スマホ関連の海外ニュースです。
Google は、Android のセキュリティ研究者は、1 年前 Stagefright の脆弱性を発見後、過去に持っているよりももっと真剣に服用するようです。同社は、新しいセキュリティの多くの強化アンドロイド 7.0「ヌガー」硬化からメディア サーバー ライブラリより消毒されたコードとより良い整合性チェック システムを最近発表しました。 最新の発表には、Linux のカーネルから借りたいくつかの新しいカーネルのセキュリティ強化が含まれています。Google は、これらの 2 つのカテゴリに分割: メモリ保護と攻撃の表面削減します。 カーネルの脆弱性は、システムの他の部分に影響を与えることができますので、カーネルのメモリ保護、ユーザ空間からこれらの脆弱性を特定することが重要。 この機能は、メモリを分離の論理空間、場所コードは読み取り専用 + 実行すると、新しいコード (マルウェア) など、これらのスペースに書き込むことができないし、既存のコードのみを読み取りおよび実行することができますに分割します。少なくともいくつかのデータ セクションは、マークされているので非実行マルウェアの一部はの土地の場合が実行できないように、書き込まれる必要があります。 Google の android の 3.18 + バックポート Grsecurity の KERNEXEC 機能とクアルコムの CONFIG_STRICT_MEMORY_RWX 機能のサブセットで構成オプション CONFIG_DEBUG_RODATA を使用できますこの機能は、ベースのカーネル。 ユーザ空間へのカーネル アクセス制限することができます攻撃を難しくより攻撃者は、実行可能なカーネル メモリをはるかに少ない制御を持っているので CONFIG_DEBUG_RODATA が有効になっている場合は特に。Grsecurity UDEREF もこの機能をインスピレーションの。ユーザーは、設定オプション CONFIG_CPU_SW_DOMAIN_PAN でそれを有効にできます。 スタック バッファー オーバーフローが起こるときプログラムがより多くのデータをバッファーが割り当てられているシステムよりもコール スタック バッファーに書き込みます。オーバーフローは、通常、スタックに隣接するデータの破損の結果し、プログラムが正しく実行されない、またはクラッシュが発生します。 スタック バッファー オーバーフローから保護することはコンパイラの機能と Google を追加改良された「スタック プロテクター」機能が「スタック プロテクター-強い”4.9 gcc コンパイラと呼ばれます。 攻撃対象領域削減は、すべてのソース コードおよび潜在的な脆弱性の数を増やす可能性がありますシステムの不要な機能をトリミングについてです。それはまたシステムがユーザーに特定の機能を公開する方法を制限することによって操作できます。 デバッグ ツールの開発者は、彼らは通常のユーザーとして行うことができるだろうシステム内にあることをするという意味で強力なものです。この特性も、デバッグ ツール、セキュリティの観点から危険なマルウェアは、内蔵のデバッグ機能を利用開始です。 Android のヌガーのシステムは、既定で”perf”デバッグ ツールへのアクセスをブロックが開発者に adb シェルを介してアクセスできます。Google はまたパフォーマンス ブロックを作ったカーネル パッチを派生 Grsecurity から可能な限りの CONFIG_GRKERNSEC_PERF_HARDEN。ダニエル Micay、マムシの CTO は、ユーザ空間の変更を追加しました。 アンドロイドでカーネルの脆弱性のほとんどは、入力/出力制御 (ioctl) システム コールを通して起こる。アプリケーションは、ioctl コマンドを必要なアンドロイドは、機能を傷つけることがなくそれらのほとんどを制限できます。 Android のヌガーで ioctl コマンドの小さなホワイト リストのみがアプリケーションで利用できます。一部のデバイスで GPU ioctl も制限されています。 タイマーは、カーネルの攻撃面を制限することが劇的にサンド ボックス機構です。Google ネクサス デバイス アンドロイド 5.0「ロリポップ」で始まる特集が登場だが他のメーカー アンドロイド 7.0 とそれを有効にする必要も。アンドロイド 7.0 Google 使用しているタイマー mediaextractor および mediacodec プロセスのための努力の一環としてメディア フレームワークの強力なサンド ボックスを作成します。 Linux 社会は、Linux のセキュリティがすぐになる死活問題、自動車メーカー開始自律車で採用として、同様最近では、セキュリティに重点を始めています。 Grsecurity など独立したプロジェクトは、長い間存在しています。Linux コミュニティは、いくつかのディストリビューションが既定で、ユーザーにもそれらを有効にすることを考慮しながら、上流の Linux カーネルにこれらの機能のいくつかをマージを今だけ見ています。 カーネルの自己保護プロジェクトは Grsecurity のサブセットをメインラインの Linux カーネルにもたらそうとするなどの 1 つのプロジェクトです。Google は、貢献、Grsecurity 開発機能を採用することに興味があるようです。 Google は、Android の機能をサンド ボックス SELinux を使用して作業するのにも表示されます。 Minijail は、Android のチーム タイマー フィルターおよび名前空間を含む、カーネルによって提供される多くの封じ込めとサンド ボックス機能を適用できるようになります新しいメカニズムです。 かあさんや kcov などの他のプロジェクトは、ファジー化と呼ばれるプロセスによるバグの検出を助けることができます。 全体的な Linux エコシステムと比較してはるかに一元的な生態系、として Android に、それはスマート フォン メーカーやアプリケーション開発者のそれに適応するのに十分な時間を与える限り、ビューの機能の観点からどのように制限に関係なく、それが望んでいる任意のセキュリティ機能を採用する余裕します。 Android の現在のセキュリティの唯一の本当の欠点は、メーカーが自社のデバイスをすべて更新する必要はありませんです。彼らはすべてでそれらを更新場合、彼らはデバイスのライフ サイクルで、2 回だけそれを行うし、彼らはどちらか、タイムリーにそれを行うことがあります。 確固としたセキュリティ アーキテクチャのみ場合に役立ちますそんなに特定のデバイスを収集ハッカーやマルウェアのメーカーを利用することができます重大な脆弱性の年の価値があります。これは、Google は、解決していない問題です。
続きを読む…
Google To Boost Android Security With New Linux Kernel Defense Mechanisms
Google seems to be taking Android security even more seriously than it has in the past, after researchers discovered the Stagefright vulnerabilities a year ago. The company has recently announced many new security improvements for Android 7.0 “Nougat” from the hardening of the media server library to more sanitized code and better integrity checking systems. The latest announcement contains several new kernel security improvements borrowed from the Linux kernel. Google splits these into two categories: memory protections and attack surface reduction.
Read more…
