგან.
რა თქმა უნდა, როგორც ჩანს, Google არ ისვენებს Android-ის უსაფრთხოებით. ეს არის გარდა იმისა dm-verity-ის ჩართვა, რომელსაც შესაძლოა სერიოზული შედეგები მოჰყვეს იმ ადამიანებისთვის, რომლებსაც მოსწონთ დაბლოკილი ჩამტვირთავებით მათი მოწყობილობების დაყენება და შეცვლა (ე.ი. რომლებიც აღასრულებენ ბირთვის ხელმოწერებს).