Android Pie ile başlatılan telefonlarda Android Oreo'nun geri alma koruması gerekir

Android Pastası (Android 9) bugün canlı yayına çıktım Google Pixel, Google Pixel 2 ve hatta Temel Telefon. Röportajlardan yayınlanma hakkında mümkün olduğunca çok şey öğreniyoruz (Google Pixel 3 yalnızca hareketle gezinme özelliği olacak!), AOSP kod düşüşüve son olarak Uyumluluk Tanımı Belgesi (CDD). Hakkında bir paylaşım yapmıştık "ağır" uygulamalar için yeni özellik bugün erken saatlerde, ancak şimdi Google'ın Android Oreo'da sunulan bir özelliğe ilişkin ifadelerini değiştirdiğini öğrendik: geri alma koruması. Bu özellik aşağıdakiler tarafından mümkün kılınmıştır: Android Doğrulanmış Önyükleme 2.0 (kısaca Doğrulanmış Önyükleme olarak da bilinir), ancak OEM'lerin Oreo sürümünde AVB 2.0'ı uygulaması gerekmiyordu. Artık Google, Android Pie ile başlatılan tüm cihazların Doğrulanmış Önyüklemeyi ve buna bağlı olarak geri alma korumasını desteklemesini zorunlu kılıyor.

Android Oreo'da Geri Alma Koruması

Bu özelliğin özü, cihazın sürümünün düşürüldüğünü tespit etmesi durumunda telefonunuzun başlatılmasını engellemesidir. bir güvenlik nedeniyle güvensiz olduğu düşünülen yazılımın daha eski, artık onaylanmamış bir sürümüne güvenlik açığı. Biraz daha teknik bir açıklama, önyükleme bölümü için karma değeri tutan VBMeta veri yapısının ve sistem ve satıcı bölümleri için hashtree meta verileri, daha eski bir geri alma işlemine sahip görüntüleri reddetmek için bir geri alma dizini kullanır indeks.

Bu özellik Google Pixel 2, Razer Phone ve OnePlus 6 gibi cihazlarda mevcuttur ancak Samsung Galaxy S9 gibi diğer birçok cihazda mevcut değildir (her ne kadar Samsung kendi özelliklerini sunsa da) Knox'ta geri alma koruması.) Artık Google, bu özelliği Android Pie ile başlatılan tüm cihazlar için zorunlu hale getiriyor.

Android Pie'da Doğrulanmış Önyükleme

Uyumluluk Tanımı Belgesi'nin "Cihaz Bütünlüğü" bölümündeki güncellenen ifadeye göre, Android 9 ile başlayan cihazların Doğrulanmış Önyüklemeyi desteklemesi gerekiyor.

9.10. Cihaz Bütünlüğü

Aşağıdaki gereksinimler, cihaz bütünlüğünün durumunun şeffaf olmasını sağlar. Cihaz uygulamaları:

• [C-0-1] Sistem API yöntemi PersistentDataBlockManager.getFlashLockState() aracılığıyla, önyükleyici durumlarının sistem görüntüsünün yanıp sönmesine izin verip vermediğini doğru şekilde bildirmesi GEREKİR. FLASH_LOCK_UNKNOWN durumu, bu yeni sistem API yönteminin mevcut olmadığı önceki bir Android sürümünden yükseltme yapan cihaz uygulamaları için ayrılmıştır.
• [C-0-2] aygıt bütünlüğü için Doğrulanmış Önyüklemeyi desteklemelidir ZORUNLU.

Android'in önceki bir sürümünde Doğrulanmış Önyüklemeyi desteklemeden cihaz uygulamaları zaten başlatılmışsa ve sistem yazılımı güncellemesiyle bu özelliğe destek ekleyemiyorlarsa, bu özellikten muaf OLABİLİRler. gereklilik.

...

