กำลังอัปเดตการป้องกัน Androidแพลตฟอร์ม GrapheneOS

แพลตฟอร์มมือถือที่ปลอดภัย GrapheneOS รุ่น 2024011300 ซึ่งเป็นการแยกโค้ดเบสออกมา พร้อมใช้งานแล้ว Android (AOSP, Android โครงการโอเพนซอร์ส (Open Source Project) ได้รับการพัฒนาและปรับปรุงเพื่อเพิ่มความปลอดภัยและรับประกันความเป็นส่วนตัว โครงการนี้เคยได้รับการพัฒนาภายใต้ชื่อเดิมว่า... AndroidGrapheneOS เป็นระบบปฏิบัติการที่พัฒนาต่อยอดมาจาก CopperheadOS หลังจากเกิดความขัดแย้งระหว่างผู้ก่อตั้ง GrapheneOS รองรับอุปกรณ์ Google Pixel รุ่นปัจจุบันส่วนใหญ่ (Pixel 4/5/6/7/8, Pixel Fold, Pixel Tablet) และเผยแพร่ภายใต้ใบอนุญาต MIT

GrapheneOS ประกอบด้วยเทคโนโลยีทดลองมากมายที่เกี่ยวข้องกับการเสริมสร้างการแยกแอปพลิเคชัน การควบคุมการเข้าถึงแบบละเอียด การป้องกันช่องโหว่ทั่วไป และการทำให้การโจมตีทำได้ยากขึ้น ตัวอย่างเช่น แพลตฟอร์มนี้ใช้การใช้งาน malloc ของตนเองและ libc เวอร์ชันดัดแปลงที่มีการป้องกันความเสียหายของหน่วยความจำ รวมถึงการแยกพื้นที่แอดเดรสของกระบวนการที่เข้มงวดมากขึ้น แทนที่จะใช้ JIT Android รันไทม์ใช้การคอมไพล์แบบ AOT (ahead-of-time) เท่านั้น ในเคอร์เนล Linux มีการรวมกลไกการป้องกันเพิ่มเติมอีกมากมาย ตัวอย่างเช่น มีการเพิ่มเครื่องหมาย canary ลงใน slub เพื่อบล็อก buffer overflow SE ถูกนำมาใช้เพื่อเสริมความแข็งแกร่งในการแยกแอปพลิเคชันLinux และ seccomp-bpf

การเข้าถึงการทำงานของเครือข่าย เซ็นเซอร์ สมุดที่อยู่ และอุปกรณ์ต่อพ่วง (USB, กล้อง) สามารถจำกัดได้เฉพาะแอปพลิเคชันที่เลือกไว้เท่านั้น การอ่านคลิปบอร์ดถูกจำกัดเฉพาะแอปพลิเคชันที่กำลังใช้งานอยู่ โดยค่าเริ่มต้น การได้มาซึ่งข้อมูลเกี่ยวกับ IMEI ที่อยู่ MAC หมายเลขซีเรียลของซิมการ์ด และตัวระบุฮาร์ดแวร์อื่นๆ เป็นสิ่งต้องห้าม มีการใช้มาตรการเพิ่มเติมเพื่อแยกกระบวนการที่เกี่ยวข้องกับ Wi-Fi และ Bluetooth และป้องกันการรั่วไหลที่เกิดจากกิจกรรมไร้สาย การปรับปรุงด้านความปลอดภัยหลายอย่างที่พัฒนาขึ้นภายในโครงการได้ถูกนำมาใช้ในโค้ดเบสหลักแล้ว Android.

GrapheneOS ใช้การตรวจสอบการเข้ารหัสของส่วนประกอบโหลดและการเข้ารหัสข้อมูลขั้นสูงที่ระดับระบบไฟล์ ext4 และ f2fs (ข้อมูลถูกเข้ารหัสโดยใช้ AES-256-XTS และชื่อไฟล์คือ AES-256-CTS โดยใช้ HKDF-SHA512 เพื่อสร้างคีย์แยกต่างหากสำหรับแต่ละรายการ file ) แทนที่จะเป็นอุปกรณ์บล็อก ข้อมูลในพาร์ติชันระบบและในแต่ละโปรไฟล์ผู้ใช้จะถูกเข้ารหัสด้วยคีย์ที่แตกต่างกัน ใช้ความสามารถของฮาร์ดแวร์ที่มีอยู่เพื่อเพิ่มความเร็วในการเข้ารหัส หน้าจอล็อคจะแสดงปุ่มออกจากระบบ ซึ่งเมื่อคลิกแล้ว จะรีเซ็ตคีย์ถอดรหัส และทำให้ห้องนิรภัยอยู่ในสถานะไม่ใช้งาน มีการตั้งค่าเพื่อป้องกันการติดตั้งแอปพลิเคชันเพิ่มเติมสำหรับโปรไฟล์ผู้ใช้ที่เลือก เพื่อป้องกันการคาดเดารหัสผ่าน มีการใช้ระบบความล่าช้า ขึ้นอยู่กับจำนวนครั้งที่ไม่สำเร็จ (จาก 30 วินาทีถึง 1 วัน)

