Pe lângă cele multe îmbunătățiri orientate către utilizator în cea mai recentă încarnare a Android anunțată ieri, există o serie de securitate interesantă îmbunătățiri, care par să indice că Google nu a neglijat total securitatea platformei în acest nou eliberare. Acest articol va prezenta noutățile și ce înseamnă pentru tine.
SELinux în modul de aplicare
În Android 4.4, SELinux a trecut de la rularea în modul permisiv (care pur și simplu înregistrează erorile) în modul de aplicare. SELinux, care a fost introdus în Android 4.3, este un sistem obligatoriu de control al accesului încorporat în nucleul Linux, pentru a ajuta la aplicarea drepturilor existente de control al accesului (adică permisiuni) și să încerce să prevină atacurile de escaladare a privilegiilor (adică o aplicație care încearcă să obțină acces root pe dispozitivul dvs.).
Compatibilitate cu cheile de semnare pentru criptografie cu curbe eliptice (ECDSA) în AndroidKeyStore
Furnizorul integrat de depozit de chei Android include acum suport pentru cheile de semnare Eliptic Curve. În timp ce Criptografia cu curbă eliptică poate să fi primit o publicitate proastă (nejustificată) în ultima vreme, ECC este un formă viabilă de criptografie cu cheie publică care poate oferi o alternativă bună la RSA și altele asemenea algoritmi. În timp ce criptografia asimetrică nu va rezista evoluțiilor de calcul cuantic, este bine să vedem că Android 4.4 introduce mai multe opțiuni pentru dezvoltatori. Pentru stocarea datelor pe termen lung, criptarea simetrică rămâne cea mai bună metodă.
Avertismente privind certificatele SSL CA
Multe medii IT corporative includ software de monitorizare SSL, care adaugă o Autoritate de Certificare (CA) la computer și/sau browser, pentru a permiteți software-ului corporativ de filtrare web să efectueze un atac „om la mijloc” asupra sesiunilor dvs. HTTPS pentru securitate și monitorizare scopuri. Acest lucru a fost posibil cu Android prin adăugarea unei chei CA suplimentare pe dispozitiv (care permite serverului gateway-ului companiei dvs. să „pretindă” că este orice site web pe care îl alege). Android 4.4 va avertiza utilizatorii dacă dispozitivul lor a adăugat un astfel de certificat CA, astfel încât să fie conștienți de posibilitatea ca acest lucru să se întâmple.
Detectare automată a depășirii tamponului
Android 4.4 acum se compilează cu FORTIFY_SOURCE care rulează la nivelul 2 și se asigură că tot codul C este compilat cu această protecție. Codul compilat cu clang este, de asemenea, acoperit de aceasta. FORTIFY_SOURCE este o caracteristică de securitate a compilatorului, care încearcă să identifice niste oportunități de depășire a tamponului (care pot fi exploatate de software rău intenționat sau de utilizatori pentru a obține execuția de cod arbitrară pe un dispozitiv). În timp ce FORTIFY_SOURCE nu elimină toate posibilitățile de depășire a bufferelor, cu siguranță este mai bine folosit decât neutilizat, pentru a evita orice neglijențe evidente la alocarea bufferelor.
Fixarea certificatului Google
Extinderea suportului pentru fixarea certificatelor în versiunile anterioare de Jellybean, Android 4.4 adaugă protecție împotriva înlocuirii certificatelor pentru certificatele Google. Fixarea certificatelor este acțiunea de a permite numai anumite certificate SSL incluse în lista albă să fie utilizate împotriva unui anumit domeniu. Acest lucru vă protejează de înlocuirea furnizorului dvs. (de exemplu) a unui certificat furnizat acestuia în baza unui ordin al guvernului țării dumneavoastră. Fără fixarea certificatului, dispozitivul dvs. ar accepta acest certificat SSL valid (deoarece SSL permite oricărei CA de încredere să emită orice certificat). Cu fixarea certificatului, telefonul dvs. acceptă doar certificatul valid codificat, protejându-vă de un atac de tip om-in-the-middle.
Se pare cu siguranță că Google nu s-a odihnit pe lauri cu securitatea Android. Aceasta este în plus față de includerea lui dm-verity, care ar putea avea consecințe grave pentru persoanele cărora le place să rooteze și să-și modifice dispozitivele cu bootloadere blocate (adică care impun semnăturile nucleului).