Motorola und das GrapheneOS-Projekt, das sichere Open-Source-Firmware auf Basis von Android, договорились о долгосрочном сотрудничестве. Сотрудничество подразумевает совместную работу по усилению конфиденциальности и безопасности смартфонов, а также разработку новых устройств, для которых будет предоставлена официальная поддержка прошивок на базе GrapheneOS.
Durch die Zusammenarbeit wird eine neue Generation von Datenschutz- und Sicherheitstechnologien hervorgebracht, die durch die Kombination der innovativen Entwicklungen von GrapheneOS, Motorolas umfassender Erfahrung in der Aufrechterhaltung der Sicherheit, dem Verständnis der Bedürfnisse realer Benutzer und der Verwendung von ThinkShield-Lösungen von Lenovo (Motorola gehört seit 2014 zu Lenovo) geschaffen werden.
GrapheneOS развивает ответвление от кодовой базы AOSP (Android Open Source Project), включающее многие экспериментальные технологии, связанные с усилением изоляции приложений, детальным управлением доступом, блокированием проявления уязвимостей и усложнением работы эксплоитов. Среди прочего, в платформе задействована собственная реализация malloc, модифицированный вариант libc с защитой от повреждения памяти и более жёсткое разделение адресного пространства процессов. В ядре Linux включены дополнительные механизмы защиты, такие как канареечные метки в slub для блокирования переполнения буферов. Для усиления изоляции приложений задействованы SELinux и seccomp-bpf.
Der Nutzer kann den Zugriff einzelner Apps auf Netzwerkfunktionen, Sensoren, das Adressbuch und Peripheriegeräte (USB, Kamera) gezielt steuern. Standardmäßig ist das Auslesen von IMEI, MAC-Adresse, SIM-Karten-Seriennummer und anderen Hardware-Kennungen untersagt. Das Lesen der Zwischenablage ist nur für Apps erlaubt, die aktuell den Eingabefokus besitzen. Zusätzliche Mechanismen isolieren WLAN- und Bluetooth-Prozesse und verhindern Datenlecks durch drahtlose Aktivitäten.
GrapheneOS verwendet kryptografische Verifizierung der bootfähigen Komponenten und Datenverschlüsselung auf der Ebene der ext4- und f2fs-Dateisysteme, nicht auf Blockgeräteebene. Daten in Systempartitionen und in jedem Benutzerprofil werden mit unterschiedlichen Schlüsseln verschlüsselt. Auf dem Sperrbildschirm wird eine Abmeldeschaltfläche angezeigt; durch Klicken darauf werden die Entschlüsselungsschlüssel zurückgesetzt und der Speicher deaktiviert. Der Benutzer kann optional ein zusätzliches, selbstzerstörendes Passwort und eine PIN festlegen; deren Eingabe löscht alle Schlüssel im Hardware-Speicher, einschließlich der zur Datenverschlüsselung auf dem Laufwerk verwendeten, sowie die eSIM und startet das System neu.
GrapheneOS schließt Google-Apps und -Dienste sowie alternative Implementierungen von Google-Diensten wie microG ausdrücklich aus. Google Play-Dienste lassen sich jedoch in einer separaten, isolierten Umgebung ohne besondere Berechtigungen installieren. Das Projekt entwickelt mehrere eigene Anwendungen mit Fokus auf Informationssicherheit und Datenschutz, darunter den Chromium-basierten Vanadium-Browser, einen sicheren PDF-Viewer, eine Firewall, die App „Auditor“ zur Geräteverifizierung und Angriffserkennung, eine Kamera-App und das verschlüsselte Backup-System Seedvault.
Source: opennet.ru
