Pokud jste sledovali vývoj v Androidu, musíte v posledních letech několikrát slyšet jméno „Verified Boot“. Google představil bezpečnostní funkci v Android 4.4 (Kitkat), důkladně non-dotěrným způsobem, a pomalu zvyšuje jeho viditelnost v novějších verzích svého operačního systému Android.
V posledních dnech jsme zaznamenali novinky o přítomnosti přísně ověřeného systému „ Strictly Enforced Verified Boot “ v nejnovější iteraci Google nejpoužívanějšího mobilního operačního systému na světě. Android Nugát bude používat vyšší úroveň kontroly zabezpečení, když se vaše zařízení spustí. Zatímco na Marshmallow, ověřené Boot pouze dal uživateli varování, v případě, že zjistil něco špatně se systémovým oddílem, Android Nugát vezme to o krok dále, a používat to, co Google volá "přísně vynucený ověřený boot", který bude nedovolí, aby se zařízení spouštělo vůbec, v případě, že detekuje anomálie v oddílu, změny provedené v zavaděči nebo přítomnost „škodlivého“ kódu v zařízení. To vyvolává otázku: „Co přesně to znamená pro uživatele?“, Ukazuje se, že odpověď se liší pro dvě hlavní kategorie uživatelů Androidu (příležitostných i výkonových uživatelů) a my poskytneme odpověď pro oba z nich .
Přísně vynucené ověřené spuštění
Za prvé, trochu na pozadí ověřené spouštění: Obvykle, když Android spustí ověřovací test na oddílech, dělá to tak, že rozdělí oddíly na 4KiB bloky a kontroluje je proti podepsané tabulce. Pokud vše kontroluje, znamená to, že systém je zcela čistý. Nicméně, jestliže některé bloky vyjdou být manipulován, nebo poškozený, Android informuje uživatele o záležitostech a nechává to na uživateli vyřešit to (nebo ne).
Vše, co se chystá změnit s Android Nougat, a Striktně vynucené ověřené spuštění. Pokud je ověřené spuštění spuštěno v režimu Enforced, nebude tolerovat žádné chyby v diskových oddílech. Pokud zjistí jakékoli problémy, neumožní spuštění zařízení a může uživateli umožnit spuštění systému v bezpečném režimu, aby se tyto problémy pokusily opravit. Striktně vynucené ověřené spuštění však není pouze kontrola proti špatným datovým blokům. Obvykle může také opravit chyby v datových blocích. To je možné díky přítomnosti kódů pro korekci chyb vpřed, které lze použít k opravě chyb v blocích dat. Nicméně, to nemůže vždy fungovat, a v případech, kdy to tak není, jste skoro mrtví ve vodě.
Přísně vynucená ověřená bota: Dobrá, špatná a ošklivá
1. Dobro
Vynucení ověřeného spuštění v zařízeních se systémem Android zvýší zabezpečení zařízení. V případě, že se zařízení infikuje malwarem, Strictly Enforced Verified Boot jej detekuje při příštím spuštění vašeho zařízení a buď ho opraví, nebo vás možná vyzve, abyste s tím něco udělali.
Tato funkce bude také kontrolovat poškození dat a ve většině případů bude schopna opravit chyby v datech díky kódům FEC. Google používá FEC kódy, které mohou opravit jednu neznámou bitovou chybu v 255 bitech . Jistě, zdá se, že se jedná o poměrně malé číslo, ale pojďme to v perspektivě, pokud jde o mobilní zařízení:
Poznámka: Níže uvedené hodnoty jsou převzaty z příspěvku blogu Google Engineer Sami Tolvanen na vývojáři Android.
Google mohl použít RS (255, 223) FEC kódy: tyto kódy by byly schopny opravit 16 neznámých bitových chyb v 255 bitech, ale prostorové režie kvůli 32 bitům redundantních dat by bylo téměř 15%, a to je hodně, zejména na mobilních zařízeních. Přidejte k tomu skutečnost, že Android je převládající OS na rozpočtu smartphonů, které dodávají s 4-8 GB paměti, a 15% navíc prostor jistě vypadá jako hodně.
Tím, že společnost Google obětuje možnosti oprav chyb, ve prospěch úsporného místa, rozhodla se použít kódy RS (255, 253) FEC. Tyto kódy mohou opravit pouze jednu neznámou chybu v 255 bitech, ale prostorová režie je pouze 0, 8%.
