Google Chromebook: naklejka za zgodność z linuksowym demonem fwupd
Naklejka Designed For Chromebook pojawia się na komputerach, które działają w oparciu o Chrome OS, ale nie są produkowane bezpośrednio przez Google. Wkrótce jednak z niektórych modeli może zniknąć—a to za sprawą dodatkowego warunku firmy z Mountain View.
Od przyszłego roku Google chce wymuszać na producentach Chromebooków, aby ich urządzenia były kompatybilne z demonem fwupd i zautomatyzowanym systemem aktualizacji oprogramowania układwego Linux Vendor Firmware Service (LVFS). Tak przynajmniej ogłosił na swym blogu Richard Hughes z Red Hat, główny programista i autor projektu fwupd.
– Wszystkie narzędzia do flashowania oprogramowania układowego, które widziałem, liczą sobie co najmniej dekadę, zawierają skomplikowane warstwy abstrakcji, nie filtrują danych na wejściu i są toporne w użyciu – komentuje Hughes. Zwraca w dodatku uwagę na powszechne wykorzystanie atrybutu setuid, co jak wiadomo, nie jest szczególnie korzystne dla bezpieczeństwa. Przypomnę, pozwala on procesowi działać na prawach roota. Wystarczy byle luka w odpalanym tą metodą narzędziu i robi się nieciekawie.
Fwupd odwołuje się bezpośrednio do UEFI i bazuje na weryfikacji certyfikatu przez bootloader Shim, czyli linuksową implementację Secure Boot. W takim wypadku zagrożenia dla systemu operacyjnego nie ma, a sam firmware z LVFS również nie sflashuje się niepodpisany. Faktycznie, jest to bodaj najlepsza droga aktualizacji pod Linuksem.
Zakładając, że Hughes nie mija się z prawdą i nie nadinterpretuje żadnych ustaleń, ruch Google'a trzeba określić jako rozsądny. Poza tym nie bez kozery wcześniej na fwupd zdecydowali się chociażby Acer i Dell. Jeśli certyfikowany Chromebook ma stanowić gwarancję bezpieczeństwa, a równolegle być sprzętem dla każdego, to ciężko tutaj jakkolwiek dyskutować.
