Dacă ați urmărit evoluțiile în Android, este posibil să fi auzit puțin numele "Verified Boot" în ultimii ani. Google a introdus caracteristica de securitate în Android 4.4 (Kitkat), într-un mod complet neintensiv, și și-a mărit încet vizibilitatea în noile versiuni ale sistemului său de operare Android.
În ultimele două zile, am văzut știri despre prezența unei " Boot Verified Strictly Enforced " în cea mai recentă versiune a Google a celui mai utilizat sistem de operare mobil din lume. Android Nougat va folosi un nivel mai înalt de verificare a securității atunci când dispozitivul dvs. pornește. În timp ce pe aplicația Marshmallow Verified Boot a dat utilizatorului doar un avertisment, în cazul în care a detectat ceva rău cu partiția de sistem, Android Nougat o va lua cu un pas mai departe și va folosi ceea ce Google numește "Boot Strictly Enforced Verified" nu permiteți dispozitivului să se încarce deloc, în cazul în care detectează anomalii în partiție, modificări efectuate în bootloader sau prezența codului "rău intenționat" în dispozitiv. Acest lucru pune întrebarea: "Ce anume înseamnă acest lucru pentru utilizatori?", Se dovedește că răspunsul diferă pentru cele două categorii principale de utilizatori Android (utilizatori ocazionali și de putere) și vom oferi răspunsul pentru ambii .
Implicit Verificat Boot verificat
Mai întâi, un fundal puțin despre boot-ul verificat: În mod obișnuit, atunci când Android rulează un test de verificare pe partiții, face acest lucru împărțind partițiile în blocuri de 4KiB și verificându-le împotriva unui tabel semnat. Dacă totul se verifică, înseamnă că sistemul este complet curat. Cu toate acestea, în cazul în care unele blocuri ajung să fie manipulate sau corupte, Android informează utilizatorul despre probleme și lasă-l pe utilizator să o rezolve (sau nu).
Tot ce este pe cale să se schimbe cu Android Nougat și Boot Verified Strictly Enforced. Când boot-ul verificat se execută în modul Forțat, acesta nu va tolera defecțiunile din partiții. Dacă detectează orice probleme, nu va permite dispozitivului să pornească în sus și ar putea permite utilizatorului să pornească într-un mediu în condiții de siguranță, pentru a încerca să remedieze problemele. Cu toate acestea, boot-ul verificat strict strict nu este doar o verificare împotriva blocurilor de date proaste. De regulă, se pot corecta și erorile din blocurile de date. Acest lucru este posibil datorită prezenței codurilor de corectare a erorilor la Forward, care pot fi utilizate pentru a corecta erorile din blocurile de date. Cu toate acestea, acest lucru nu poate funcționa întotdeauna, iar în cazurile în care nu se întâmplă, ești aproape mort în apă.
Strongly Enforced Verified Boot: Bine, Rău și Ugly
1. Bine
Implementarea Boot Verified pe dispozitivele Android va spori securitatea dispozitivelor. În cazul în care dispozitivul este infectat cu programe malware, boot-ul Strictly Enforced Verified Boot îl va detecta data viitoare când porniți dispozitivul și fie îl remediați, fie vă poate solicita să faceți ceva.
Această caracteristică va verifica, de asemenea, coruperea datelor și, în majoritatea cazurilor, va putea corecta eventualele erori introduse în date, datorită codurilor FEC. Google utilizează coduri FEC care pot corecta o eroare de biți necunoscută în 255 de biți . Sigur, acest lucru pare ca un număr destul de mic, dar să-l punem în perspectivă, în ceea ce privește un dispozitiv mobil:
Notă: Valorile de mai jos sunt luate din postarea pe blog de Sami Tolvanen, Google Engineer, pe dezvoltatorii Android.
Google ar fi putut folosi codurile FEC RS (255, 223): aceste coduri ar fi putut corecta 16 erori de biți necunoscute în 255 de biți, dar spațiul de lucru din cauza celor 32 de biți de date redundante ar fi fost aproape de 15% și că este o mulțime, în special pe dispozitivele mobile. Adăugați acest lucru faptului că Android este sistemul de operare predominant pe smartphone-urile cu buget care livrează cu memorii de 4-8 GB, iar spațiul suplimentar de 15% pare a fi foarte mult.
Prin sacrificarea capacităților de corectare a erorilor, în favoarea salvării spațiului, Google a decis să utilizeze codurile FEC RS (255, 253). Aceste coduri pot corecta doar o singură eroare necunoscută în 255 de biți, dar spațiul de lucru este de numai 0, 8%.
