GrapheneOS는 AndroidHardening 프로젝트의 포크입니다.
몇일 전에 GrapheneOS 2024011300의 새 버전 출시가 발표되었습니다., 버전 자동 재시작 구현이 다시 작성되었습니다. 통합되었습니다 새로운 로그 뷰어, 커널이 업데이트되고 개선 사항이 구현되었습니다.
GrapheneOS에 대해 모르시는 분들은 꼭 알아두셔야 할 내용입니다. AOSP 코드베이스의 포크입니다. (안드로이드 오픈소스 프로젝트) 보안 강화 및 사용자 개인정보 보호를 위해 확장 및 수정되었습니다. 그래핀OS 예전에는 AndroidHardening이라고 불렀습니다. 창립자 간의 갈등으로 인해 CopperheadOS 프로젝트에서 분리되었습니다.
중 GrapheneOS의 주요 기능과 접근 방식, 눈에 띄는:
- 격리 및 액세스 제어: 애플리케이션 격리 및 세분화된 액세스 제어를 강화하기 위해 실험적인 기술이 구현되었습니다. 여기에는 메모리 손상 방지 기능을 갖춘 libc의 수정된 버전인 malloc의 독점 구현과 프로세스 주소 공간의 보다 엄격한 분할 사용이 포함됩니다.
- AOT 및 비 JIT 컴파일: Android 런타임은 JIT(Just-In-Time) 대신 AOT(Ahead of Time) 컴파일만 사용합니다.
- 보호된 Linux 커널: Linux 커널에는 버퍼 오버플로를 차단하는 카나리아 태그와 같은 다양한 추가 보호 메커니즘이 포함되어 있습니다. SELinux 및 seccomp-bpf는 애플리케이션 격리를 개선하는 데 사용됩니다.
- 특정 권한 제어: 네트워크 운영, 센서, 주소록, 주변 장치에 대한 접근은 선택된 애플리케이션에만 허용됩니다. 클립보드 읽기는 입력 포커스가 있는 애플리케이션에만 허용됩니다.
- 식별자 개인정보 보호: 기본적으로 IMEI, MAC 주소, SIM 카드 일련번호 및 기타 하드웨어 식별자에 대한 정보 획득은 금지되어 있습니다.
- 보안: Wi-Fi 및 Bluetooth 관련 프로세스를 격리하고 무선 활동 누출을 방지하기 위해 추가 조치가 구현되었습니다.
- 고급 암호화: 업로드 구성 요소의 암호화 확인과 ext4 및 f2fs 파일 시스템 수준의 고급 암호화를 사용합니다(데이터는 AES-256-XTS를 사용하여 암호화되며 파일 이름은 HKDF-SHA256를 사용하여 각 파일에 대해 별도의 키를 생성하는 AES-512-CTS입니다). , 블록 장치 대신
- 구글 없이:기본적으로 구글 앱과 서비스는 포함되어 있지 않으나, 격리된 환경에서 구글 플레이 서비스를 설치할 수 있게 해줍니다.
- 자체 애플리케이션 개발: 이 프로젝트는 Chromium(바나듐) 기반 브라우저, 보안 PDF 뷰어, 방화벽, 장치 확인 및 침입 감지를 위한 Auditor 애플리케이션, 개인 정보 보호에 중점을 둔 카메라 애플리케이션, 암호화된 보안에 초점을 맞춘 여러 독점 애플리케이션을 개발합니다. Seedvault라는 백업 시스템.
GrapheneOS 2024011300의 새 버전에는 어떤 새로운 기능이 있습니까?
GrapheneOS 2024011300의 새로운 버전에서는, 가장 중요한 변화 중 하나는 el 자동 재시작 메커니즘 구현을 완전히 재설계했습니다., 지금부터 이 메커니즘은 타이머를 사용하다 system_server 프로세스 대신 시작 프로세스에서 이는 보안을 강화하고 잠금 해제된 적이 없는 장치를 재부팅할 가능성을 제거했습니다. 또한 자동 재시작 시간이 72시간에서 18시간으로 단축되었습니다.
언급된다 자동 재부팅의 주요 아이디어는 활성화된 파티션을 재설정하는 것입니다. (복호화) 일정 기간 동안 활동이 없으면 사용자 데이터를 원래의 복호화되지 않은 상태로 되돌립니다. 사용자 프로필 데이터는 기기 재부팅 후 암호화됩니다. 사용자가 로그인 비밀번호를 입력한 후에만 해독됩니다. 사용자가 18시간 이상 활성화된 세션을 잠금 해제하지 않으면 장치가 자동으로 재부팅됩니다. 자동 재시작 시간 제한은 설정 > 보안 > 자동 재시작에서 수정할 수 있습니다.
롯 GrapheneOS 개발자는 이 기능의 정당성이 최근 취약점을 기반으로 한다고 언급합니다. Google Pixel 및 Samsung Galaxy 스마트폰에서 발견되었습니다. 이러한 취약점으로 인해 법의학 분석 회사는 장치가 활성화된 상태, 즉 세션이 활성화되고 데이터가 해독되는 동안 사용자를 감시하고 데이터를 추출할 수 있습니다. 자동 재시작 기능을 도입하면 장기간 사용하지 않은 후 장치를 다시 시작하여 이러한 위험을 완화할 수 있습니다. 따라서 장치가 잘못된 사람의 손에 들어갈 경우 메모리에 남아 있을 수 있는 키의 무단 분석을 방지할 수 있습니다.
새 버전에서 눈에 띄는 또 다른 변경 사항은 Pixel 장치 및 sysrq 지원의 Linux 커널 업데이트가 비활성화되었습니다.. Pixel 6, Pixel 6 Pro, Pixel 6a, Pixel 7, Pixel 7 Pro, Pixel 7a, Pixel Tablet 및 Pixel Fold 기기의 경우 최신 버전의 GKI(일반 커널 이미지)인 5.10.206으로 업데이트되었습니다. Pixel 8 및 Pixel 8 Pro 장치의 경우 커널 업데이트는 버전 5.15.145입니다. 또한 커널 6.1.69를 사용한 빌드도 준비되었습니다. 이러한 업데이트에는 보안 개선 사항, 버그 수정, 최신 버전의 Linux 커널에서 제공되는 새로운 기능이 포함될 수 있습니다.
이 외에도 주의할 점은 로그 뷰어가 추가되었습니다 (설정 > 시스템 > 로그 보기) 새로운 문제를 평가하고 오류 보고서 준비를 단순화할 수 있을 뿐만 아니라 충돌 보고서 제출을 위한 인터페이스가 다시 디자인되었습니다.
En Pixel 카메라 서비스에 대한 adevtool 지원이 도입되었습니다.이제 Pixel 6+ 스마트폰의 애플리케이션에서 야간 모드를 사용할 수 있습니다. 반면에 adevtool은 Android 14와 호환되지 않는 기기에 대한 지원이 중단되었습니다.
의 눈에 띄는 기타 변경 사항 :
- malloc에서 메모리 손상 감지기가 활성화되면 알림 출력이 추가되었습니다.
- Vanadium 브라우저가 Chromium 120 코드베이스로 업데이트되었습니다.
- GmsCompatConfig: 버전 92로 업데이트
- hardened_malloc이 직접 검사를 사용하여 메모리 손상을 감지한 후 알림 표시(보호된 메모리 주소 공간을 통해 감지된 메모리 손상은 포함하지 않음)
마지막으로, 다음과 같은 점을 언급할 가치가 있습니다. 그것에 대해 더 알고 싶은 관심, 자세한 내용은 에서 확인하실 수 있습니다. 다음 링크.