Motorola ja GrapheneOS projekt, mis arendab turvalist avatud lähtekoodiga püsivara, mis põhineb Android, договорились о долгосрочном сотрудничестве. Сотрудничество подразумевает совместную работу по усилению конфиденциальности и безопасности смартфонов, а также разработку новых устройств, для которых будет предоставлена официальная поддержка прошивок на базе GrapheneOS.
Koostöö edendab uue põlvkonna privaatsus- ja turvatehnoloogiaid, mis luuakse GrapheneOS-i uuenduslike arenduste, Motorola ulatusliku turvalisuse tagamise kogemuse, reaalsete kasutajate vajaduste mõistmise ja Lenovo ThinkShieldi lahenduste kasutamise kombineerimisel (Motorola on Lenovo omanduses alates 2014. aastast).
GrapheneOS развивает ответвление от кодовой базы AOSP (Android Open Source Project), включающее многие экспериментальные технологии, связанные с усилением изоляции приложений, детальным управлением доступом, блокированием проявления уязвимостей и усложнением работы эксплоитов. Среди прочего, в платформе задействована собственная реализация malloc, модифицированный вариант libc с защитой от повреждения памяти и более жёсткое разделение адресного пространства процессов. В ядре Linux включены дополнительные механизмы защиты, такие как канареечные метки в slub для блокирования переполнения буферов. Для усиления изоляции приложений задействованы SELinux и seccomp-bpf.
Kasutaja saab valikuliselt kontrollida üksikute rakenduste juurdepääsu võrgutoimingutele, anduritele, aadressiraamatule ja välisseadmetele (USB, kaamera). Vaikimisi on IMEI, MAC-aadressi, SIM-kaardi seerianumbri ja muude riistvaraidentifikaatorite kohta teabe hankimine keelatud. Lõikelaua lugemine on lubatud ainult rakenduste jaoks, millel on praegu sisendfookus. Lisamehhanismid on lubatud WiFi ja Bluetoothiga seotud protsesside isoleerimiseks ning traadita tegevusest tulenevate lekete vältimiseks.
GrapheneOS kasutab käivitatavate komponentide krüptograafilist verifitseerimist ja andmete krüptimist ext4 ja f2fs failisüsteemi tasemel, mitte plokkseadme tasemel. Süsteemipartitsioonides ja igas kasutajaprofiilis olevad andmed krüpteeritakse erinevate võtmetega. Lukustuskuval kuvatakse väljalogimisnupp; sellele klõpsamine lähtestab dekrüpteerimisvõtmed ja muudab salvestusruumi inaktiivseks. Kasutajal on võimalus määrata täiendav hävitav parool ja PIN-kood; nende sisestamine kustutab kõik riistvarasalvestuses olevad võtmed, sealhulgas need, mida kasutatakse draivi andmete krüptimiseks, ning kustutab eSIM-kaardi ja taaskäivitab arvuti.
GrapheneOS välistab konkreetselt Google'i rakendused ja teenused, samuti Google'i teenuste alternatiivsed rakendused, näiteks microG. Google Play teenuseid on aga võimalik installida eraldi, isoleeritud keskkonda ilma eriliste õigusteta. Projekt arendab mitmeid infoturbele ja privaatsusele keskenduvaid patenteeritud rakendusi, näiteks Chromiumil põhinev Vanadium-brauser, turvaline PDF-vaatur, tulemüür, Auditori seadme kontrollimise ja sissetungimise tuvastamise rakendus, kaamerarakendus ja krüptitud varundussüsteem Seedvault.
Allikas: opennet.ru
