Noen dager siden Utgivelsen av den nye versjonen av GrapheneOS 2024011300 ble annonsert, versjon der implementering av automatisk omstart er skrevet om, har blitt integrert ny loggviser, kjernen har blitt oppdatert, forbedringer er implementert og mer.
For de som ikke vet om GrapheneOS, bør du vite at dette Det er en gaffel av AOSP-kodebasen (Android Open Source Project), som har blitt utvidet og modifisert for å forbedre sikkerheten og garantere brukernes personvern. GrapheneOS pleide å bli kalt AndroidHardening og ble skilt fra CopperheadOS-prosjektet på grunn av konflikter mellom grunnleggerne.
Blant de hovedfunksjoner og tilnærminger til GrapheneOS, skiller seg ut:
- Isolasjon og tilgangskontroll: Eksperimentelle teknologier er implementert for å styrke applikasjonsisolasjon og granulær tilgangskontroll. Dette inkluderer bruk av en proprietær implementering av malloc, en modifisert versjon av libc med minnekorrupsjonsbeskyttelse og en mer rigid inndeling av prosessadresserommet.
- AOT og Non-JIT-samling: Android Runtime bruker bare AOT-kompilering (på forhånd) i stedet for JIT (just-in-time).
- Beskyttet Linux-kjerne: Linux-kjernen inkluderer en rekke ekstra beskyttelsesmekanismer, for eksempel kanari-tagger for å blokkere bufferoverløp. SELinux og seccomp-bpf brukes til å forbedre applikasjonsisolasjonen.
- Spesifikk tillatelseskontroll: Tilgang til nettverksoperasjoner, sensorer, adressebok og eksterne enheter er kun tillatt for utvalgte applikasjoner. Lesing fra utklippstavlen er kun tillatt for programmer med inputfokus.
- Identifikator personvern: Som standard er det forbudt å få informasjon om IMEI, MAC-adresse, SIM-kortserienummer og andre maskinvareidentifikatorer.
- Sikkerhet: Ytterligere tiltak er implementert for å isolere Wi-Fi- og Bluetooth-relaterte prosesser og forhindre trådløse aktivitetslekkasjer.
- avansert kryptering: Bruker kryptografisk verifisering av opplastingskomponenter og avansert kryptering på ext4 og f2fs filsystemnivå (data krypteres med AES-256-XTS og filnavnene er AES-256-CTS ved bruk av HKDF-SHA512 for å generere en egen nøkkel for hver fil) , i stedet for en blokkeringsenhet
- Uten Google: I utgangspunktet inkluderer det ikke Google-apper og -tjenester, men lar deg installere Google Play-tjenester i et isolert miljø.
- Utvikling av egne applikasjoner: Prosjektet utvikler flere proprietære applikasjoner fokusert på sikkerhet og personvern, for eksempel en Chromium (Vanadium)-basert nettleser, en sikker PDF-leser, en brannmur, en Auditor-applikasjon for enhetsverifisering og inntrengningsdeteksjon, en kameraapplikasjon med fokus på personvern og en kryptert backup-system kalt Seedvault.
Hva er nytt presenterer den nye versjonen av GrapheneOS 2024011300?
I denne nye versjonen som presenteres av GrapheneOS 2024011300, en av de viktigste endringene er el Komplett redesign av implementeringen av den automatiske omstartsmekanismen, siden nå, denne mekanismen bruk en timer i oppstartsprosessen i stedet for i system_server-prosessen, som har forbedret sikkerheten og eliminert muligheten for omstart av en enhet som aldri har blitt låst opp. I tillegg er tiden for automatisk omstart redusert fra 72 til 18 timer.
Det er nevnt at Hovedideen med automatisk omstart er å tilbakestille aktiverte partisjoner (dekryptert) med brukerdata tilbake til sin opprinnelige udekrypterte tilstand etter en viss periode med inaktivitet. Brukerprofildata krypteres etter omstart av enheten og dekrypteres først etter at brukeren har skrevet inn påloggingspassordet. Hvis brukeren ikke har låst opp den aktiverte økten på mer enn 18 timer, starter enheten automatisk på nytt. Tidsavbruddet for automatisk omstart kan endres i Innstillinger > Sikkerhet > Automatisk omstart.
den GrapheneOS-utviklere siterer at begrunnelsen for denne funksjonen er basert på nylige sårbarheter oppdaget på Google Pixel og Samsung Galaxy-smarttelefoner. Disse sårbarhetene lar rettsmedisinske analyseselskaper spionere på brukere og trekke ut data mens enheten er i en aktivert tilstand, det vil si når økten er aktiv og dataene er dekryptert. Innføringen av automatisk omstart bidrar til å redusere denne risikoen ved å starte enheten på nytt etter en lengre periode med inaktivitet, og forhindrer dermed uautorisert analyse av nøkler som kan forbli i minnet hvis enheten faller i feil hender.
En annen av endringene som skiller seg ut i den nye versjonen er Linux-kjerneoppdatering på Pixel-enheter og sysrq-støtte er deaktivert. For Pixel 6, Pixel 6 Pro, Pixel 6a, Pixel 7, Pixel 7 Pro, Pixel 7a, Pixel Tablet og Pixel Fold-enheter er den oppdatert til den nyeste versjonen av GKI (Generic Kernel Image), som er 5.10.206. Mens for Pixel 8- og Pixel 8 Pro-enheter er kjerneoppdateringen til versjon 5.15.145. I tillegg er builds med kjerne 6.1.69 forberedt. Disse oppdateringene kan inkludere sikkerhetsforbedringer, feilrettinger og nye funksjoner levert av de nyeste versjonene av Linux-kjernen.
I tillegg til dette bemerkes det også at en loggviser er lagt til (Innstillinger > System > Vis logger), som lar deg evaluere nye problemer og forenkle utarbeidelsen av feilrapporter, samt grensesnittet for å sende inn krasjrapporter har blitt redesignet.
En advtool-støtte for Pixel Camera Service har blitt introdusert, som nå lar deg bruke nattmodus i apper på Pixel 6+ smarttelefoner. På den annen side, advtool har sluttet å støtte enheter som ikke er kompatible med Android 14.
Av andre endringer som skiller seg ut:
- Lagt til en varslingsutgang når minnekorrupsjonsdetektoren er aktivert i malloc.
- Vanadium-nettleseren har blitt oppdatert til Chromium 120-kodebasen
- GmsCompatConfig: oppdatering til versjon 92
- vis varsling etter at hardened_malloc oppdager minnekorrupsjon ved hjelp av en direkte sjekk (dekker ikke minnekorrupsjon oppdaget gjennom det beskyttede minneadresserommet)
Til slutt er det verdt å nevne at for interessert i å vite mer om det, Du kan sjekke detaljene i følgende lenke.