LINUX.ORG.RU

В рамках проекта AnikOS инициирована разработка защищенного ядра Linux для платформы Android 4.0

 , , ,


0

3

Разрабатываемое ядро получило название AniDroid Hardened Kernel.

AniDroid Hardened Kernel является первым защищенным ядром для устройств на базе Android, использующим механизмы подсистемы GRSecurity, предоставляющей возможность использования функционала защиты информации на уровня ядра ОС Android-устройства.

Ядро AniDroid Hardened Kernel собирается с использованием новейших компиляторов из состава набора Linaro Toolchain (GCC 4.6.3) и в настоящий момент находится на ранней стадии разработки и имеет полную поддержку функционирования только на телефонах Google (Samsung) Nexus S.

Основные сведения о разработке:

  • Linux Kernel версии 3.1.10
  • GRSecurity версии 2.2.2

Реализованные функции GRSecurity:

  • Защита памяти ядра (разграничение доступа на запись и чтение к /dev/kmem, /dev/mem и /dev/port)
  • Активная защита от эксплоитов (функции противодействия эксплойтам)
  • Ролевое разграничение доступа (RBAC, функционал ролевого разграничения доступа)
  • Защита файловой системы (включая защиту для приложений в CHROOT-окружениях)
  • Аудит событий ядра (журналирование всех событий ядра ОС)
  • Защита исполняемых приложений (предотвращение атак на приложения использованием PTRACE)
  • Защита сетевого взаимодействия (защита от атак TCP/UDP blackhole и LAST_ACK DoS атак)
  • Поддержка управления через интерфейс Sysctl

>>> Подробности



Проверено: JB ()
Последнее исправление: Zhbert (всего исправлений: 4)

Это скорее плохая новость.

В мире андройдов эксплойты нужны только самому пользователю, чтоы получить доступ к управлению собственным устройством.

Что касается малвари, то она прекрасно работает от пользователя.

AVL2 ★★★★★
()

странно. обычно, когда я слышал про «уязвимости android», там вообще не по части ядра «уязвимости» были.

да и в конце концев, рутовать свой девайс как-то нужно. иначе одноглазники и вконтакты встроенные (и занимающие место в памяти телефона) как удалять?

emg81
()

Мля, когда сделают ось с полноценными песочницами? Все эти пользователи/хренользователи, роли/хреноли в йух не впились. Они ни хрена не защищают. Каждому приложению персональную тюрьму с доскональным протоколированием всех телодвижений и мелкогранулированной системой допусков к функциям и ресурсам оси. По умолчанию всех сажать в карцер с минимальным доступом. Только так.

anonymous
()

Давно пора улучшить защиту девайсов от своих владельцев. А то расплодилось злоумышленников, которые хотят полный функционал получить и в банальное рабство к корпорации не попасть. А с такими годного капитализма не построишь.

kranky ★★★★★
()
Ответ на: комментарий от emg81

одноглазники и вконтакты встроенные (и занимающие место в памяти телефона) как удалять?

целые 3 мегабайта занимают наверное?:)

xtraeft ★★☆☆
()

журналирование _всех_ событий ядра ОС

А дурно с такого объёма не станет?

GAMer ★★★★★
()
Ответ на: комментарий от anonymous

Мля, когда сделают ось с полноценными песочницами?

Qubes

а как это спасёт, если при установки engrybirds попросят полный доступ к данным и интернету?

dimon555 ★★★★★
()
Ответ на: комментарий от dimon555

а как это спасёт, если при установки engrybirds попросят полный доступ к данным и интернету?

Что значит попросят? Ты сам будешь решать, к чему программа может иметь доступ. Если твой калькулятор ломится в сеть или норовит пошуршать в файловой системе, то песочница быстро ему ручонки шаловливые отобьет и настучит об этом пользователю.

anonymous
()
Ответ на: комментарий от xtraeft

одноглазники и вконтакты встроенные (и занимающие место в памяти телефона) как удалять?

целые 3 мегабайта занимают наверное?:)

При чем тут мегабайты? Эта гадость просто мешает и глаза мозолит.

