Видео: Android KITKAT 4.4 - Android Animation - Boat (Ноябрь 2024)
Google усилил безопасность в Android 4.4, KitKat, чтобы блокировать проникновение вредоносных программ на пользовательские устройства, но некоторые из этих изменений могут создавать проблемы для пользователей, которым нравится контролировать свою судьбу.
По словам Богдана Ботезату, старшего аналитика по угрозам в румынской компании по безопасности BitDefender, комбинация двух функций безопасности в KitKat не позволит вредоносным приложениям получить root-доступ через устройство. В своем анализе Android KitKat он определил, что эти функции также могут затруднить загрузку пользовательских прошивок на последних устройствах.
В настоящее время пользователи должны получить root, чтобы они могли прошить загрузчик и установить пользовательское ПЗУ, такое как CyanogenMod или Paranoid Android. По сообщениям, даже американские военные используют собственную закаленную версию Android на телефонах, развернутых для его персонала.
«Для обеспечения безопасности новые функции абсолютно необходимы. Для пользователей, пытающихся обновить свои устройства самостоятельно, новые функции усложняют задачу», - сказал Ботезату.
Нет больше рута
Android 4.4 поставляется с device-mapper-verity, (dm-verity), опциональной «экспериментальной» функцией проверенной загрузки в ядре операционной системы. Это «помогает предотвратить постоянные руткиты, которые могут сохранять привилегии root и компрометировать устройства», говорится в исходных документах Google, опубликованных на прошлой неделе.
По сути, dm-verity определяет, когда программа имеет привилегии, превышающие допустимые, и проверяет легитимность программы, проверяя криптографическую подпись. По словам Ботезату, если программа не подписана должным образом, dm-verity может заблокировать плохое приложение от попыток получить root-доступ.
Android KitKat также поставляется с улучшенной версией SELinux или Linux с улучшенной безопасностью. По словам Ботезату, SELinux впервые был добавлен в Android в версии 4.3 (Jelly Bean), но он использовался только для регистрации всех попыток повышения привилегий. В 4.4 SELinux находится в «принудительном» режиме и может фактически блокировать атаки на повышение привилегий, такие как приложение, пытающееся получить привилегии root на устройстве.
Комбинация dm-verity и SELinux - хорошая новость для блокировки вредоносных программ на устройствах Android, но это также означает, что пользователи, пытающиеся установить пользовательские прошивки на новые устройства KitKat, нависающие над горизонтом, также будут заблокированы, сказал Ботезату. Он отметил, что производитель телефонов должен решить, какие устройства будут иметь заблокированный загрузчик.
Проблема обновления Android
Тот факт, что пользователи не смогут выполнять свои собственные обновления прошивки на устройствах KitKat, звучит как ограниченная проблема, затрагивающая только самых требовательных пользователей Android. Тем не менее, главный вопрос заключается в том, начнут ли производители и операторы улучшать работу по выпуску обновлений, сказал Ботезату. В настоящее время операторы и производители очень плохо выпускают обновления для существующих телефонов. В настоящее время все еще существует более 25 процентов устройств, работающих под управлением Gingerbread или Android 2.3, выпущенного три года назад.
На этом этапе пользователи, обеспокоенные своей безопасностью, могут взять свои старые телефоны, все еще работающие и работоспособные, и перейти на более новые версии Android. По словам Ботезату, если пользователь покупает новое устройство KitKat с заблокированным загрузчиком, то у него больше нет возможности обновлять прошивку до будущих версий Android или получать исправления самостоятельно. По его словам, операторы связи и производители должны сделать шаг вперед и начать лучше работать с выпуском обновлений и продолжать поддерживать телефоны гораздо дольше, чем в настоящее время.
Если текущая система без обновлений продолжится, то пользователи, которые в противном случае просто обновили бы сами устройства, вынуждены покупать новые устройства каждый год, чтобы оставаться в безопасности, предупредил Ботезату.
Google, чтобы активизировать?
Возможно, это не будет проблемой, потому что Google возьмет на себя процесс обновления. Это могло бы стать одним из направлений, в котором Google, возможно, движется, решив отделить основные приложения и функции библиотеки от остальной части операционной системы. В версии 4.4 Google отделил программный стек более высокого уровня от кода, который взаимодействует с аппаратным обеспечением более низкого уровня. Таким образом, Google теперь может выкладывать изменения в свои основные приложения и многие функции библиотеки Android непосредственно для пользователей.
Вполне возможно, что Google сможет частично обойти операторов и производителей и выпустить критические исправления безопасности для пользователей напрямую, даже если их ОС не получает полных обновлений. Стоит следить за тем, что Google будет делать дальше.
По словам Ботезату, устройства Nexus не имеют заблокированного загрузчика. По его словам, пользователи все равно смогут прошивать устройства Nexus и устанавливать пользовательские прошивки Android, сказал он. Если это так, то тот факт, что вы сможете защитить свое Android-устройство в будущем, может быть просто поводом для того, чтобы подумать о приобретении Nexus 5.