GrapheneOS je fork projekta AndroidHardening
Pred nekaj dnevi Napovedana je bila izdaja nove različice GrapheneOS 2024011300, različica v kateri izvedba samodejnega ponovnega zagona je bila prepisana, je integriran nov pregledovalnik dnevnikov, jedro je bilo posodobljeno, izboljšave so bile implementirane in še več.
Za tiste, ki ne poznate GrapheneOS, morate vedeti, da je to Je razcep kodne baze AOSP (Android Open Source Project), ki je bil razširjen in spremenjen za izboljšanje varnosti in zagotavljanje zasebnosti uporabnikov. GrapheneOS se je nekoč imenoval AndroidHardening in je bil ločen od projekta CopperheadOS zaradi sporov med njegovimi ustanovitelji.
Med glavne značilnosti in pristopi GrapheneOS, izstopa:
- Izolacija in nadzor dostopa: Eksperimentalne tehnologije so implementirane za krepitev izolacije aplikacij in natančnega nadzora dostopa. To vključuje uporabo lastniške izvedbe malloc, spremenjeno različico libc z zaščito pred poškodbami pomnilnika in bolj togo delitev naslovnega prostora procesa.
- Kompilacija AOT in ne-JIT: Android Runtime uporablja samo kompilacijo AOT (pred časom) namesto JIT (just-in-time).
- Zaščiteno jedro Linuxa: Jedro Linuxa vključuje številne dodatne zaščitne mehanizme, kot so oznake kanarčka za blokiranje prelivanja medpomnilnika. SELinux in seccomp-bpf se uporabljata za izboljšanje izolacije aplikacij.
- Poseben nadzor dovoljenj: Dostop do omrežnih operacij, senzorjev, imenika in perifernih naprav je dovoljen samo izbranim aplikacijam. Branje iz odložišča je dovoljeno samo za aplikacije s fokusom vnosa.
- Zasebnost identifikatorja: Privzeto je pridobivanje informacij o IMEI, naslovu MAC, serijski številki kartice SIM in drugih identifikatorjih strojne opreme prepovedano.
- varnost: Izvedeni so dodatni ukrepi za izolacijo procesov, povezanih z Wi-Fi in Bluetooth, ter preprečevanje uhajanja brezžične dejavnosti.
- napredno šifriranje: uporablja kriptografsko preverjanje komponent za nalaganje in napredno šifriranje na ravni datotečnega sistema ext4 in f2fs (podatki so šifrirani z uporabo AES-256-XTS in imena datotek so AES-256-CTS z uporabo HKDF-SHA512 za ustvarjanje ločenega ključa za vsako datoteko) , namesto blokovne naprave
- Brez Googla: V bistvu ne vključuje Googlovih aplikacij in storitev, omogoča pa namestitev storitev Google Play v izoliranem okolju.
- Razvoj lastnih aplikacij: Projekt razvija več lastniških aplikacij, osredotočenih na varnost in zasebnost, kot so brskalnik na osnovi Chromium (Vanadium), varen pregledovalnik PDF, požarni zid, aplikacija Auditor za preverjanje naprave in zaznavanje vdorov, aplikacija kamere, osredotočena na zasebnost, in šifrirana rezervni sistem, imenovan Seedvault.
Kaj je novega v novi različici GrapheneOS 2024011300?
V tej novi različici GrapheneOS 2024011300, ki je predstavljena, ena njegovih najpomembnejših sprememb je el Popolna prenova izvedbe mehanizma za samodejni ponovni zagon, od zdaj naprej ta mehanizem uporabite časovnik v procesu zagona namesto v procesu system_server, ki je izboljšal varnost in odpravil možnost ponovnega zagona naprave, ki ni bila nikoli odklenjena. Poleg tega je bil čas samodejnega ponovnega zagona skrajšan z 72 na 18 ur.
Omenjeno je, da Glavna ideja samodejnega ponovnega zagona je ponastavitev aktiviranih particij (dešifrirano) z uporabniškimi podatki nazaj v prvotno nešifrirano stanje po določenem obdobju nedejavnosti. Podatki uporabniškega profila so po ponovnem zagonu naprave šifrirani in se dešifrirajo šele, ko uporabnik vnese geslo za prijavo. Če uporabnik aktivirane seje ni odklenil več kot 18 ur, se bo naprava samodejno znova zagnala. Časovno omejitev samodejnega ponovnega zagona lahko spremenite v Nastavitve > Varnost > Samodejni ponovni zagon.
P Razvijalci GrapheneOS navajajo, da utemeljitev te funkcije temelji na nedavnih ranljivostih odkrit na pametnih telefonih Google Pixel in Samsung Galaxy. Te ranljivosti omogočajo podjetjem za forenzično analizo, da vohunijo za uporabniki in pridobivajo podatke, medtem ko je naprava v aktiviranem stanju, torej ko je seja aktivna in so podatki dešifrirani. Uvedba samodejnega ponovnega zagona pomaga ublažiti to tveganje s ponovnim zagonom naprave po daljšem obdobju nedejavnosti in tako prepreči nepooblaščeno analizo ključev, ki lahko ostanejo v pomnilniku, če naprava pade v napačne roke.
Druga od sprememb, ki izstopa v novi različici, je Posodobitev jedra Linuxa v napravah Pixel in podpora za sysrq je onemogočena. Za naprave Pixel 6, Pixel 6 Pro, Pixel 6a, Pixel 7, Pixel 7 Pro, Pixel 7a, Pixel Tablet in Pixel Fold je bil posodobljen na najnovejšo različico GKI (Generic Kernel Image), ki je 5.10.206. Pri napravah Pixel 8 in Pixel 8 Pro je jedro posodobljeno na različico 5.15.145. Poleg tega so bile pripravljene gradnje z jedrom 6.1.69. Te posodobitve lahko vključujejo varnostne izboljšave, popravke napak in nove funkcije, ki jih zagotavljajo najnovejše različice jedra Linuxa.
Poleg tega se ugotavlja tudi, da dodan je pregledovalnik dnevnika (Nastavitve > Sistem > Ogled dnevnikov), ki omogoča ovrednotenje nastajajočih težav in poenostavitev priprave poročil o napakah, preoblikovan pa je tudi vmesnik za oddajo poročil o zrušitvah.
En Predstavljena je bila podpora adevtool za Pixel Camera Service, ki zdaj omogoča uporabo nočnega načina v aplikacijah na pametnih telefonih Pixel 6+. Po drugi strani pa adevtool je prenehal podpirati naprave, ki niso združljive z Androidom 14.
Od druge izstopajoče spremembe:
- Dodan izhod obvestila, ko je v malloc aktiviran detektor poškodovanosti pomnilnika.
- Brskalnik Vanadium je bil posodobljen na kodno osnovo Chromium 120
- GmsCompatConfig: posodobitev na različico 92
- pokaži obvestilo po tem, ko hardened_malloc zazna poškodbo pomnilnika z neposrednim preverjanjem (ne zajema poškodb pomnilnika, odkritih prek zaščitenega pomnilniškega naslovnega prostora)
Na koncu velja omeniti, da za zanima več o tem, Podrobnosti lahko preverite v naslednja povezava.