Google усилит безопасность ядра Android Oreo

[душман]

Google сообщила о четырех основных функциях, улучшающих работу ядра, которые его инженеры перенесли из Linux в Android.

85% уязвимостей ядра в Android вызваны ошибками в драйверах поставщиков оборудования. В прошлом году ошибки ядра составляли более трети всех ошибок безопасности для Android.

Новая защита ядра также должна помочь разработчикам, которые отвечают за создание драйверов для устройств Android, обнаружить ошибки безопасности ядра перед релизом.

Android Oreo - это первая версия Android со встроенной дополнительной защитой рандомизации адресного пространства ядра (KASLR). Функционал доступен для ядра Android 4.4 и более поздних версий.

KASLR помогает уменьшить риск использования уязвимостей ядра путем рандомизации местоположения, в котором размещается код ядра при каждом новом запуске. Например, для ARM64 добавляется 13-25 бит энтропии в зависимости от конфигурации памяти устройства, что затрудняет повторное использование кода.

Google также перенесла из Linux 4.8  функцию «hardened usercopy» для защиты пользовательских функций, которые ядро использует для передачи данных между пользовательским пространством в память пространства ядра. Функция безопасности добавляет проверку границ для пользовательских функций копирования. Почти половина уязвимостей ядра Android с 2014 года была вызвана отсутствием или некорректной проверкой границ.

В Android Oreo также будет представлена реализация «Privileged Access Never emulation», которая помогает предотвратить прямой доступ ядра к памяти пользовательского пространства.

В качестве еще одной меры безопасности начиная с Android 3.18. (Linux 4.6) память ядра после инициализации будет доступна только для чтения. Выход Android Oreo ожидается осенью этого года.