Разработчики заявили, что частые перезагрузки Android блокируют возможность эксплуатации уязвимостей.
Команда разработчиков GrapheneOS, создавшая одноимённую операционную систему для Android, ориентированную на конфиденциальность и безопасность, предложила ввести функцию автоматической перезагрузки в Android, которая усложнит эксплуатацию уязвимостей прошивки.
Недавно команда сообщила о наличии уязвимостей в Android, затрагивающих смартфоны Google Pixel и Samsung Galaxy. Ошибки могут быть использованы для кражи данных и слежки за пользователями, когда устройство находится в неактивном состоянии.
Устройство считается «в состоянии покоя», когда оно выключено или не разблокировано после включения. В таком состоянии уровень защиты конфиденциальности очень высок, а функциональность устройства ограничена, поскольку ключи шифрования еще не доступны для использования установленными приложениями.
Первая разблокировка после перезагрузки перемещает множество криптографических ключей в кэш, что позволяет приложениям корректно работать, и устройство выходит из состояния покоя. Команда GrapheneOS отмечает, что блокировка экрана после использования устройства не возвращает его в состояние покоя, поскольку сохраняются некоторые исключения из безопасности.
Перезагрузка устройства завершает все временные состояния, процессы или действия, которые могут быть использованы для взлома, и требует аутентификации (PIN-кода, пароля или биометрической проверки), тем самым восстанавливая все механизмы безопасности.
Разработчики GrapheneOS не раскрыли подробных деталей о найденных эксплуатируемых уязвимостях прошивки, но предложили общее решение, которое будет эффективно в большинстве случаев: функцию автоматической перезагрузки, уже присутствующую в операционной системе GrapheneOS. Система автоперезагрузки GrapheneOS сбрасывает устройство каждые 18 часов. Цель функции – минимизировать возможности для атакующих путём более частого сброса всех систем защиты устройства, чем это делал бы пользователь.
Представитель GrapheneOS пояснил, что, хотя GrapheneOS не может напрямую исправлять ошибки прошивки из-за аппаратных ограничений, новая функция предлагает стирание памяти прошивки при перезагрузке и предлагает улучшения API администрирования для более безопасного удаления данных с устройства.
Также в GrapheneOS отмечают, что режим полёта на смартфонах, который многие считают снижающим риски атак, на самом деле часто всё ещё позволяет проводить обмен данными через Wi-Fi, Bluetooth, NFC и USB Ethernet. В зависимости от вектора атаки, режим полета может быть неэффективной мерой защиты.
Разработчики также касаются темы безопасности PIN-кодов и паролей в связи с системами шифрования и безопасности устройства, поскольку такие методы аутентификации используются как ключи для шифрования данных устройства. Важной является защита от скрытого перебора коротких PIN-кодов и паролей, которые могут разблокировать не только экран, но и защищённую область на чипе устройства.
Команда GrapheneOS сообщила о найденных уязвимостях Google в рамках программы Android Vulnerability Reward Program (VRP). Корпорация находимся в процессе обзора и определения следующих шагов.
Частая перезагрузка вашего устройства Android или iOS уже считается хорошей идеей для устранения проблем, таких как перегрев, проблемы с памятью или сигналом вызова. С точки зрения безопасности, такое действие может защитить от восстановления данных злоумышленником или других угроз мобильных устройств, не имеющих эффективных механизмов устойчивости.
Таким образом, предложение GrapheneOS ввести функцию автоматической перезагрузки в Android основано на понимании важности процесса как средства повышения безопасности устройств. Перезагрузка не только помогает устранять общие технические проблемы, но и является ключевым элементом в борьбе против потенциальных угроз безопасности данных и конфиденциальности пользователей.
От классики до авангарда — наука во всех жанрах