Команда GrapheneOS предлагает бороться со взломом перезагрузкой смартфона

Команда GrapheneOS предлагает бороться со взломом перезагрузкой смартфона

Разработчики заявили, что частые перезагрузки Android блокируют возможность эксплуатации уязвимостей.

image

Команда разработчиков GrapheneOS, создавшая одноимённую операционную систему для Android, ориентированную на конфиденциальность и безопасность, предложила ввести функцию автоматической перезагрузки в Android, которая усложнит эксплуатацию уязвимостей прошивки.

Недавно команда сообщила о наличии уязвимостей в Android, затрагивающих смартфоны Google Pixel и Samsung Galaxy. Ошибки могут быть использованы для кражи данных и слежки за пользователями, когда устройство находится в неактивном состоянии.

Устройство считается «в состоянии покоя», когда оно выключено или не разблокировано после включения. В таком состоянии уровень защиты конфиденциальности очень высок, а функциональность устройства ограничена, поскольку ключи шифрования еще не доступны для использования установленными приложениями.

Первая разблокировка после перезагрузки перемещает множество криптографических ключей в кэш, что позволяет приложениям корректно работать, и устройство выходит из состояния покоя. Команда GrapheneOS отмечает, что блокировка экрана после использования устройства не возвращает его в состояние покоя, поскольку сохраняются некоторые исключения из безопасности.

Перезагрузка устройства завершает все временные состояния, процессы или действия, которые могут быть использованы для взлома, и требует аутентификации (PIN-кода, пароля или биометрической проверки), тем самым восстанавливая все механизмы безопасности.

Разработчики GrapheneOS не раскрыли подробных деталей о найденных эксплуатируемых уязвимостях прошивки, но предложили общее решение, которое будет эффективно в большинстве случаев: функцию автоматической перезагрузки, уже присутствующую в операционной системе GrapheneOS. Система автоперезагрузки GrapheneOS сбрасывает устройство каждые 18 часов. Цель функции – минимизировать возможности для атакующих путём более частого сброса всех систем защиты устройства, чем это делал бы пользователь.

Представитель GrapheneOS пояснил, что, хотя GrapheneOS не может напрямую исправлять ошибки прошивки из-за аппаратных ограничений, новая функция предлагает стирание памяти прошивки при перезагрузке и предлагает улучшения API администрирования для более безопасного удаления данных с устройства.

Также в GrapheneOS отмечают, что режим полёта на смартфонах, который многие считают снижающим риски атак, на самом деле часто всё ещё позволяет проводить обмен данными через Wi-Fi, Bluetooth, NFC и USB Ethernet. В зависимости от вектора атаки, режим полета может быть неэффективной мерой защиты.

Разработчики также касаются темы безопасности PIN-кодов и паролей в связи с системами шифрования и безопасности устройства, поскольку такие методы аутентификации используются как ключи для шифрования данных устройства. Важной является защита от скрытого перебора коротких PIN-кодов и паролей, которые могут разблокировать не только экран, но и защищённую область на чипе устройства.

Команда GrapheneOS сообщила о найденных уязвимостях Google в рамках программы Android Vulnerability Reward Program (VRP). Корпорация находимся в процессе обзора и определения следующих шагов.

Частая перезагрузка вашего устройства Android или iOS уже считается хорошей идеей для устранения проблем, таких как перегрев, проблемы с памятью или сигналом вызова. С точки зрения безопасности, такое действие может защитить от восстановления данных злоумышленником или других угроз мобильных устройств, не имеющих эффективных механизмов устойчивости.

Таким образом, предложение GrapheneOS ввести функцию автоматической перезагрузки в Android основано на понимании важности процесса как средства повышения безопасности устройств. Перезагрузка не только помогает устранять общие технические проблемы, но и является ключевым элементом в борьбе против потенциальных угроз безопасности данных и конфиденциальности пользователей.

Теория струн? У нас целый оркестр научных фактов!

От классики до авангарда — наука во всех жанрах

Настройтесь на нашу волну — подпишитесь