Odporúčaná, 2024

Redakcia Choice

Čo je striktne vynútené overené zavádzanie v systéme Android Nougat?

Ak ste sledovali vývoj v systéme Android, musíte počuť názov Verified Boot dosť trochu za posledné roky. Spoločnosť Google predstavila bezpečnostnú funkciu v systéme Android 4.4 (Kitkat) úplne neintervirujúcim spôsobom a pomaly zvyšovala jej viditeľnosť v novších verziách svojho operačného systému Android.

V posledných pár dňoch sme videli novinky o prítomnosti " prísne vynúteného overeného topánka " v najnovšej verzii Google najpoužívanejšieho mobilného operačného systému na svete. Aplikácia Android Nougat bude používať vyššiu úroveň kontroly bezpečnosti, keď sa zariadenie spustí. Zatiaľ čo na verzii Marshmallow Verified Boot dala používateľovi varovanie, v prípade, že by odhalil niečo neskutočné so systémovým oddielom, Android Nougat to urobí o krok ďalej a používa to, čo spoločnosť Google nazýva Strictly Enforced Verified Boot. nedovoľte, aby sa zariadenie vôbec spustilo, ak zistí chyby v oddieli, zmeny vykonané v zavádzacom zariadení alebo prítomnosť "nebezpečného" kódu v zariadení. To si kladie otázku: "Čo presne to znamená pre používateľov?", Ukáže sa, odpoveď sa líši v prípade dvoch hlavných kategórií užívateľov Androidu (príležitostných a silných používateľov) a budeme odpovedať obom,

Presne vynútené verifikované zavedenie

Po prvé, málo pozadia na Verified Boot: Keď Android spustí verifikačný test na oddieloch, zvyčajne to robí tak, že rozdeľuje oddiely na 4KiB bloky a kontroluje ich na podpísanú tabuľku. Ak všetko skončí, znamená to, že systém je úplne čistý. Ak sa však niektoré bloky vyskytnú alebo budú poškodené, systém Android informuje používateľov o problémoch a ponecháva ho používateľovi na vyriešenie (alebo nie).

Všetko, čo sa chystá zmeniť pomocou aplikácie Android Nougat, a Strictly Enforced Verified Boot. Keď Verifikované zavedenie beží v vynútenom režime, nebude tolerovať žiadne chyby v oddieloch. Ak zistí akékoľvek problémy, neumožní zariadeniu zaviesť systém a môže používateľovi povoliť zavádzanie do prostredia bezpečného režimu, aby sa pokúsili problém vyriešiť. Avšak Strictly Enforced Verified Boot nie je len kontrola proti chybným dátovým blokom. To môže zvyčajne opraviť aj chyby v dátových blokoch. To je možné pomocou prítomnosti kódov na korekciu chyby dopredu, ktoré sa dajú použiť na opravu chýb v dátových blokoch. To však nemôže vždy fungovať a v prípadoch, keď to nie je, ste vo vode dosť mŕtvy.

Prísne vynútené overené topánky: Dobré, zlé a škaredé

1. Dobrá

Vynucovanie verifikovaného zavedenia v zariadeniach so systémom Android zvýši bezpečnosť zariadení. V prípade, že sa zariadenie nakazí škodlivým softvérom, striktne vynútené verifikované zavedenie ho zistí pri ďalšom spustení zariadenia a buď ho opraví, alebo vás možno nabáda, aby ste s ním niečo urobili.

Táto funkcia skontroluje aj poškodenie údajov a vo väčšine prípadov bude schopná opraviť všetky chyby zavedené v údajoch vďaka kódom FEC. Spoločnosť Google používa kódy FEC, ktoré môžu opraviť jednu neznámu bitovú chybu v 255 bitoch . Iste, zdá sa, že je to dosť malé číslo, ale povedzme to v perspektíve, pokiaľ ide o mobilné zariadenie:

Poznámka: Nasledujúce hodnoty sú prevzaté z blogu spoločnosti Google Engineer Sami Tolvanen v spoločnosti Android Developers.

Spoločnosť Google mohla použiť kódy FEC (255, 223) FEC: tieto kódy by mohli opraviť 16 neznámych bitových chýb v 255 bitoch, ale režijný priestor kvôli 32 bitom redundantných údajov by bol takmer 15% a to je veľa, najmä v mobilných zariadeniach. Pridajte to k tomu, že Android je prevládajúcim operačným systémom na chytrých telefónoch s rozpočtom, ktoré sa dodávajú so 4-8 GB pamäte a 15% väčšieho priestoru sa javí ako veľa.

Obetovaním možností opravy chýb v prospech šetrenia miesta sa spoločnosť Google rozhodla použiť kódy FEC RS (255, 253). Tieto kódy dokážu opraviť iba jednu neznámu chybu v 255 bitoch, ale režijná medzera je len 0, 8%.