Pakostnik ★★★
()
Ответ на: комментарий от anonymous

Сам же пользователь и разрешит приложению выход за песочницу. Чтобы только оно заработало. И разрешит читать и контакты и делать всё с хранилищем данных и в интернет полный доступ даст и никакая песочница не поможет и не спасёт. Потребительство, необходимость или глупость, сделают своё дело.

toon
()
Ответ на: комментарий от anonymous

Каждому приложению персональную тюрьму с доскональным протоколированием всех телодвижений и мелкогранулированной системой допусков к функциям и ресурсам оси.
По умолчанию всех сажать в карцер с минимальным доступом.

Ты не поверишь - но grsecurity RBAC так и делает. Разве что сегодня оно системные вызовы выборочно не блочит, а блочит на уровень выше - работая с объектами (файл/каталог, сокет, различные «способности»). А если тебе хочется Ъ - ставь на каждую программу по виртуалке. Ты с ума сойдёшь прежде чем сделаешь эту схему работоспособной в повседневной жизни. Удачи.

anonymous
()

Дожили, на телефоны разрабатывают защищенно ядро, тьфу

aliens ★★
()

Ролевое разграничение доступа (RBAC, функционал ролевого разграничения доступа)

Зачем это на мобиле/планшете?

cipher ★★★★★
()

неплохо
главное чтобы не поламали ничего другого

Boy_from_Jungle ★★★★
()

Этот Ваш Гоогле гнилая контора, она уже не раз показывает своё истинное еб лицо.

Ramil ★★★★
()

Это теперь root вообще не получишь?

unixnik ★★★★★
()
Ответ на: комментарий от AVL2

В мире андройдов эксплойты нужны только самому пользователю, чтоы получить доступ к управлению собственным устройством.

что-то мне тоже показалось что сабж делают для защиты от джейлбрейка

Karapuz ★★★★★
()
Ответ на: комментарий от Ramil

Google как я понял, не имеет отношения к AnikOS. Чем же она не угодила вам?

unixnik ★★★★★
()
Ответ на: комментарий от anonymous

Каждому приложению персональную тюрьму с доскональным протоколированием всех телодвижений и мелкогранулированной системой допусков к функциям и ресурсам оси.

и потом придя с работы ты весь вечер будешь читать логи того что делала каждая прога в смарте за день?

Karapuz ★★★★★
()
Ответ на: комментарий от lithops

Защита от эксплоитов... А как же теперь получать права root ? А cyanogenmod ?

а в чем проблема? когда есть физический доступ к железке - проблем получить рута нет.

stave ★★★★★
()
Ответ на: комментарий от stave

а в чем проблема? когда есть физический доступ к железке - проблем получить рута нет.

На телефоне? Если JTAG распаяют и если документацию дадут. man тивоизация :\

Лучше б они ограничение прав для приложений по-человечески сделали, с возможностью выборочно запретить ( с имитацией разрешения: приложение хочет получить доступ к телефонной книге? без вопросов, даём информацию что книга пуста. отправить sms? подтвердим отправку без вопросов, ничего реально не посылая. доступ в инет? сколько влезет, да вот проблема - connection refused или connection timeout). Или условия гуглорабства смягчили...

router ★★★★★
()
Ответ на: комментарий от Karapuz

и потом придя с работы ты весь вечер будешь читать логи того что делала каждая прога в смарте за день?

Твой мозг слишком сильно поражен линупсом и воображает помойку текстовых логов, в которых черт ногу сломит. Естественно, все должно быть сделано удобно и юзерфрендли. В большинстве случаев читать логи вообще не придется: ты, зная назначение программы, даешь ей нужные разрешения и все. А если она куда-то еще полезет, то песочница тебе выдаст предупреждение (как в антивирусах, например) и предложит разрешить/запретить эту деятельность.

anonymous
()

Если это заменит тивоизацию, то норм.

BMX ★★☆
()
Ответ на: комментарий от anonymous

И как только люди не страдают, но все равно не используют опенсорс

goingUp ★★★★★
()

Лучше бы сделали полное шифрование диска. А то телефон для смсок и звонков только можно пользовать. И то еще не для всех...

