Motorola och GrapheneOS-projektet, som utvecklar säker, öppen källkodsbaserad firmware baserad på Android, договорились о долгосрочном сотрудничестве. Сотрудничество подразумевает совместную работу по усилению конфиденциальности и безопасности смартфонов, а также разработку новых устройств, для которых будет предоставлена официальная поддержка прошивок на базе GrapheneOS.
Samarbetet kommer att främja en ny generation av integritets- och säkerhetstekniker, skapade genom att kombinera den innovativa utvecklingen av GrapheneOS, Motorolas omfattande erfarenhet av att upprätthålla säkerhet, förståelse för riktiga användares behov och användningen av ThinkShield-lösningar från Lenovo (Motorola har ägts av Lenovo sedan 2014).
GrapheneOS развивает ответвление от кодовой базы AOSP (Android Open Source Project), включающее многие экспериментальные технологии, связанные с усилением изоляции приложений, детальным управлением доступом, блокированием проявления уязвимостей и усложнением работы эксплоитов. Среди прочего, в платформе задействована собственная реализация malloc, модифицированный вариант libc с защитой от повреждения памяти и более жёсткое разделение адресного пространства процессов. В ядре Linux включены дополнительные механизмы защиты, такие как канареечные метки в slub для блокирования переполнения буферов. Для усиления изоляции приложений задействованы SELinux и seccomp-bpf.
Användaren kan selektivt styra enskilda appars åtkomst till nätverksoperationer, sensorer, adressboken och kringutrustning (USB, kamera). Som standard är det förbjudet att hämta information om IMEI, MAC-adress, SIM-kortets serienummer och andra hårdvaruidentifierare. Urklippsläsning är endast tillåten för appar som för närvarande har inmatningsfokus. Ytterligare mekanismer är aktiverade för att isolera Wi-Fi- och Bluetooth-relaterade processer och förhindra läckor till följd av trådlös aktivitet.
GrapheneOS använder kryptografisk verifiering av startbara komponenter och datakryptering på ext4- och f2fs-filsystemnivå, inte på blockenhetsnivå. Data i systempartitioner och i varje användarprofil krypteras med olika nycklar. En utloggningsknapp visas på låsskärmen; om du klickar på den återställs dekrypteringsnycklarna och lagringen inaktiv. Användaren har möjlighet att ange ett ytterligare destruktivt lösenord och en PIN-kod; om dessa anges rensas alla nycklar i hårdvarulagringen, inklusive de som används för att kryptera data på hårddisken, samt raderas eSIM-kortet och omstarten påbörjas.
GrapheneOS exkluderar specifikt Googles appar och tjänster, såväl som alternativa implementeringar av Googles tjänster, såsom microG. Det är dock möjligt att installera Google Play-tjänster i en separat, isolerad miljö utan särskilda behörigheter. Projektet utvecklar flera proprietära applikationer inriktade på informationssäkerhet och integritet, såsom den Chromium-baserade Vanadium-webbläsaren, en säker PDF-läsare, en brandvägg, appen Auditor för enhetsverifiering och intrångsdetektering, en kameraapp och det krypterade säkerhetskopieringssystemet Seedvault.
Källa: opennet.ru
