אנדרואיד קיטקאט חוסם ערכות שורש, אך באיזו עלות?

גוגל הגדילה את האבטחה ב- Android 4.4, KitKat, כדי לחסום תוכנות זדוניות מהשתלטות על מכשירי משתמשים, אך חלק מהשינויים הללו עשויים להציב אתגרים למשתמשים שרוצים להשתלט על גורל האבטחה שלהם.

השילוב של שתי תכונות אבטחה ב- KitKat יחסום אפליקציות זדוניות מקבלות גישה שורשית דרך המכשיר, אמר בוגדן בוטזאטו, אנליסט בכיר בחברת האבטחה הרומנית BitDefender. בניתוחו על אנדרואיד KitKat, הוא קבע שתכונות אלה גם עלולות להקשות על המשתמשים להעמיס קושחה בהתאמה אישית על המכשירים האחרונים.

כרגע על המשתמשים לשרש כדי שיוכלו להבהיר את מטען האתחול ולהתקין ROM מותאם אישית, כגון CyanogenMod או Paranoid Android. אפילו הצבא האמריקני משתמש, לפי הדיווחים, בגרסה המקושחת של אנדרואיד במכשירים שפונו לאנשיה.

"למען האבטחה, התכונות החדשות הן קריטיות לחלוטין. למשתמשים שמנסים לעדכן את המכשירים שלהם בעצמם, התכונות החדשות הופכות את הדברים למאתגרים", אמר בוטזאטו.

אין עוד שורש

אנדרואיד 4.4 מגיע עם מכשיר-mapper-verity, (dm-verity), פונקציונלי "ניסיוני" אימות אתחול מאומת בגרעין מערכת ההפעלה. זה מסייע במניעת ערכות שורש מתמשכות שיכולות להחזיק הרשאות שורש ומכשירים, "אמרה גוגל במסמכי המקור שפורסמו בשבוע שעבר.

בעיקרו של דבר, dm-verity מגלה כאשר לתוכנית יש הרשאות גבוהות ממה שיש לאפשר לה ומאמת את הלגיטימיות של התוכנית על ידי בדיקת חתימת הקריפטוגרפיה. אם התוכנית לא נחתמת כראוי, dm-verity יכול לחסום את האפליקציה הרעה מנסה להשיג גישה לשורש, אמר בוטזאטו.

אנדרואיד KitKat מגיע גם עם גרסת בשר מוגזמת של SELinux, או לינוקס משופר באבטחה. SELinux התווספה לראשונה לאנדרואיד בגרסה 4.3 (ג'לי שעועית), אך היא שימשה רק לרישום כל ניסיונות ההסלמה של הרשאות, אמר בוטזאטו. ב- 4.4, SELinux נמצאת במצב "אכיפה" והיא יכולה למעשה לחסום התקפות הסלמה של הרשאות, כמו אפליקציה שמנסה להשיג הרשאות שורש במכשיר.

השילוב בין dm-verity ו- SELinux הוא חדשות טובות לחסימת תוכנות זדוניות במכשירי אנדרואיד, אך פירוש הדבר גם שמשתמשים המנסים להתקין קושחה מותאמת אישית במכשירי KitKat החדשים הנמצאים באופק ייחסמו, כך אמר בוטזאטו. על יצרן המכשירים להחליט אילו מכשירים יכללו את מטען האתחול הנעול, ציין.

בעיית העדכון של אנדרואיד

העובדה שמשתמשים לא יוכלו לבצע עדכוני קושחה משלהם במכשירי KitKat נשמעת כמו בעיה מוגבלת, והיא משפיעה רק על משתמשי האנדרואיד הקשים ביותר. עם זאת, השאלה הגדולה יותר היא האם יצרנים וספקים יתחילו לעשות עבודה טובה יותר לדחוף עדכונים, אמר בוטזאטו. נכון לעכשיו, לספקים ויצרנים יש תיעוד גרוע מאוד של דחיית עדכונים לטלפונים קיימים. ישנם עדיין יותר מ -25 אחוז מהמכשירים שמפעילים כיום ג'ינג'ברד, או אנדרואיד 2.3, שיצא לפני שלוש שנים.

בשלב זה, משתמשים המודאגים מהביטחון שלהם יכולים לקחת את הטלפונים הישנים שלהם, שעדיין עובדים ושימושיים, ולשדרג לגרסאות חדשות יותר של אנדרואיד. אם משתמש קונה מכשיר KitKat חדש עם טוען אתחול נעול, למשתמש זה כבר אין את היכולת לעדכן את הקושחה לגרסאות אנדרואיד עתידיות או לקבל תיקונים בכוחות עצמו, אמר בוטזאטו. ספקים ויצרנים צריכים להגביר ולהתחיל לבצע עבודה טובה יותר עם דחיקת עדכונים ולהמשיך לתמוך בטלפונים הרבה יותר ממה שהם עושים כיום, אמר.

אם המערכת הנוכחית ללא עדכונים ממשיכה, אז משתמשים שבכלל היו מעודכנים את המכשירים עצמם נאלצים לקנות מכשירים חדשים מדי שנה רק כדי להישאר מאובטחים, הזהיר בוטזאטו.

גוגל לבצע צעד?

אולי זה לא הולך להיות בעיה מכיוון שגוגל מתכוונת להשתלט על תהליך העדכון. זה יכול להיות כיוון אחד שגוגל עשויה לכוון עם ההחלטה שלה לפצל יישומי ליבה ופונקציות ליבה מהיתר מערכת ההפעלה. בגרסה 4.4 גוגל חילקה את מערך התוכנה ברמה הגבוהה יותר מהקוד שמתממשק לחומרה ברמה הנמוכה. בדרך זו, גוגל יכולה כעת לבצע שינויים באפליקציות הליבה שלה ורבות מתכונות הספרייה של אנדרואיד ישירות למשתמשים.

יתכן שגוגל תוכל לעקוף באופן חלקי את הספקים והיצרנים ולדחוף ישירות את תיקוני האבטחה למשתמשים גם אם מערכת ההפעלה שלהם לא תקבל את העדכונים המלאים. כדאי לפקוח מה גוגל תעשה בהמשך.

למכשירי Nexus אין מטען אתחול נעול, אמר בוטזאטו. בהתבסס על הניתוח שלו, המשתמשים עדיין יוכלו להבהב מכשירי Nexus ולהתקין קושחת אנדרואיד בהתאמה אישית, אמר. אם זה המקרה, העובדה שתצליח להגן על העתיד את מכשיר ה- Android שלך עשויה פשוט להיות התירוץ הדרוש לך לשקול להשיג לעצמך את ה- Nexus 5.