Poznámka: RS (255, N) je reprezentací Reed-Solomonových kódů, které jsou typem chybových opravných kódů.
2. Špatný
Slyšeli jste někdy o „Existují dvě strany mince“? Samozřejmě máte. Zatímco záměry společnosti Google s přísně vynuceným ověřením Boot byly nepochybně čisté jako jednorožec, přicházejí s vlastními problémy.
Když Strictly Enforced Verified Boot kontroluje malware, kontroluje také nelegální úpravy jádra, zavaděče a další věci, s nimiž vás nebudu nudit, ale to znamená, že Android Nougat se pravděpodobně setká s mnoha problémy s zakořeněním a blikající uživatelské ROM, protože ověřené spuštění nemůže rozlišovat mezi nechtěným kódem škodlivého kódu a kódem, který odemkl zavaděč. Což znamená, že pokud vaše zařízení přišlo s uzamknutým zavaděčem a váš OEM neumožňuje odemknutí zavaděče, do značné míry to nedokážete udělat. Doufejme, že někdo na to přijde.
Naštěstí většina lidí, kteří zakořenili svá zařízení, a flash ROM pro přidané funkce a funkce, jít s vývojářem přátelské telefony, jako je Nexus. Pokud jde o toto téma, je toho hodně, co je třeba zvážit, a rozhodně to není konec vlastních ROM, přinejmenším ne u zařízení, která přicházejí s odemknutým zavaděčem, nebo která umožňují odemknutí zavaděče. Zařízení, jako jsou telefony Samsung, však oficiálně neumožňují odemknutí zavaděče a na těchto zařízeních bude odemykání zavaděče rozhodně považováno za „problém“ ověřeným spouštěním, což brání spuštění zařízení.
Dalším problémem, který vznikne při použití přísně vynuceného ověřeného spouštění, je problém, který bude mít dopad i na uživatele, kteří se nezajímají o získání oprávnění uživatele root nebo o instalaci vlastních ROM. Postupem času, jak budete používat své zařízení, musí být v paměti přirozené poškození dat; ne kvůli přítomnosti malwaru, ale jednoduše proto, že se to děje. To obvykle není problém, nebo alespoň ne tak závažný problém, jako by to provedla ověřená verze Boot. Pokud máte poškozená data, která nelze při zavádění systému Fix Fixed Enforced Verified Boot opravit, neumožní spuštění zařízení. Podle mého názoru je to větší, viditelnější problém, než některá zkorumpovaná data v uživatelském oddílu.
3. Ošklivý
Ve všech výhodách vynucení ověřeného spouštění a všech potenciálních problémů je zřejmě nejznepokojivější skutečnost, že výrobci OEM mohou začít zneužívat toto zařízení, aby zamkli svá zařízení tak, aby lidé nemohli používat systém Android pro to, co bylo zamýšleno. být: otevřený, přátelský k vývojářům a zcela přizpůsobitelný. Striktně vynucené ověřené zavádění bude v rukou výrobců OEM, aby zajistili, že lidé nebudou schopni odemknout zavaděče na svých zařízeních, což jim zabrání v instalaci vlastních ROM a nástrojů pro zlepšení funkcí, jako jsou Xposed moduly.
Android Nugát: Radikální změna ve způsobu Android funguje?
Ačkoliv jsme si jisti, že záměry společnosti Google byly pouze vyhnout se potenciálním problémům pro běžné uživatele systému Android, kteří by nevěděli, co mají dělat v případě, že by jejich zařízení bylo ovlivněno škodlivým softwarem, nebo pokud by jejich paměť poškodila bloky dat, mohla předat výrobcům zařízení a výrobce je dokonalým nástrojem pro uzamčení uživatelů do života s tím, co jim bylo nabídnuto, a nic víc.
Samozřejmě někdo vymyslí zneužívání, nebo řešení této situace, a my doufáme, že to dělají v pravém duchu Androidu. Do té doby, než někdo přijde na to, že řešení, ale vše, co my, jako uživatelé mohou dělat, je zajistit, že nakupujeme naše zařízení od vývojářů-přátelských výrobců.
Doporučený obrázek Zdvořilost: Flickr