Poznámka: RS (255, N) je reprezentácia reed-Solomonových kódov, ktoré sú typom kódov na korekciu chýb.

2. Zlý

Už ste niekedy počuli o "minci sú dve strany"? Samozrejme, že máte. Zatiaľ čo zámery spoločnosti Google so Strictly Enforced Verified Boot boli nepochybne čisté ako dieťa jednorožec, prichádzajú s vlastným súborom problémov.

Keď prísne vynútené verifikované zavedenie skontroluje škodlivý softvér, skontroluje aj neoprávnené úpravy jadra, zavádzacieho zariadenia a ďalších položiek, ktoré vás nebudem nútiť, ale to znamená, že systém Android Nougat sa pravdepodobne stretne s mnohými problémami s zakoreňovaním. blikajúce vlastné ROMy, pretože Verified Boot nerozlišuje medzi nežiaducim kódom škodlivého softvéru a kódom, ktorý odomkne váš bootloader. Znamená to, že ak vaše zariadenie prišlo s uzamknutým zavádzacím zariadením a váš OEM nepovoľuje odomknutie zavádzacieho zariadenia, tak to naozaj nemôžete urobiť. Dúfajme, že niekto zistí vykorisťovanie.

Našťastie, väčšina ľudí, ktorí zakopávajú svoje zariadenia a Flash Custom ROMs pre pridané funkcie a funkčnosť, idú s vývojársky priateľskými telefónmi, ako napríklad Nexus. Na túto tému je veľa čo treba zvážiť a rozhodne nie je to koniec vlastných ROM, aspoň nie na zariadeniach, ktoré sa dodávajú s odomknutým bootloaderom alebo ktoré umožňujú odomknúť bootloader. Zariadenia, ako napríklad telefóny Samsung, neumožňujú oficiálne povoliť odomknutie zavádzacieho zariadenia a na týchto zariadeniach odomknutie zavádzacieho zariadenia bude určite považované za "problém" Verified Boot, čo zabráni zavádzaniu zariadenia.

Ďalším problémom, ktorý vznikne pri Strictly Enforced Verified Boot, je ten, ktorý ovplyvní aj používateľov, ktorí sa naozaj nestarajú o získanie oprávnení root alebo inštaláciu vlastných ROM. V priebehu času, keď používate svoje zariadenie, je v pamäti spôsobené poškodenie prírodných dát; nie kvôli prítomnosti škodlivého softvéru, ale jednoducho preto, že sa to stane. To zvyčajne nie je problém, alebo aspoň nie tak závažný problém, akým sa verifikácia spustí. Ak máte poškodené údaje, ktoré sa pri zavádzaní nedajú odstrániť, Strictly Enforced Verified Boot neumožní vášmu zariadeniu zaviesť systém. Podľa môjho názoru je to väčší a viditeľnejší problém ako niektoré poškodené údaje na oddelení používateľa.

3. Ošklivý

Vo všetkých výhodách presadzovania Verified Boot a všetkých možných problémov je pravdepodobne najväčšou znepokojujúcou skutočnosťou, že výrobcovia OEM môžu začať zneužívať to, aby uzamkli svoje zariadenia tak, že ľudia nemôžu používať systém Android na to, čo bolo určené byť: otvorený, vhodný pre vývojárov a úplne prispôsobiteľný. Strictly Enforced Verified Boot prinesie do popredia výrobcovia OEM, aby zabezpečili, že ľudia nebudú schopní odomknúť bootloadery na svojich zariadeniach, a tým zabrániť im inštalovať vlastné ROMy a podporovať nástroje ako Xposed Modules.

Android Nougat: Radikálna zmena spôsobu, akým Android funguje?

Hoci sme si istí, že zámery spoločnosti Google boli jednoducho vyhnúť sa potenciálnym problémom pre príležitostných užívateľov Android, ktorí by nevedeli, čo robiť v prípade, že ich zariadenie bolo napadnuté škodlivým softvérom, alebo ak ich pamäť poškodila dátové bloky, môže odovzdať výrobcom OEM a výrobca je perfektný nástroj na uzamknutie používateľov do života s tým, čo im bolo ponúknuté, a nič viac.

Samozrejme, že niekto zistí exploit alebo riešenie tejto situácie a my dúfame, že to urobia, v pravom duchu Androidu. Kým niekto nerozhodne o riešení, všetko, čo my, ako to môžu používatelia robiť, je zabezpečiť, aby sme si kúpili naše zariadenia od výrobcov, ktorí sú priaznivý pre vývojárov.

Odporúčané obrázky s láskavým dovolením: Flickr

Top