Motorola i projekt GrapheneOS, który opracowuje bezpieczne oprogramowanie układowe oparte na systemie Android, zawarły długoterminową współpracę. Współpraca obejmuje wspólne działania na rzecz zwiększenia prywatności i bezpieczeństwa smartfonów, a także opracowanie nowych urządzeń, które otrzymają oficjalne wsparcie dla oprogramowania układowego opartego na systemie GrapheneOS.
Współpraca ta pozwoli na wprowadzenie nowej generacji technologii ochrony prywatności i bezpieczeństwa, które powstaną dzięki połączeniu innowacyjnych rozwiązań GrapheneOS, bogatego doświadczenia Motoroli w utrzymywaniu bezpieczeństwa, zrozumienia potrzeb użytkowników oraz wykorzystania rozwiązań ThinkShield firmy Lenovo (Motorola należy do Lenovo od 2014 r.).
GrapheneOS to fork bazy kodu AOSP (Android Open Source Project), zawierający wiele eksperymentalnych technologii związanych ze wzmocnieniem izolacji aplikacji, precyzyjną kontrolą dostępu, zapobieganiem ujawnianiu się luk w zabezpieczeniach i utrudnianiem ataków. Platforma wykorzystuje między innymi własną implementację funkcji malloc, zmodyfikowany wariant biblioteki libc z ochroną przed uszkodzeniem pamięci oraz ściślejszą separację przestrzeni adresowej procesów. Jądro Linux zawiera dodatkowe mechanizmy ochrony, takie jak znaki kanarka w pliku slub, blokujące przepełnienia bufora. SELinux i seccomp-bpf służą do wzmocnienia izolacji aplikacji.
Użytkownik może selektywnie kontrolować dostęp poszczególnych aplikacji do operacji sieciowych, czujników, książki adresowej i urządzeń peryferyjnych (USB, aparat). Domyślnie uzyskiwanie informacji o numerze IMEI, adresie MAC, numerze seryjnym karty SIM i innych identyfikatorach sprzętowych jest zabronione. Odczyt danych ze schowka jest dozwolony tylko w przypadku aplikacji, które aktualnie mają fokus wejściowy. Włączono dodatkowe mechanizmy izolowania procesów związanych z Wi-Fi i Bluetooth oraz zapobiegania wyciekom danych wynikającym z aktywności bezprzewodowej.
GrapheneOS wykorzystuje kryptograficzną weryfikację komponentów rozruchowych i szyfrowanie danych na poziomie systemu plików ext4 i f2fs, a nie na poziomie urządzenia blokowego. Dane na partycjach systemowych i w każdym profilu użytkownika są szyfrowane różnymi kluczami. Na ekranie blokady wyświetlany jest przycisk wylogowania; jego kliknięcie resetuje klucze deszyfrujące i dezaktywuje pamięć masową. Użytkownik ma możliwość ustawienia dodatkowego, destrukcyjnego hasła i kodu PIN; ich wprowadzenie spowoduje wyczyszczenie wszystkich kluczy w pamięci sprzętowej, w tym tych użytych do szyfrowania danych na dysku, a także wymazanie karty eSIM i ponowne uruchomienie komputera.
GrapheneOS wyraźnie wyklucza aplikacje i usługi Google, a także alternatywne implementacje usług Google, takie jak microG. Możliwa jest jednak instalacja usług Google Play w oddzielnym, odizolowanym środowisku bez specjalnych uprawnień. Projekt rozwija kilka zastrzeżonych aplikacji skoncentrowanych na bezpieczeństwie i prywatności informacji, takich jak przeglądarka Vanadium oparta na Chromium, bezpieczna przeglądarka PDF, zapora sieciowa, aplikacja do weryfikacji urządzeń i wykrywania włamań Auditor, aplikacja aparatu fotograficznego oraz szyfrowany system kopii zapasowych Seedvault.
Źródło: opennet.ru