โดยพื้นฐานแล้ว GrapheneOS จะไม่รวมแอปพลิเคชันและบริการของ Google รวมถึงการใช้บริการอื่นๆ ของ Google เช่น microG ในเวลาเดียวกัน คุณสามารถติดตั้งบริการ Google Play ในสภาพแวดล้อมที่แยกจากกันซึ่งไม่มีสิทธิพิเศษได้ โครงการนี้ยังกำลังพัฒนาแอพพลิเคชั่นของตัวเองหลายตัวที่เน้นเรื่องความปลอดภัยของข้อมูลและความเป็นส่วนตัว ตัวอย่างเช่น พวกเขานำเสนอเบราว์เซอร์ Vanadium ที่ใช้ Chromium และกลไก WebView เวอร์ชันดัดแปลง, โปรแกรมดู PDF ที่ปลอดภัย, ไฟร์วอลล์, แอปพลิเคชันผู้ตรวจสอบสำหรับการตรวจสอบอุปกรณ์และการตรวจจับการบุกรุก, แอปพลิเคชันกล้องที่เน้นความเป็นส่วนตัว และระบบสำรองข้อมูลที่เข้ารหัส เรียกว่า Seedvault

ท่ามกลางการเปลี่ยนแปลงในเวอร์ชันใหม่:

  • การใช้งานกลไกการรีบูตอัตโนมัติได้รับการออกแบบใหม่ทั้งหมด ซึ่งได้เปลี่ยนไปใช้ตัวจับเวลาในกระบวนการเริ่มต้น แทนที่จะเป็นในกระบวนการ system_server ซึ่งได้เพิ่มความปลอดภัยและลดการรีบูตอุปกรณ์ที่ไม่เคยถูกปลดล็อค เวลารีบูตอัตโนมัติลดลงจาก 72 เป็น 18 ชั่วโมง แนวคิดหลักของการรีบูตอัตโนมัติคือการรีเซ็ตพาร์ติชันที่เปิดใช้งาน (ถอดรหัส) ด้วยข้อมูลผู้ใช้เป็นสถานะที่ไม่ได้เข้ารหัสดั้งเดิมหลังจากไม่มีการใช้งานช่วงระยะเวลาหนึ่ง

    ข้อมูลโปรไฟล์ผู้ใช้จะถูกเข้ารหัสหลังจากรีสตาร์ทอุปกรณ์ และจะถูกถอดรหัสหลังจากที่ผู้ใช้ป้อนรหัสผ่านเข้าสู่ระบบเท่านั้น หากผู้ใช้ไม่ได้ปลดล็อกเซสชันที่เปิดใช้งานเป็นเวลานานกว่า 18 ชั่วโมง อุปกรณ์จะรีบูตโดยอัตโนมัติ (สามารถเปลี่ยนการหมดเวลาได้ในการตั้งค่า > ความปลอดภัย > รีบูตอัตโนมัติ) เพื่อป้องกันการวิเคราะห์คีย์ที่เหลืออยู่ในหน่วยความจำหากอุปกรณ์ตกอยู่ใน มือผิด

    เพื่อแสดงให้เห็นถึงความจำเป็นในการใช้คุณสมบัติการรีบูทอัตโนมัติ นักพัฒนา GrapheneOS อ้างถึงช่องโหว่ที่เพิ่งค้นพบในสมาร์ทโฟน Google Pixel และ Samsung Galaxy ซึ่งช่วยให้บริษัทวิเคราะห์ทางนิติเวชสามารถสอดแนมผู้ใช้และดึงข้อมูลในขณะที่อุปกรณ์อยู่ในสถานะเปิดใช้งาน (เมื่อเซสชั่นทำงานและ ข้อมูลถูกถอดรหัส) .

  • เพิ่มโปรแกรมดูบันทึกแล้ว (การตั้งค่า > ระบบ > ดูบันทึก) ซึ่งช่วยให้คุณสามารถประเมินปัญหาที่เกิดขึ้นและทำให้การเตรียมรายงานข้อผิดพลาดง่ายขึ้น
  • อินเทอร์เฟซสำหรับการส่งรายงานข้อขัดข้องได้รับการออกแบบใหม่
  • adevtool ได้เพิ่มการรองรับ Pixel Camera Service ซึ่งช่วยให้คุณใช้โหมดกลางคืนในแอปพลิเคชันบนสมาร์ทโฟน Pixel 6+
  • Adevtool ได้ยกเลิกการสนับสนุนอุปกรณ์ที่ไม่รองรับแล้ว Android 14.
  • เพิ่มเอาต์พุตการแจ้งเตือนเมื่อตัวตรวจจับความเสียหายของหน่วยความจำถูกทริกเกอร์ใน malloc
  • ในส่วนแกนกลาง Linux การรองรับ sysrq ถูกปิดใช้งานแล้ว
  • แกนกลาง Linux อัปเดตเป็น GKI (Generic Kernel Image) เวอร์ชันล่าสุด 5.10.206 สำหรับอุปกรณ์ Pixel 6, Pixel 6 Pro, Pixel 6a, Pixel 7, Pixel 7 Pro, Pixel 7a, Pixel Tablet และ Pixel Fold และเป็นเวอร์ชัน 5.15.145 สำหรับอุปกรณ์ Pixel 8 และ Pixel 8 Pro นอกจากนี้ ยังได้เตรียมบิลด์ที่มีเคอร์เนล 6.1.69 ไว้ด้วย
  • เบราว์เซอร์ Vanadium ได้รับการอัปเดตเป็น Chromium codebase 120.0.6099.210.0

ที่มา: opennet.ru

ซื้อโฮสติ้งที่เชื่อถือได้สำหรับไซต์ที่มีการป้องกัน DDoS เซิร์ฟเวอร์ VPS VDS 🔥 ซื้อบริการเว็บโฮสติ้งที่เชื่อถือได้ พร้อมระบบป้องกัน DDoS และเซิร์ฟเวอร์ VPS/VDS | ProHoster