Większe bezpieczeństwo Androida 4.3 dzięki rozszerzeniom SELinux (ale i większa kontrola nad użytkownikiem?)

W prezentacji zalet pokazanego właśnie światu Androida 4.3Google położyło nacisk na wprowadzenie ograniczania uprawnieńkont użytkowników, tak by np. móc udostępnić takie odporne natransakcje wewnątrz aplikacji konto dzieciom. Bezpieczeństwo (choćw tym wypadku raczej już nie użytkowników) ma też zwiększyćzamknięcie całego stosu wideo i wzmocnienie DRM pod kątem ochronyfilmów i e-booków przed piractwem. Znacznie mniej mówi się oczymś innym – wprowadzeniu do google'owego systemu rozszerzeńbezpieczeństwa SELinux, dobrze znanych na linuksowych serwerach(przez który najprawdopodobniej został zrealizowany mechanizmograniczania uprawnień dla użytkownikówOpracowany przez programistów amerykańskiej Narodowej AgencjiBezpieczeństwa SELinux (Security-Enhanced Linux) to zbiórmodyfikacji jądra i zestaw dodatkowych narzędzi, który od niemaldziesięciu lat jest stałym elementem Linuksa. W porównaniu doużywanego od początku w Androidzie modelu bezpieczeństwaaplikacji, poprzez uruchamianie ich w sandboksie, określającymzakres dostępnych dla nich danych i izolującym od innychuruchomionych aplikacji, jest sporym krokiem naprzód. [img=androidjail]Zastosowana w sandboksie Androida ochrona uznaniowa (discretionaryprotection) jest bowiem implementacją zwykłego uniksowegomodelu bezpieczeństwa, w którym użytkownik otrzymuje pełnąkontrolę nad należącymi do niego obiektami. SELinux pozwala naznacznie więcej, wprowadzając takie polityki bezpieczeństwa jakkontrola dostępu oparta o role, przymusowa kontrola dostępu czyegzekwowanie typów, zgodnie z założeniem, by każdy obiektsystemowy – aplikacja, proces, konto użytkownika czy urządzenie –miał jak najmniejszą możliwą liczbę uprawnień (tylko tyle, ilerzeczywiście niezbędne jest dla jego działania).We wzmocnionym przez SELinuksa modelu bezpieczeństwa Androidamożliwe będzie znaczne zmniejszenie powierzchni ataku –aplikacjom można przyznawać różne poziomy zaufania, kontrolującprzy tym, do jakiego rodzaju danych mogą mieć one dostęp. Przyniewielkich rozmiarach androidowego jądra, znacznie ograniczającychliczbę możliwych do uruchomienia na nim exploitów z normalnego,desktopowego Linuksa, powinno to wystarczyć do skutecznegozablokowania pandemii malware na google'owym systemie. Sporaliczba eskalacji uprawnień na Androidzie wykorzystywała niezwiązanez jądrem powierzchnie ataku, co w teorii SELinux powinienpowstrzymać.Praktyka dopiero pokaże, na ileSELinux sprawdzi się na mobilnych urządzeniach i czy nie okaże siędokuczliwym utrudnieniem życia dla „zwykłych użytkowników” –właściwa konfiguracja tego mechanizmu nie jest łatwa, dlategozwykle na desktopowych Linuksach się go nie aktywuje. Możliwe też,że utrudni on uruchamianie starszych aplikacji, pisanych z myślą odość „luźnym” starszym modelu bezpieczeństwa.SELinux to nie koniec zabezpieczaniaAndroida 4.3. W systemie rozwiązano także problem przechowywaniapoufnych danych w urządzeniu – kluczy, haseł czy certyfikatów.Rozszerzenia mechanizmu AndroidKeyChain pozwalają teraz na wykorzystanie sprzętowej ochronyzapewnianej przez Trusted Platform Module (w urządzeniachzawierających czip TPM), tak że poufne dane nie będą mogły byćwykradzione przez napastnika nawet wówczas, gdy uzyska pełenfizyczny dostęp do telefonu czy tabletu. Dodano też w AndroidKeystore możliwość tworzenia i przechowywania kluczyprywatnych, które mogą być wykorzystywane tylko przez jednąwybraną aplikację.Te wszystkie działania na rzecz bezpieczeństwa mają oczywiściedrugie dno: jeśli czipy TPM upowszechnią się w urządzeniach zAndroidem, a konfiguracja SELinuksa będzie kontrolowana przezGoogle, a nie użytkownika (przynajmniej na urządzeniach, które niezostały uwolnione), to google'owy stanie się równie „bezpieczny”(w sensie interesów producentów oprogramowania i dostawcówtreści), co zamknięte systemy mobilne Apple i Microsoftu. To, żewizja taka bliska jest sercom decydentów Google'a nie jest tylkofantazjowaniem – wystarczy zapoznać się z zapisami licencjina SDK do urządzenia Chromecast. Nakłada ona na programistówobowiązek uzyskania pisemnej zgody Google napubliczne rozpowszechnianie aplikacji powstałych za pomocą tegoSDK, coś, czego w żaden sposób nie można uznać za zgodne zliterą i duchem wolnych licencji software'owych.