Android Rollback Protection: koniec z wgrywaniem starego firmware
Google robi co może, by zwiększyć bezpieczeństwo Androida dlazwykłych użytkowników – nawet kosztem wygody hobbystów iekspertów. Kolejnym krokiem na drodze do upodobnienia tego mobilnegosystemu do iOS-a jest wprowadzenie w Androidzie 8.0 Oreo mechanizmuRollback Protection. Służy on uniemożliwieniu cofania aktualizacjisystemowych i instalowania wcześniejszych wersji firmware.Oczywiście wszystko to w imię większego bezpieczeństwaużytkowników.
07.09.2017 11:42
Rollback Protection jest nowym komponentem procesu Verified Boot,służącego zabezpieczeniu rozruchu urządzenia. Wprowadzony onzostał w Androidzie 4.4, by chronić przed nieusuwalnymi rootkitami,dać pewność, że urządzenie po rozruchu będzie w takim samymstanie, jak poprzednim razem. Dodatkowo na każdym etapiezweryfikowanego rozruchu zachodzi sprawdzanie spójności ipoprawności następnego etapu przed jego wykonaniem – jeśli tojest możliwe z wykorzystaniem sprzętowego klucza, dostarczonegoprzez producenta urządzenia.
W Androidzie 8.0 zweryfikowany proces rozruchowy (Android VerifiedBoot 2.0) ma zostać uzupełniony o specjalny licznik, któryuniemożliwi ataki na ukradzione urządzenia, polegające na wgraniuna nie starszej wersji firmware. Przechowywana w odpornym nanaruszenia obszarze pamięci liczba (rollback index) będziezwiększana po każdej aktualizacji systemu. W trakcie rozruchuliczba ta porównywana jest z liczbą przypisaną zainstalowanemufirmware. Jeśli okaże się większa, proces rozruchowy zostaniezatrzymany, urządzenie w praktyce zostanie zamienione w cegłę.Oczywiście liczba jest kryptograficznie podpisana, tak więc nawetjeśli ktoś dostanie się do licznika, będzie mu bardzo trudnosfałszować numer wersji starszego firmware.
Zapowiedź wprowadzenia licznika wersji do procesu rozruchowegowywołała konsternację wielu użytkowników alternatywnych ROM-ów.Potraktowano ją wręcz jako przejaw walki Google’a zniekontrolowanymi przez niego odmianami Androida (np. Lineage OS-em).Nic bardziej błędnego. Wprowadzony mechanizm służyć ma przedewszystkim Zwykłym Użytkownikom, by ich dane były bezpieczniejsze –jeśli ich telefon zostanie zagubiony czy skradziony, to dziękilicznikowi podatnego na atak firmware już nie wgramy.
Zaawansowani użytkownicy, którzy chcą korzystać zalternatywnych ROM-ów, nie muszą się obawiać utraty swobodyaktualizowania oprogramowania – o ile kupią urządzenie z możliwymdo odblokowania bootloaderem. Nowy zweryfikowany proces rozruchowyAndroida 8.0 rozpoznaje odblokowany bootloader, pozwalając wówczasna wczytanie nawet starszych wersji firmware.
Jedyne, co wydaje się tu problemem, to irytujące komunikaty ozmniejszonym bezpieczeństwie, jakie mają być wyświetlane naekranie urządzenia przez przynajmniej 10 sekund przed kontynuowaniemjego procesu rozruchowego. Wydaje się też, że sam mechanizmbazujący na rollback index też może zostać nadużyty – co sięstanie, jeśli złośliwe oprogramowanie zwiększy licznik do bardzodużej liczby? Wówczas powrót do oficjalnego firmware stanie sięniemożliwy.
Szczegółowe informacje o Android Verified Boot 2.0 znajdziecie w dokumentacjiAndroida.