摩托羅拉和 GrapheneOS 項目,該項目開發基於 GrapheneOS 的安全開源固件 Android, договорились о долгосрочном сотрудничестве. Сотрудничество подразумевает совместную работу по усилению конфиденциальности и безопасности смартфонов, а также разработку новых устройств, для которых будет предоставлена официальная поддержка прошивок на базе GrapheneOS.
此次合作將推動新一代隱私和安全技術的發展,該技術結合了 GrapheneOS 的創新成果、摩托羅拉在維護安全性方面的豐富經驗、對真實用戶需求的理解以及聯想 ThinkShield 解決方案的使用(摩托羅拉自 2014 年以來一直由聯想所有)。
GrapheneOS развивает ответвление от кодовой базы AOSP (Android Open Source Project), включающее многие экспериментальные технологии, связанные с усилением изоляции приложений, детальным управлением доступом, блокированием проявления уязвимостей и усложнением работы эксплоитов. Среди прочего, в платформе задействована собственная реализация malloc, модифицированный вариант libc с защитой от повреждения памяти и более жёсткое разделение адресного пространства процессов. В ядре Linux включены дополнительные механизмы защиты, такие как канареечные метки в slub для блокирования переполнения буферов. Для усиления изоляции приложений задействованы SELinux 以及 seccomp-bpf。
使用者可選擇性地控制各個應用程式對網路操作、感測器、通訊錄和周邊設備(USB、攝影機)的存取權限。預設情況下,禁止取得 IMEI、MAC 位址、SIM 卡序號和其他硬體識別碼資訊。僅允許目前擁有輸入焦點的應用程式讀取剪貼簿內容。此外,還啟用了其他機制來隔離 Wi-Fi 和藍牙相關進程,並防止無線活動導致的資訊外洩。
GrapheneOS 使用 ext4 和 f2fs 檔案系統層級的加密驗證來驗證可啟動元件並加密數據,而不是在區塊裝置層級進行加密。系統分區和每個使用者設定檔中的資料都使用不同的金鑰進行加密。鎖定螢幕介面上會顯示一個登出按鈕;點擊該按鈕會重設解密金鑰並使儲存裝置處於非活動狀態。使用者可以選擇設定額外的銷毀密碼和 PIN 碼;輸入這些密碼和 PIN 碼將清除硬體儲存裝置中的所有金鑰,包括用於加密磁碟機上資料的金鑰,同時還會擦除 eSIM 卡並重新啟動系統。
GrapheneOS 明確排除了 Google 應用程式和服務,以及 Google 服務的替代實現,例如 microG。但是,使用者可以在獨立的隔離環境中安裝 Google Play 服務,而無需特殊權限。該專案正在開發多款專注於資訊安全和隱私的專有應用,例如基於 Chromium 的 Vanadium 瀏覽器、安全 PDF 檢視器、防火牆、Auditor 設備驗證和入侵檢測應用、相機應用以及 Seedvault 加密備份系統。
來源: opennet.ru
