GrapheneOS: Ce este această alternativă la Android și ce modificări prezintă versiunea sa 2024011300?
În urmă cu câteva zile a fost anunțată lansarea noii versiuni de GrapheneOS 2024011300 , o versiune în care implementarea repornirii automate a fost rescrisă, a fost integrat un nou vizualizator de jurnal , kernel-ul a fost actualizat, au fost implementate îmbunătățiri și mai departe.
Pentru cei care nu cunosc GrapheneOS, ar trebui să știți că acesta este un fork al bazei de cod AOSP (Android Open Source Project) , care a fost extins și modificat pentru a îmbunătăți securitatea și a garanta confidențialitatea utilizatorilor. GrapheneOS se numea AndroidHardening și a fost separat de proiectul CopperheadOS din cauza conflictelor dintre fondatorii săi.
Printre principalele caracteristici și abordări ale GrapheneOS, se remarcă următoarele:
- Izolarea și controlul accesului: Tehnologiile experimentale sunt implementate pentru a consolida izolarea aplicațiilor și controlul granular al accesului. Aceasta include utilizarea unei implementări proprietare a malloc, a unei versiuni modificate a libc cu protecție împotriva corupției memoriei și o împărțire mai rigidă a spațiului de adrese ale procesului.
- Compilare AOT și fără JIT: Android Runtime utilizează numai compilarea AOT (în avans) în loc de JIT (just-in-time).
- Kernel Linux protejat : Nucleul Linux include numeroase mecanisme suplimentare de protecție, cum ar fi etichete Canary pentru a bloca depășirile de buffer. SELinux și seccomp-bpf sunt folosite pentru a îmbunătăți izolarea aplicației.
- Controlul permisiunilor specifice: numai aplicațiilor selectate li se permite accesul la operațiunile de rețea, senzori, agenda de adrese și dispozitivele periferice. Citirea din clipboard este permisă numai pentru aplicațiile cu focus de intrare.
- Confidențialitatea identificatorului : În mod implicit, obținerea de informații despre IMEI, adresa MAC, numărul de serie al cartelei SIM și alți identificatori hardware este interzisă.
- Securitate : sunt implementate măsuri suplimentare pentru a izola procesele legate de Wi-Fi și Bluetooth și pentru a preveni scurgerile de activitate fără fir.
- Criptare avansată : utilizează verificarea criptografică a componentelor încărcăturii utile și criptarea avansată la nivel de sistem de fișiere ext4 și f2fs (datele sunt criptate folosind AES-256-XTS, iar numele fișierelor sunt AES-256-CTS folosind HKDF-SHA512 pentru a genera o cheie separată pentru fiecare fișier), în loc de un dispozitiv bloc
- Fără Google : Practic, nu include aplicațiile și serviciile Google, dar vă permite să instalați serviciile Google Play într-un mediu izolat.
- Dezvoltare de aplicații proprii : Proiectul dezvoltă mai multe aplicații proprietare axate pe securitate și confidențialitate, cum ar fi un browser bazat pe Chromium (Vanadium), un vizualizator PDF securizat, un firewall, o aplicație Auditor pentru verificarea dispozitivului și detectarea intruziunilor, o cameră focalizată pe confidențialitate. aplicație și un sistem de rezervă criptat numit Seedvault.
Ce noutăți prezintă noua versiune GrapheneOS 2024011300?
În această nouă versiune a GrapheneOS 2024011300, una dintre cele mai importante modificări ale sale este reproiectarea completă a implementării mecanismului de repornire automată , deoarece acum, acest mecanism folosește un temporizator în procesul de pornire în loc de în proces. system_server, care s-a îmbunătățit securitate și a eliminat capacitatea de a reporni un dispozitiv care nu a fost niciodată deblocat. În plus, timpul de repornire automată a fost redus de la 72 la 18 ore.
Se menționează că ideea principală a repornirii automate este de a reseta partițiile activate (decriptate) cu datele utilizatorului la starea lor originală necriptată după o anumită perioadă de inactivitate. Datele profilului utilizatorului sunt criptate după ce dispozitivul este repornit și decriptate numai după ce utilizatorul introduce parola de conectare. Dacă utilizatorul nu a deblocat sesiunea activată mai mult de 18 ore, dispozitivul se va reporni automat. Timpul de repornire automată poate fi modificat în Setări > Securitate > Repornire automată.
Dezvoltatorii GrapheneOS menționează că justificarea acestei caracteristici se bazează pe vulnerabilități descoperite recent în smartphone-urile Google Pixel și Samsung Galaxy. Aceste vulnerabilități permit companiilor de analiză criminalistică să spioneze utilizatorii și să extragă date în timp ce dispozitivul este într-o stare activată, adică atunci când sesiunea este activă și datele sunt decriptate. Introducerea repornirii automate ajută la atenuarea acestui risc prin repornirea dispozitivului după o perioadă prelungită de inactivitate, prevenind astfel analiza neautorizată a cheilor care pot rămâne în memorie dacă dispozitivul cade pe mâini greșite.
O altă modificare care iese în evidență în noua versiune este actualizarea nucleului Linux pe dispozitivele Pixel și compatibilitatea sysrq este dezactivată . Pentru dispozitivele Pixel 6, Pixel 6 Pro, Pixel 6a, Pixel 7, Pixel 7 Pro, Pixel 7a, Pixel Tablet și Pixel Fold, acesta a fost actualizat la cea mai recentă versiune a GKI (Generic Kernel Image), care este 5.10.206 . În timp ce pentru dispozitivele Pixel 8 și Pixel 8 Pro, actualizarea nucleului este la versiunea 5.15.145. În plus, au fost pregătite versiuni cu nucleul 6.1.69. Aceste actualizări pot include îmbunătățiri de securitate, remedieri de erori și funcții noi oferite de cele mai recente versiuni ale nucleului Linux.
Pe lângă aceasta, se evidențiază și faptul că a fost adăugat un vizualizator de jurnal (Setări > Sistem > Vizualizare jurnale), care vă permite să evaluați problemele apărute și să simplificați pregătirea rapoartelor de eroare, precum și interfața pentru trimiterea rapoartelor. reproiectat.de eşecuri.
Asistența pentru Pixel Camera Service a fost introdus în adevtool , care vă permite acum să utilizați modul noapte în aplicațiile de pe smartphone-urile Pixel 6+. Pe de altă parte, adevtool a încetat să accepte dispozitive care nu sunt compatibile cu Android 14.
Dintre celelalte modificări care ies în evidență:
- S-a adăugat o ieșire de notificare când detectorul de corupție a memoriei este activat în malloc.
- Browserul Vanadium a fost actualizat la baza de coduri Chromium 120
- GmsCompatConfig: actualizare la versiunea 92
- Afișați notificarea după ce hardened_malloc detectează corupția memoriei folosind o verificare directă (nu acoperă corupția memoriei detectată prin spațiul de adresă de memorie protejat)
În sfârșit, este de menționat că pentru cei interesați să afle mai multe despre acesta, puteți consulta detaliile în următorul link.
Comentarii
Trimiteți un comentariu