그 외에도 많은 사용자 지향적 개선 어제 발표된 Android의 최신 버전에는 여러 가지 흥미로운 보안 기능이 있습니다. 이는 Google이 이 새로운 버전에서 플랫폼 보안을 완전히 무시하지 않았음을 나타내는 것 같습니다. 풀어 주다. 이 기사에서는 새로운 기능과 이것이 귀하에게 어떤 의미인지 살펴보겠습니다.
시행 모드의 SELinux
Android 4.4에서 SELinux는 허용 모드(단순히 실패만 기록함) 실행에서 시행 모드로 전환되었습니다. Android 4.3에서 도입된 SELinux는 기존 액세스 제어 권한을 시행하는 데 도움을 주기 위해 Linux 커널에 내장된 필수 액세스 제어 시스템입니다(즉. 권한) 및 권한 상승 공격을 방지하려고 시도합니다(즉. 기기에서 루트 액세스 권한을 얻으려는 앱).
AndroidKeyStore에서 ECDSA(타원 곡선 암호화) 서명 키 지원
통합 Android 키 저장소 공급자에는 이제 Eliptic Curve 서명 키에 대한 지원이 포함됩니다. 최근 타원곡선 암호화가 (부적절하게) 나쁜 평판을 받았을 수도 있지만, ECC는 RSA 등의 좋은 대안을 제공할 수 있는 실행 가능한 공개 키 암호화 형태 알고리즘. 비대칭 암호화는 양자 컴퓨팅 개발을 견디지 못하지만 Android 4.4가 개발자를 위해 더 많은 옵션을 도입한다는 점은 반가운 일입니다. 장기간 데이터를 저장하려면 대칭 암호화가 가장 좋은 방법입니다.
SSL CA 인증서 경고
많은 기업 IT 환경에는 컴퓨터 및/또는 브라우저에 인증 기관(CA)을 추가하는 SSL 모니터링 소프트웨어가 포함되어 있습니다. 보안 및 모니터링을 위해 기업 웹 필터링 소프트웨어가 HTTPS 세션에 "중간자" 공격을 수행하도록 허용합니다. 목적. 이는 장치에 추가 CA 키를 추가함으로써 Android에서 가능했습니다(회사의 게이트웨이 서버가 선택한 웹사이트인 것처럼 "가장"할 수 있도록 허용). Android 4.4는 기기에 CA 인증서가 추가된 경우 사용자에게 경고하여 이러한 일이 발생할 가능성을 알립니다.
자동화된 버퍼 오버플로 감지
이제 Android 4.4는 레벨 2에서 실행되는 FORTIFY_SOURCE로 컴파일하고 모든 C 코드가 이 보호 기능으로 컴파일되도록 합니다. clang으로 컴파일된 코드도 여기에 포함됩니다. FORTIFY_SOURCE는 컴파일러의 보안 기능으로, 식별을 시도합니다. 일부 버퍼 오버플로 기회(악성 소프트웨어나 사용자가 장치에서 임의 코드를 실행하기 위해 악용할 수 있음) FORTIFY_SOURCE가 버퍼 오버플로의 모든 가능성을 제거하지는 않지만 버퍼 할당 시 명백한 실수를 피하기 위해 사용하지 않는 것보다 사용하는 것이 더 좋습니다.
Google 인증서 고정
Android 4.4에서는 이전 버전의 Jellybean에서 인증서 고정에 대한 지원을 확장하여 Google 인증서의 인증서 대체에 대한 보호 기능을 추가했습니다. 인증서 고정은 화이트리스트에 등록된 특정 SSL 인증서만 특정 도메인에 대해 사용되도록 허용하는 행위입니다. 이는 예를 들어 해당 국가 정부의 명령에 따라 제공된 인증서를 공급자가 대체하는 것으로부터 귀하를 보호합니다. 인증서 고정이 없으면 장치는 이 유효한 SSL 인증서를 수락합니다(SSL은 신뢰할 수 있는 CA가 모든 인증서를 발급할 수 있도록 허용하므로). 인증서 고정을 사용하면 하드 코딩된 유효한 인증서만 휴대폰에서 허용되므로 중간자 공격으로부터 사용자를 보호할 수 있습니다.
Google은 Android 보안에 대한 성공에 안주하지 않은 것으로 보입니다. 이는 다음 사항에 추가됩니다. DM-verity 포함이는 잠긴 부트로더로 장치를 루팅하고 수정하려는 사람들에게 심각한 결과를 초래할 수 있습니다(즉. 커널 서명을 시행합니다).