Če ste spremljali dogajanje v Androidu, ste v zadnjih nekaj letih že precej malo slišali ime »Verified Boot«. Google je predstavil varnostno funkcijo v Androidu 4.4 (Kitkat) na popolnoma nevsiljiv način in počasi povečuje svojo prepoznavnost v novejših izdajah svojega operacijskega sistema Android.
V zadnjih nekaj dneh smo opazili novice o prisotnosti » strogo uveljavljenega preverjenega zagona « v Googlovi najnovejši različici najbolj uporabljanega mobilnega operacijskega sistema na svetu. Android Nougat bo uporabil višjo raven varnostnega preverjanja, ko se naprava zažene. Medtem ko je na strani Marshmallow, preverjeni zagon uporabniku samo opozoril, v primeru, da odkrije kaj narobe s sistemsko particijo, bo Android Nougat naredil korak naprej in uporabil tisto, kar Google imenuje »Strictly Enforced Verified Boot«, ki bo ne dovolite, da se naprava sploh zaganja, če zazna nepravilnosti v particiji, spremembe v zagonskem nalagalniku ali prisotnost »zlonamerne« kode v napravi. To postavlja vprašanje: "Kaj točno to pomeni za uporabnike?", Se izkaže, da se odgovor razlikuje za dve glavni kategoriji uporabnikov Androida (priložnostni in močni uporabniki) in zagotovili bomo odgovor za oba. .
Striktno uveljavljen preverjen zagon
Prvič, malo ozadja na preverjenem zagonu: Običajno, ko Android zažene preizkus preverjanja na particijah, to stori tako, da razdeli particije na 4KiB bloke in jih preveri proti podpisani tabeli. Če vse preverite, to pomeni, da je sistem popolnoma čist. Če pa se nekateri bloki pojavijo, da bi bili spremenjeni ali poškodovani, sistem Android obvesti uporabnika o težavah in prepusti uporabniku, da ga reši (ali ne).
Vse, kar se bo spremenilo z Android Nougat, in Strictly Enforced Verified Boot. Ko se preverjeni zagon izvede v načinu izenačevanja, ne bo toleriral nobenih napak v particijah. Če ne zazna nobenih težav, napravi ne bo omogočila zagona in uporabniku omogočila zagon v okolju varnega načina, da bi poskusila in odpravila težave. Vendar pa Strictly Enforced Verified Boot ni samo preverjanje z napačnimi podatkovnimi bloki. Običajno lahko popravi tudi napake v podatkovnih blokih. To je mogoče zaradi prisotnosti kod za napačno odpravljanje napak, ki se lahko uporabijo za popravljanje napak v podatkovnih blokih. Vendar pa to ne more vedno delovati, in v primerih, ko ne, ste precej mrtvi v vodi.
Strictly Enforced Verified: Dober, slab in grd
1. Dobro
Uveljavljanje preverjenega zagona na napravah Android bo izboljšalo varnost naprav. V primeru, da bo naprava okužena z zlonamerno programsko opremo, jo bo Strictly Enforced Verified Boot zaznal naslednjič, ko boste zagnali napravo, in jo popravili, ali pa boste morda morda morali kaj storiti.
Ta funkcija bo preverila tudi morebitne poškodbe podatkov, v večini primerov pa bo lahko popravila vse napake, ki so bile vnesene v podatke, zahvaljujoč kodam FEC. Google uporablja kode FEC, ki lahko popravijo eno neznano bitno napako v 255 bitih . Seveda, to se zdi precej majhno število, vendar pa ga postavimo v perspektivo, kar zadeva mobilno napravo:
Opomba: Spodnje vrednosti so vzete iz objave v spletnem dnevniku, ki ga je razvil Google Engineer Sami Tolvanen na razvijalcih Androida.
Google bi lahko uporabil RS (255, 223) FEC kod: te kode bi bile sposobne popraviti 16 neznanih bitnih napak v 255 bitih, vendar bi prostorska obremenitev zaradi 32 bitov odvečnih podatkov skoraj 15%, in to je veliko, zlasti na mobilnih napravah. Dodajte to dejstvu, da je Android prevladujoči OS na proračunskih pametnih telefonih, ki so opremljeni s 4–8 GB spominov, 15% dodatnega prostora pa se zdi veliko.
Z žrtvovanjem zmožnosti za odpravljanje napak, v korist varčevanja s prostorom, se je Google odločil za uporabo RS (255, 253) FEC kod. Te kode lahko popravijo samo eno neznano napako v 255 bitih, vendar je prostorska obremenitev le 0, 8%.