Zapekankin
()

нет - однопользовательским системам ?

kto_tama ★★★★★
()
Ответ на: комментарий от vio42

И много таких телефонов в продаже? Хорош ли ассортимент?

toon
()
Ответ на: комментарий от anonymous

Мля, когда сделают ось с полноценными песочницами? Все эти пользователи/хренользователи, роли/хреноли в йух не впились. Они ни хрена не защищают. Каждому приложению персональную тюрьму с доскональным протоколированием всех телодвижений и мелкогранулированной системой допусков к функциям и ресурсам оси. По умолчанию всех сажать в карцер с минимальным доступом. Только так.

man андроед.

Только как оное поможет улучшить безопасность? Большинство программ запрашивает все, что можно, а в карцере просто не будет работать.

AVL2 ★★★★★
()
Ответ на: комментарий от anonymous

Что значит попросят?

при установке выводится список разрешений, который нужен программе для работы.

Ты сам будешь решать, к чему программа может иметь доступ.

Да, только решать ты его будешь в стиле «пользуюсь я этой программой или нет»

Если твой калькулятор ломится в сеть или норовит пошуршать в файловой системе, то песочница быстро ему ручонки шаловливые отобьет и настучит об этом пользователю.

Все эти инструменты уже есть. Для обрезания сети есть andfirewall, а для обрезания разрешений специальный редактор прав. Тем и живем, но обычный пользователь в жизни не осилит управление правами...

AVL2 ★★★★★
()
Ответ на: комментарий от anonymous

А если она куда-то еще полезет, то песочница тебе выдаст предупреждение (как в антивирусах, например) и предложит разрешить/запретить эту деятельность.

это даже на десктопах не работает.

AVL2 ★★★★★
()
Ответ на: комментарий от toon

Прощайте рутовые телефоны, здравствуй банальное рабство?

А есть вменяемая аргументация, ЗАЧЕМ вообще может понадобиться рутовать телефон?

Дополнительные программы, в т.ч. локально, как я понимаю, можно и без рута поставить.

Один аргумент я услышал выше - удаление предустановленных программ. Для этого точно нужен рут?

P.S. Извиняюсь за ламерские вопросы, устройства с андроидом у меня пока нет (но задумываюсь об оном).

hobbit ★★★★★
()
Ответ на: комментарий от hobbit

SetCPU (разгон процессора) Clockwork Recovery (кастомные прошивки из зипов на карте) ну и еще по мелочи

Ford_Focus ★★★★★
()
Ответ на: комментарий от hobbit

Один аргумент я услышал выше - удаление предустановленных программ. Для этого точно нужен рут?

точно.

Еще файрвол поставить, который правила в iptables прописывает. Программу для раздачи gprs через wifi. И другие программы, которые управляют механизмами линукса.

А еще может потребоваться поставить кастомную прошивку, потому что заводская не обновляется (а в маркете требования к версии растут) да и просто кастомные гораздо удобнее.

Редактор разрешений программ тоже требует рута.

Без рута можно жить, только платить за мобильный инет будешь немерянно и удобств меньше.

AVL2 ★★★★★
()

И кто будет ставить себе такое ядро на Google (Samsung) Nexus S? Или эта компания имеет договоренности с какими-нибудь производителями?

orcy
()
Ответ на: комментарий от anonymous

Естественно, все должно быть сделано удобно и юзерфрендли.

Мегабайтные логи с красивыми иконками и шрифтом роботико

В большинстве случаев читать логи вообще не придется: ты, зная назначение программы, даешь ей нужные разрешения и все. А если она куда-то еще полезет, то песочница тебе выдаст предупреждение (как в антивирусах, например) и предложит разрешить/запретить эту деятельность.

Такая свежая идея, надо срочно патентовать. Ах да, ее еще на телефонах с J2ME сто лет в обед делали. Можешь купить себе как раз такой телефон с офигенской защитой.

Но тебе уже несколько раз сказали что это не панацея. Вот допустим полезла программка в интернет, откуда ты знаешь кредитку ли она твою с контактами сливает или таблицу рекордов пошла обновлять?

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.