GrapheneOS: Què és aquesta alternativa a Android i quins canvis presenta la seva versió 2024011300?

GrapheneOS

GrapheneOS és una bifurcació del projecte AndroidHardening

Fa pocs dies es va donar a conèixer l'alliberament de la nova versió de GrapheneOS 2024011300, Versió en la qual s'ha reescrit la implementació de reinici automàtic, s'ha integrat un nou visor de registres, s'ha actualitzat el nucli, s'han implementat millores i més.

Per a qui desconeixen de GrapheneOS, han de saber que aquesta és una bifurcació del codi base AOSP (Android Open Source Project), la qual s'ha estès i modificat per millorar la seguretat i garantir la privadesa dels usuaris. GrapheneOS solia anomenar-se AndroidHardening i es va separar del projecte CopperheadOS a causa de conflictes entre els seus fundadors.

Entre les principals característiques i enfocaments de GrapheneOS, es destaca:

  • Aïllament i control d'accés: S?implementen tecnologies experimentals per enfortir l?aïllament d?aplicacions i el control d?accés granular. Això inclou la utilització d'una implementació pròpia de malloc, una versió modificada de libc amb protecció contra la corrupció de memòria i una divisió més rígida de l'espai d'adreces del procés.
  • Compilació AOT i No JIT: Android Runtime utilitza només compilació AOT (abans de temps) en lloc de JIT (just-in-time).
  • Kernel de Linux protegit: El nucli de Linux inclou nombrosos mecanismes de protecció addicionals, com ara etiquetes canary per bloquejar desbordaments de memòria intermèdia. SELinux i seccomp-bpf es fan servir per millorar l'aïllament de les aplicacions.
  • Control de permisos específics: Es permet accedir a operacions de xarxa, sensors, llibreta d'adreces i dispositius perifèrics només a aplicacions seleccionades. La lectura des del porta-retalls està permesa només per a aplicacions amb focus d'entrada.
  • Privadesa d'identificadors: Per defecte, es prohibeix obtenir informació sobre IMEI, adreça MAC, número de sèrie de la targeta SIM i altres identificadors de maquinari.
  • Seguretat: S'implementen mesures addicionals per aïllar processos relacionats amb Wi-Fi i Bluetooth i evitar fuites d'activitat sense fil.
  • Xifratge avançat: Utilitza verificació criptogràfica de components de càrrega i xifratge avançat a nivell del sistema de fitxers ext4 i f2fs (les dades es xifren usant AES-256-XTS i els noms dels fitxers són AES-256-CTS usant HKDF-SHA512 per generar una clau separada per a cada file ), en lloc d'un dispositiu de bloc
  • Sense Google:Bàsicament, no inclou aplicacions i serveis de Google, però permet instal·lar els serveis de Google Play en un entorn aïllat.
  • Desenvolupament d'aplicacions pròpies: El projecte desenvolupa diverses aplicacions pròpies centrades en la seguretat i la privadesa, com un navegador basat en Chromium (Vanadium), un visor de PDF segur, un firewall, una aplicació Auditor per a verificació de dispositius i detecció d'intrusos, una aplicació de càmera centrada en la privadesa i un sistema de suport xifrat anomenat Seedvault.

Quines novetats presenta la nova versió de GrapheneOS 2024011300?

En aquesta nova versió que es presenta de GrapheneOS 2024011300, un dels seus canvis més importants és el redisseny complet de la implementació del mecanisme de reinici automàtic, ja que ara, aquest mecanisme utilitza un temporitzador en el procés d'inici en lloc del procés system_server, cosa que ha millorat la seguretat i eliminat la possibilitat de reiniciar un dispositiu que mai ha estat desbloquejat. A més, s'ha reduït el temps de reinici automàtic de 72 a 18 hores.

S'esmenta que la idea principal del reinici automàtic és restablir les particions activades (desxifrades) amb dades de l'usuari al seu estat original sense desxifrar després d'un cert període d'inactivitat. Les dades del perfil de l'usuari es xifren després de reiniciar el dispositiu i es desxifran només després que l'usuari introdueixi la contrasenya d'inici de sessió. Si l'usuari no ha desbloquejat la sessió activada durant més de 18 hores, el dispositiu es reiniciarà automàticament. El temps d'espera per al reinici automàtic es pot modificar a Configuració > Seguretat > Reinici automàtic.

Els desenvolupadors de GrapheneOS citen que a justificació d'aquesta funció es basa en vulnerabilitats recentment descobertes en telèfons intel·ligents Google Pixel i Samsung Galaxy. Aquestes vulnerabilitats permeten que empreses d'anàlisi forense espiïn els usuaris i extreguin dades mentre el dispositiu està en estat activat, és a dir, quan la sessió és activa i les dades estan desxifrades. La introducció del reinici automàtic ajuda a mitigar aquest risc en reiniciar el dispositiu després d'un període d'inactivitat prolongat, evitant així l'anàlisi no autoritzada de les claus que puguin romandre a la memòria si el dispositiu cau en mans equivocades.

Un altre dels canvis que es destaca de la nova versió és la actualització del kernel de Linux als dispositius Pixel i que la compatibilitat amb sysrq està deshabilitada. Per als dispositius Pixel 6, Pixel 6 Pro, Pixel 6a, Pixel 7, Pixel 7 Pro, Pixel 7a, Pixel Tablet i Pixel Fold, s'ha actualitzat a la darrera versió de GKI (Generic Kernel Image), que és la 5.10.206 . Mentre que per als dispositius Pixel 8 i Pixel 8 Pro, l'actualització del nucli és a la versió 5.15.145. A més, s'han preparat compilacions amb el nucli 6.1.69. Aquestes actualitzacions poden incloure millores de seguretat, correccions d'errors i noves característiques proporcionades per les darreres versions del nucli de Linux.

A més d'això, també es destaca que s'ha afegit un visor de registres (Configuració > Sistema > Visualitza registres), que permet avaluar problemes emergents i simplificar la preparació d'informes d'errors, així com també s'ha redissenyat la interfície per enviar informes d'error.

En adevtool s'ha introduït el suport per a Pixel Camera Service, de manera que ara es permet utilitzar el mode nocturn en aplicacions en telèfons intel·ligents Pixel 6+. D'altra banda, adevtool ha deixat d'admetre dispositius que no són compatibles amb Android 14.

Dels altres canvis que es destaquen:

  • S'ha afegit una sortida de notificació quan s'activa el detector de corrupció de memòria a malloc.
  • El navegador Vanadium s'ha actualitzat al codi base Chromium 120
  • GmsCompatConfig: actualització a la versió 92
  • mostrar notificació després que hardened_malloc detecta danys a la memòria mitjançant una verificació directa (no cobreix els danys a la memòria detectats a través de l'espai d'adreces protegit de la memòria)

Finalment, cal esmentar que per als interessats a poder conèixer més sobre això, poden consultar els detalls al següent enllaç.


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.