Поред многих побољшања окренута корисницима у најновијој инкарнацији Андроид-а која је објављена јуче, постоји низ занимљивих безбедносних побољшања, која изгледа указују на то да Гоогле није потпуно занемарио безбедност платформе у овом новом издање. Овај чланак ће проћи кроз шта је ново и шта то значи за вас.
СЕЛинук у режиму примене
У Андроиду 4.4, СЕЛинук је прешао са рада у дозвољеном режиму (који једноставно евидентира грешке) у режим спровођења. СЕЛинук, који је представљен у Андроиду 4.3, је обавезни систем контроле приступа уграђен у језгро Линука, како би помогао у примени постојећих права контроле приступа (тј. дозволе) и да покуша да спречи нападе ескалације привилегија (тј. апликација која покушава да добије роот приступ на вашем уређају).
Подршка за криптографију елиптичне криве (ЕЦДСА) кључеве за потписивање у АндроидКеиСторе-у
Интегрисани добављач Андроид кључева сада укључује подршку за кључеве за потписивање Елиптиц Цурве. Иако је криптографија Елиптиц Цурве можда у последње време добила (неоправдано) лош публицитет, ЕЦЦ је одржив облик криптографије јавног кључа који може пружити добру алтернативу РСА-у и другим сличним алгоритми. Иако асиметрична криптографија неће издржати развој квантног рачунарства, добро је видети да Андроид 4.4 уводи више опција за програмере. За дуготрајно складиштење података, симетрично шифровање остаје најбољи метод.
Упозорења о ССЛ ЦА сертификату
Многа корпоративна ИТ окружења укључују софтвер за праћење ССЛ-а, који вашем рачунару и/или претраживачу додаје ауторитет за издавање сертификата (ЦА) за дозволите корпоративном софтверу за веб филтрирање да изврши напад „човека у средини“ на ваше ХТТПС сесије ради безбедности и надгледања сврхе. Ово је било могуће са Андроид-ом додавањем додатног ЦА кључа на уређај (који омогућава серверу мрежног пролаза ваше компаније да се „претвара“ да је било која веб локација коју одабере). Андроид 4.4 ће упозорити кориснике ако је њихов уређај имао додат такав ЦА сертификат, тако да су свесни могућности да се то догоди.
Аутоматско откривање прекорачења бафера
Андроид 4.4 се сада компајлира са ФОРТИФИ_СОУРЦЕ који ради на нивоу 2 и осигурава да је сав Ц код компајлиран са овом заштитом. Код састављен са цланг-ом је такође покривен овим. ФОРТИФИ_СОУРЦЕ је безбедносна карактеристика компајлера, која покушава да се идентификује неки могућности преливања бафера (које могу да искористе злонамерни софтвер или корисници да би добили произвољно извршење кода на уређају). Иако ФОРТИФИ_СОУРЦЕ не елиминише све могућности прекорачења бафера, свакако га је боље користити него неискоришћено, како би се избегли очигледни превиди приликом додељивања бафера.
Качење Гоогле сертификата
Проширујући подршку за качење сертификата у ранијим верзијама Јеллибеан-а, Андроид 4.4 додаје заштиту од замене сертификата за Гоогле сертификате. Качење сертификата је чин којим се дозвољава да се само одређени ССЛ сертификати са беле листе користе против одређеног домена. Ово вас штити од тога да ваш провајдер не замени (на пример) сертификат који му је достављен по налогу владе ваше земље. Без качења сертификата, ваш уређај би прихватио овај важећи ССЛ сертификат (пошто ССЛ дозвољава сваком поузданом ЦА да изда било који сертификат). Са качењем сертификата, ваш телефон ће прихватити само чврсто кодирани важећи сертификат, штитећи вас од напада човека у средини.
Свакако се чини да Гоогле није одмарао на ловорикама када је у питању Андроид безбедност. Ово је поред укључивање дм-верити, што би могло имати озбиљне последице за људе који воле да рутирају и модификују своје уређаје са закључаним покретачима (тј. који намећу потписе језгра).