Be daugelio naudotojams skirti patobulinimai Vakar paskelbtame naujausiame „Android“ įsikūnijime yra daug įdomių saugos priemonių patobulinimai, kurie, atrodo, rodo, kad „Google“ visiškai nepaisė platformos saugumo šiame naujame paleisti. Šiame straipsnyje apžvelgsime, kas naujo ir ką tai reiškia jums.
SELinux vykdymo režimu
4.4 versijos „Android“ SELinux perėjo nuo veikimo leistinuoju režimu (kuris tiesiog registruoja gedimus) į priverstinį režimą. SELinux, kuri buvo pristatyta Android 4.3 versijoje, yra privaloma prieigos kontrolės sistema, integruota į Linux branduolį, siekiant padėti įgyvendinti esamas prieigos kontrolės teises (t.y. leidimus) ir bandyti užkirsti kelią privilegijų eskalavimo atakoms (t.y. programa, bandanti gauti root prieigą jūsų įrenginyje).
Elipsinės kreivės kriptografijos (ECDSA) pasirašymo raktų palaikymas „AndroidKeyStore“.
Integruotas „Android“ raktų saugyklos teikėjas dabar palaiko „Eliptic Curve“ pasirašymo raktus. Nors Elipsinės kreivės kriptografija pastaruoju metu galėjo sulaukti (nepagrįstos) blogos reklamos, ECC yra perspektyvi viešojo rakto kriptografijos forma, kuri gali būti gera alternatyva RSA ir kitoms panašioms priemonėms algoritmai. Nors asimetrinė kriptografija neatlaikys kvantinių skaičiavimų pokyčių, malonu matyti, kad „Android 4.4“ kūrėjams siūlo daugiau galimybių. Ilgalaikiam duomenų saugojimui simetrinis šifravimas išlieka geriausiu būdu.
SSL CA sertifikato įspėjimai
Daugelyje įmonių IT aplinkų yra SSL stebėjimo programinė įranga, kuri jūsų kompiuteryje ir (arba) naršyklėje prideda sertifikavimo įstaigą (CA). leisti įmonės žiniatinklio filtravimo programinei įrangai įvykdyti „žmogaus viduryje“ ataką prieš jūsų HTTPS seansus, kad būtų užtikrinta apsauga ir stebėjimas tikslai. Tai buvo įmanoma naudojant „Android“, prie įrenginio pridėjus papildomą CA raktą (kuris leidžia jūsų įmonės šliuzo serveriui „apsimesti“ bet kuria pasirinkta svetaine). „Android 4.4“ įspės vartotojus, jei jų įrenginyje buvo pridėtas toks CA sertifikatas, kad jie žinotų, jog taip gali nutikti.
Automatinis buferio perpildymo aptikimas
„Android 4.4“ dabar kompiliuoja su FORTIFY_SOURCE, veikiančiu 2 lygiu, ir užtikrina, kad visas C kodas būtų sukompiliuotas naudojant šią apsaugą. Tai taip pat apima kodą, sudarytą su skambėjimu. FORTIFY_SOURCE yra kompiliatoriaus saugos funkcija, kuri bando identifikuoti kai kurie buferio perpildymo galimybės (jomis gali pasinaudoti kenkėjiška programinė įranga arba vartotojai, siekdami savavališko kodo vykdymo įrenginyje). Nors FORTIFY_SOURCE nepanaikina visų buferio perpildymo galimybių, jis tikrai geriau naudojamas nei nenaudojamas, kad būtų išvengta akivaizdžių klaidų paskirstant buferius.
„Google“ sertifikato prisegimas
Išplėtus sertifikatų prisegimo palaikymą ankstesnėse Jellybean versijose, Android 4.4 papildo apsaugą nuo sertifikatų pakeitimo Google sertifikatais. Sertifikato prisegimas – tai veiksmas, leidžiantis tam tikram domenui naudoti tik tam tikrus baltajame sąraše esančius SSL sertifikatus. Tai apsaugo jus nuo to, kad jūsų paslaugų teikėjas nepakeistų (pavyzdžiui) sertifikato, jam pateikto pagal jūsų šalies vyriausybės nurodymą. Be sertifikato prisegimo jūsų įrenginys priimtų šį galiojantį SSL sertifikatą (kadangi SSL leidžia bet kuriai patikimai CA išduoti bet kokį sertifikatą). Naudojant sertifikato prisegimą, jūsų telefonas priims tik tvirtai užkoduotą galiojantį sertifikatą, kuris apsaugo jus nuo žmogaus viduryje atakos.
Tikrai atrodo, kad „Google“ neužmigo ant laurų su „Android“ sauga. Tai papildomai prie dm-verity įtraukimas, o tai gali turėti rimtų pasekmių žmonėms, kurie mėgsta įsišaknyti ir modifikuoti savo įrenginius su užrakintomis įkrovos tvarkyklėmis (t.y. kurios užtikrina branduolio parašus).