Opomba: RS (255, N) je predstavitev Reed-Solomonovih kod, ki so vrsta kod za popravljanje napak.
2. Slabo
Si kdaj slišal za »Obstajata dve strani kovanca«? Seveda imate. Medtem ko so bile namere Googla s strogo uveljavljenim preverjenim zagonom nedvomno čisto kot otroški samorog, prihajajo z lastnim nizom težav.
Ko Strictly Enforced Verified Boot preveri, ali je zlonamerna programska oprema zlonamerna, preveri tudi nezakonite spremembe jedra, bootloaderja in drugih stvari, s katerimi vas ne bom obremenjeval, vendar to pomeni, da bo Android Nougat verjetno naletel na veliko težav z uveljavljanjem in utripa Custom ROM-i, ker preverjeni zagon ne more razlikovati med neželeno kodo in kodo, ki je odklenila zagonski nalagalnik. Kar pomeni, da če je vaša naprava prišla z zaklenjenim bootloaderjem in vaš OEM ne dovoli odklepanja zagonskega nalagalnika, tega ne morete storiti. Upajmo, da bo nekdo za to ugotovil izkoriščanje.
K sreči, večina ljudi, ki korenine svoje naprave, in flash Custom ROM za dodatne funkcije in funkcionalnost, gredo z razvijalcem prijazne telefone, kot je Nexus. V zvezi s to temo je treba veliko razmisliti in definitivno ni konec Custom ROM-ov, vsaj ne na napravah, ki prihajajo z odklenjenim bootloaderjem, ali ki omogočajo odklepanje zagonskega nalagalnika. Vendar pa naprave, kot so telefoni Samsung, uradno ne dovoljujejo odklepanja zagonskega nalagalnika in na teh napravah bo odklepanje vašega zagonskega nalagalnika vsekakor obravnavano kot »vprašanje« s preverjenim zagonom, ki napravi preprečuje zagon.
Še en problem, ki se bo pojavil pri Strictly Enforced Verified Boot, je tisti, ki bo prizadel tudi uporabnike, ki jim ni mar za pridobivanje rootovih pravic ali nameščanje ROM-ov po meri. Sčasoma, ko uporabljate napravo, je v pomnilniku prisotna naravna poškodba podatkov; ne zaradi prisotnosti zlonamerne programske opreme, ampak preprosto zato, ker se zgodi. To ponavadi ni težava ali pa vsaj ne tako huda težava, v katero jo bo preverjeni zagon spremenil. Če imate poškodovane podatke, ki jih Strictly Enforced Verified Boot ne more odpraviti ob zagonu, naprava ne bo zagnala sistema. Po mojem mnenju je to večja, bolj vidna težava kot nekateri poškodovani podatki na uporabniški particiji.
3. Ugly
V vseh prednostih uveljavljanja preverjenega zagona in vseh morebitnih težav je najbolj moteče, da bi lahko proizvajalci originalne opreme začeli zlorabljati to napravo, da bi zaklenili svoje naprave, tako da ljudje ne morejo uporabljati sistema Android za tisto, kar naj bi biti: odprt, prijazen razvijalcem in popolnoma prilagodljiv. Strongly Enforced Verified boot bo dal v roke proizvajalcem originalne opreme, moč, da se zagotovi, da ljudje ne morejo odkleniti bootloaders na svojih napravah, s čimer jim prepoveduje, da namestite Custom ROM in orodja za izboljšanje funkcij, kot so moduli Xposed.
Android Nougat: radikalna sprememba v načinu Android?
Čeprav smo prepričani, da je Googlov namen preprosto preprečiti morebitne težave običajnim uporabnikom Androida, ki ne bi vedeli, kaj storiti v primeru, da je njihova naprava prizadela zlonamerna programska oprema ali če je njihov spomin imel poškodovane bloke podatkov, je morda ponudil OEM in proizvajalec je odlično orodje za zaklepanje uporabnikov v življenje s tem, kar jim je bilo ponujeno, in nič več.
Seveda bo nekdo ugotovil izkoriščanje ali rešitev za to situacijo in upamo, da bo to res, v pravem duhu Androida. Dokler nekdo ne najde rešitve, je vse, kar lahko storimo, zagotovili, da kupimo naše naprave od proizvajalcev, prijaznih razvijalcem.
Priljubljena podoba slike: Flickr