• [C-1-10] Android tarafından kullanılan bölümler (ör. önyükleme, sistem bölümleri) için geri alma koruması UYGULANMALIDIR ve izin verilen minimum işletim sistemini belirlemek için kullanılan meta verileri depolamak için kurcalanmaya karşı korumalı depolamayı kullanın versiyon.
• Kalıcı bellenime sahip herhangi bir bileşen (örn. modem, kamera) için geri dönme koruması UYGULANMALIDIR ve İzin verilen minimum değeri belirlemek için kullanılan meta verileri depolamak için kurcalanmaya karşı korumalı depolama KULLANILMALIDIR versiyon.

Son iki maddede görebileceğiniz gibi, dikkate alınması gereken bir uyarı var. Android tarafından kullanılan bölümler (önyükleme, sistem, satıcı vb.) için geri alma koruması gereklidir, ancak kalıcı bellenime sahip bölümler (modem, kamera vb.) için gerekli değildir. Önceki bölüm kümesi, güvenlik açıklarının çoğunun keşfedildiği ve yamalandığı yerdir; bu nedenle, bu bölümlerin korunmasının zorunlu olduğunu görmek güzel. Bununla birlikte, kalıcı donanım yazılımına sahip bölümleri de hedef alan açıklardan yararlanmalar olmuştur, bu nedenle Google'ın neden bunlar üzerinde geri dönme korumasını zorunlu kılmadığından emin değiliz.

XDA Kıdemli Üyesi npjohnsonLineageOS ekibinin bir üyesi olan, kalıcı ürün yazılımına sahip bölümlerde geri alma korumasının gerekli olduğunu tahmin ediyor Bu bölümler önyüklemede daha önce monte edildiğinden, İkincil Önyükleyici (SBL) ve Genişletilebilir Önyükleyici (XBL) bağlantıları gerektirir işlem. Küçük OEM'lerin özelleştirilmiş modemler ve diğer kalıcı bölümlerle eşleşecek özelleştirilmiş XBL'leri uygulaması maliyetli olacaktır. dolayısıyla Google, cihaz üreticilerinin CDD'deki en son gereksinimleri karşılamasını kolaylaştırmak için bunu bir zorunluluk haline getirmiyor olabilir.

Telefonunuzun AVB 2.0'ı destekleyip desteklemediğini nasıl kontrol edebilirsiniz?

Telefonunuzun AVB 2.0'ı destekleyip desteklemediğini kontrol etmek için kullanabileceğiniz iki ADB kabuk komutu vardır.

adb shell
dumpsys package | grep "verified_boot"

VEYA

adb shell
getprop | grep "avb"

İlk komutun çıktısı "android.software.verified_boot" ise AVB 2.0 desteklenir. İkinci komutun çıktısında "[ro.boot.avb_version]" ve "[ro.boot.vbmeta.avb_version]" gösteriliyorsa ve her biri için bir sürüm numarası listeleniyorsa destekleniyor demektir.

Doğrulanmış Önyükleme ve Özel Geliştirme

Android Doğrulanmış Önyükleme, çoğu özel ROM kullanıcısını gerçekten etkilemez, ancak bazı durumlarda çözmeniz gereken ekstra bir güvenlik katmanı ekler. Örneğin, Genel Sistem Görüntüsünün yanıp sönmesi AVB'nin devre dışı bırakılmasını gerektirir. OnePlus 6'daki satıcı gibi belirli bölümleri değiştirmek, AVB'nin de devre dışı bırakılmasını gerektirir. yakın zamanda öğrendiğime göre. Buna göre npjohnsondüzgün bir şekilde uygulanan AVB 2.0, özel önyükleme görüntülerinin kilitli bir önyükleyiciyle çalışmasını mümkün kılar. AVB 2.0'ın Android Pie ile birlikte gönderilen cihazlara dahil edilmesinin manzarayı nasıl etkileyeceğini göreceğiz, ancak bunun gibi durumlarla sonuçlanmayacağını umuyoruz. son zamanlarda yaşanan tuğla korkusu Xiaomi Redmi Note 5 Pro topluluğunda. Zorunlu AVB 2.0, Google'ın Android platformunun güvenliğini artırınancak bizim görüşümüze göre en büyük değişiklik, Düzenli güvenlik yamalarını zorunlu kılmak için OEM anlaşmalarının yeniden çalışılması.