Комментарии 29
Реальность такой атаки на конкретного человека — другой вопрос.
дополнительные возможности для атаки при наличии у злоумышленника физического доступавот только в 99,9% это не злоумышленник, а юзер, купивший устройство за свои деньги. А злоумышленник, да при физическом доступе, подпаяется в конце концов куда-нить и всё сдампит с потрохами, от физического доступа защита — сейф.
банально протроянить системный раздел, который в Android не шифруется
он не шифруется, но он защищен dm-verity. Окей, на разлоченном устройстве перепаковываем boot image, и отключаем проверку в fstab. И… все равно не можем полноценно писать в system потому что ФС дедуплицирована, и измененный блок оказывается сразу во многих файлах. Посмотрите на Magisk, как он организует персистентность. Совсем не записью в /system, в него уже много лет никьо не пишет.
А с Linux на традиционном десктопе такой не провернёшь — SecureBoot защищает.
А с Linux на традиционном десктопе такой не провернёшь — SecureBoot защищает.вы правда используете у себя на десктопе SecureBoot с Linux, и шифруете все диски целиком?
на рабочем ПК — да
А так, да: SecureBoot и оба накопителя зашифрованы BitLocker, необходимая для расшифровки информация частично хранится в модуле TPM, частично в моей памяти.
Часть телефонов(например последние пиксили) позволяют использовать свой ключ для подписи(записав его в vbmeta и залочив загрузчик). В терминологии гугла это yellow уровень безопасности.
https://source.android.com/security/verifiedboot/boot-flow
Одних только secure boot PK_HASH в современных Qualcomm аж три штуки. А приём с vbmeta влияет только на «хвост» доверенной загрузки, начиная с ядра андроида. (т.е. для частей, которые и так считаются недоверенными). Например подписать так XBL не получится, даже несекурную его часть.
SecureBoot активирован на всех телефонах давным давно.
Читаем внимательно «Окей, на разлоченном устройстве» — pазлочка здесь отключение SecureBoot для ядра ОС. Подчеркну, что весь остальной SecureBoot остаётся активным. И отключить его невозможно.
Кроме того хочу заметить, что в отличие от десктопа, на телефонах High Level OS/Rich OS (HLOS) aka Android имеет самые лоховские привилегии. И в модели безопасности считается априори недоверенной. Она всецелом опирается на уже существующие сервисы. Которые могут, например, самостоятельно раутить видеотрафик от камеры или же рисовать на экране, в отрыве от Linux ядра, и оно туда доступ иметь не будет.
До загрузки HLOS запускается целая кипа других компонентов (TrustZone, SecureMonitor, Hypervisor, RPM и т.д.). Причём даже UEFI загрузчик концептуально разделён на 2 части, одна из которых считается недоверенной (та, которая грузит HLOS).
Некоторые компоненты запускаются из HLOS но с проверкой firmware через SecureMode, через их собственный PBL на собственном процессоре, с аппартной изоляцией памяти от основного процессора. Например модем (в нём вся беспроводная связь сегодня, включая WiFi и BT). Отключить проверку таких компонент не получится. А для самых критических не поможет даже замена процессора/прошивание своего вендорского ключа. К ним не имеет доступ даже производитель телефонов.
В любом случае, нужно всегда помнить о том, какому программному обеспечению следует доверять, а какому — нет. На любой платформе.
Спорный вопрос, ведь устанавливая платные приложения, рассчитываешь на то, что они уже безопасны для устройства.
Но она связана с недостаточно жёсткой политикой Google на платформе.
Как по мне политика наоборот чрезмерно жесткая. Что у гугла что у яблока. Хорошо пока у андроида сохраняется возможность ПО не из магазинов ставить.
"электронный предохранитель" aka e-fuse, fprom естт не только у самсунга. у qualcomm они пережигаютмя с незапамятных времён при анлоке (2013 или даже раньше). Просто эта информация использовалась только как дигностическая, в сервиснвх центрах. Ну и заодно при первом анлоке стирались DRM ключи, понижая уповень widevine. С новыми версиями Google safety net приложения смогут получать неподделываемую информацию о состоянии устройства (разблокировано сейчас, было ли разблокировно хоть однажды). Неизвестно еще к чему это приведет. Рут однозначно перестанет быть скрываемым. Но вот если условный макдональдс откадется принимать заказ с такого устойства — эо будет весело.
Верифицировання загрузка
Опечатка
Вот зачем мне нужен рут, а то у жены папка «неудаляемое *****» висит
Да, про микроконтроллеры здесь несколько притянуто за уши, но ведь очевидно, для чего всё это. Для того, чтобы одиночным разработчикам было сложно получить доступ куда не нужно, а определённым группам лиц чтобы это сделать было бы просто.
А ещё для того, чтобы Гугл безнаказанно качал терабайты данных из пользователей, а сторонние приложения в правах были бы ограничены.
Если бы цель была — именно безопасность пользователей — всё было бы просто. Именно просто, с большой буквы. На столько просто, чтобы проверить всё мог один человек за не боле чем год. И доступ был бы, с небольшими ограничениями чуть ли не везде.
Вообще идеал — это ОС весом в пятьсот — семьсот килобайт максимум, обеспечивающая именно функции ОС, базовые — память, потоки, базовое взаимодействие с устройствами, файловая система. И всё это открытое. А то, что называется «Андройдом» крутиться как приложение.
И никаких board support package, всё простое и открытое. Да, процессор без этих сложных конвейеров с предсказаниями, да, с производительностью в три раза ниже за ту же энергию, но простой, понятный, и открытый.
Очень жаль, что люди сейчас не понимают, на сколько они уязвимы при использовании китайских комплектующих и этого непонятного, якобы безопасного, ПО.
Хотите реальный тест? Есть устройство. Первая атака. Нужно провести атаку с полным извлечением данных за десять минут доступа к устройству плюс время на перекачивание данных. Вторая атака. Нужно удалённо захватить полное управление устройством, в том числе писать и читать везде. За любую из этих атак — награда — от десяти миллиардов долларов и выше. (Да, я написал именно про десять миллиардов долларов). Если Гугл например не готов предложить такие деньги за атаку — вся эта якобы безопасность ничего, абсолютно ничего не стоит. Это всё — лишь пустой трёп внутри и около гугла.
в 13м году купил себе планшэт на ведроиде, тогда все писали что это революция и на ше будущее. да, в определенной степени удобно и компактно, но порой возникает чуство что устройство в моих руках принадлежыт не мне а корпорацыи жыдорептилоидов.
Современные Android-устройства достаточно безопасны и вот почему