Notă: RS (255, N) reprezintă o reprezentare a codurilor Reed-Solomon, care reprezintă un tip de coduri de corectare a erorilor.
2. Cel rău
Ați auzit vreodată de "Există două fețe ale unei monede"? Desigur, ai. În timp ce intențiile Google cu Boot Verified Strictly Enforced au fost, fără îndoială, curate ca un unicorn pentru copii, aceștia vin cu propriile lor probleme.
Când boot-ul Strictly Enforced Verified Boot verifică pentru malware, verifică și modificările ilegale ale kernel-ului, încărcătorului de boot și alte chestii cu care nu te voi purta, dar asta înseamnă că Android Nougat va întâmpina probabil o mulțime de probleme cu rădăcină. care intermitentă ROM-urile personalizate, deoarece boot-ul verificat nu poate face distincția între codul malware nedorit și codul care a deblocat încărcătorul dvs. de boot. Ceea ce înseamnă că, dacă dispozitivul dvs. a venit cu un bootloader blocat și OEM-ul dvs. nu permite deblocarea aplicației bootloader, nu o puteți face. Sperăm că unii vor găsi un exploit pentru asta.
Din fericire, cei mai mulți oameni care își rădăcină dispozitivele și flash ROM-urile personalizate pentru caracteristicile și funcționalitățile adăugate, merg cu telefoanele prietenoase cu dezvoltatorii, cum ar fi Nexus. Există multe lucruri de luat în considerare, în ceea ce privește acest subiect, și cu siguranță nu este sfârșitul personalizat ROM-urilor, cel puțin nu pe dispozitive care vin cu un bootloader deblocat sau care permit deblocarea încărcătorului de boot. Cu toate acestea, dispozitive precum telefoanele Samsung nu permit în mod oficial să deblocheze bootloaderul, iar pe aceste dispozitive, deblocarea încărcătorului de boot va fi văzută ca fiind "o problemă" de boot verificat, împiedicând aparatul să se încarce.
O altă problemă care va apărea cu Boot Verified Strictly Enforced este cea care va afecta chiar și utilizatorii care nu au grijă să obțină privilegii de root sau care instalează ROMuri personalizate. De-a lungul timpului, pe măsură ce utilizați dispozitivul dvs., este obligatoriu să fie corupția datelor naturale în memorie; nu datorită prezenței unui program malware, ci pur și simplu pentru că se întâmplă. Aceasta nu este, de obicei, o problemă sau cel puțin nu o problemă atât de severă ca și boot-ul verificat. Dacă aveți date corupte pe care Strongly Enforced Verified Boot nu poate repara la pornire, nu va permite dispozitivului să pornească. În opinia mea, aceasta este o problemă mai mare și mai vizibilă decât unele date corupte de pe partiția de utilizator.
3. Urâtul
În toate avantajele aplicării Verified Boot și al tuturor problemelor potențiale, probabil cel mai deranjant este faptul că producătorii de echipamente originale ar putea să folosească în mod greșit acest lucru pentru a bloca dispozitivele astfel încât oamenii să nu poată folosi Android pentru ceea ce era destinat să fie: deschis, ușor de dezvoltat și complet personalizabil. Strictly Enforced Verified Boot va pune în mâinile producătorilor de echipamente originale, puterea de a se asigura că oamenii nu pot să deblocheze dispozitivele de încărcare de pe dispozitivele lor, interzicându-le să instaleze personalizate ROM-uri și instrumente de îmbunătățire a caracteristicilor cum ar fi modulele Xposed.
Android Nougat: o schimbare radicală în modul Android funcționează?
Deși suntem siguri că intențiile Google au fost pur și simplu să evite potențialele probleme utilizatorilor obișnuiți cu Android, care nu ar ști ce să facă în cazul în care dispozitivul lor a fost afectat de un program malware sau dacă memoria lor a deteriorat blocurile de date, și producătorul este instrumentul perfect pentru a bloca utilizatorii să trăiască cu ceea ce li s-au oferit, și nimic mai mult.
Desigur, cineva își va da seama de un exploit sau de o soluție pentru această situație și sperăm că o fac, în adevăratul spirit al Android. Până când cineva nu își dă seama de o soluție, totuși, tot ceea ce noi, ca utilizatori putem face, este să ne asigurăm că cumpărăm dispozitivele noastre de la producătorii care favorizează dezvoltatorii.
Imagine recomandată cu amabilitate: Flickr
