Samson Garrison
16 
3433
96
Pokud sledujete vývoj v systému Android, musíte v posledních několika letech slyšet jméno „Ověřené spuštění“. Google představil funkci zabezpečení v systému Android 4.4 (Kitkat), a to zcela nenápadným způsobem, a v novějších verzích operačního systému Android pomalu zvětšuje viditelnost..
V posledních několika dnech jsme viděli zprávy o přítomnosti „Přísně vynucené ověřené spuštění“V nejnovější iteraci společnosti Google o nejpoužívanějším mobilním operačním systému na světě. Při spuštění zařízení Android Nougat použije vyšší úroveň kontroly zabezpečení. Zatímco na serveru Marshmallow ověřil Boot uživatele pouze varování, v případě, že systémový oddíl zjistí něco špatného, Android Nougat to učiní o krok dále a použije to, co Google nazývá „přísně vynucené ověřené spuštění“, které bude neumožnit zařízení vůbec se zavést, v případě, že zjistí anomálie v oddílu, změny provedené v zavaděči nebo přítomnost „škodlivého“ kódu v zařízení. To vyvolává otázku: „Co přesně to znamená pro uživatele?“, Ukáže se, že odpověď se liší pro dvě hlavní kategorie uživatelů Androidu (příležitostní a mocní uživatelé) a my jim poskytneme odpověď pro oba.
Přísně vynucené ověřené spuštění
Zaprvé, malé pozadí ověřeného spouštění: Když Android obvykle provádí ověřovací test na oddílech, dělí to tak, že rozdělí oddíly do bloků 4 kB a zkontroluje je proti podepsané tabulce. Pokud se vše odhlásí, znamená to, že systém je zcela čistý. Pokud však dojde k narušení nebo poškození některých bloků, Android informuje uživatele o problémech a ponechá je na uživateli, aby je vyřešil (nebo ne).
To vše se změní s Android Nougat a přísně vynuceným ověřeným zavedením. Když ověřené spuštění běží v vynuceném režimu, je to nebude tolerovat žádné chyby v oddílech. Pokud zjistí nějaké problémy, bude to neumožní spuštění zařízení, a mohl umožní uživateli zavést systém do prostředí v bezpečném režimu, pokusit se opravit problémy. Přísně vynucené ověřené spuštění však není jen kontrolou proti špatným datovým blokům. Obvykle také může opravit chyby v datových blocích. To je možné díky přítomnosti kódů pro opravu chyb vpřed, které lze použít k opravě chyb v datových blocích. To však nemůže vždy fungovat, a v případech, kdy tomu tak není, jste ve vodě skoro mrtví.
Přísně vynucené ověřené spouštění: dobré, špatné a ošklivé
1. Dobré
Vynucení ověřeného spuštění na zařízeních Android bude zvýšit bezpečnost na zařízeních. V případě, že je zařízení napadeno malwarem, Strictly Enforced Verified Boot to zjistí při příštím spuštění zařízení a buď jej opraví, nebo vás možná vyzve, abyste s tím něco udělali..
Tato funkce bude také zkontrolovat poškození dat, a ve většině případů bude schopen opravit chyby zavedené v datech díky kódům FEC. Google používá kódy FEC, které umí opravte jednu neznámou bitovou chybu v 255 bitech. Jistě, vypadá to jako docela malé číslo, ale řekněme to v perspektivě, pokud jde o mobilní zařízení:
Poznámka: Níže uvedené hodnoty jsou převzaty z blogového příspěvku Google Engineer Sami Tolvanen ve vývojáři Android.
Google mohl použít kódy FEC RS (255 223): tyto kódy by dokázaly opravit 16 neznámých bitových chyb v 255 bitech, ale režijní prostor kvůli 32 bitům redundantních dat by byl téměř 15%, a to je hodně, zejména na mobilních zařízeních. Přidejte to ke skutečnosti, že Android je dominantním operačním systémem pro levné chytré telefony dodávané se 4–8 GB pamětí a 15% prostoru navíc se zdá být hodně.
Tím, že obětoval schopnosti opravovat chyby, ve prospěch úspory místa, Google rozhodl se používat RS (255,253) FEC kódy. Tyto kódy mohou opravit pouze jednu neznámou chybu v 255 bitech, ale režijní prostor je pouze 0,8%.
Poznámka: RS (255, N) je reprezentace Reed-Solomonových kódů, které jsou typem kódů opravujících chyby.
2. Špatný
Už jste někdy slyšeli o „Existují dvě strany mince“? Samozřejmě, že ano. Zatímco záměry společnosti Google s přísně vynuceným ověřeným spouštěním nebyly bezpochyby čisté jako jednorožec dítěte, přicházejí s vlastními problémy.
Při přísném vynucení ověřeného spuštění kontroluje malware, kontroluje také nelegální úpravy do jádra, bootloaderu a dalších věcí, které vám nebudu nudit, ale to znamená, že Android Nougat se pravděpodobně setká s mnoha problémy s rootováním a blikáním vlastních ROMů, protože ověřené spuštění nedokáže rozlišit mezi nežádoucím kódem malwaru, a kód, který odemkl váš bootloader. Což znamená, že pokud vaše zařízení bylo dodáno s uzamčeným bootloaderem a váš OEM neumožňuje odemknutí bootloaderu, tak to skoro nemůžete udělat. Doufejme, že na to někdo přijde.
Naštěstí většina lidí, kteří rootují svá zařízení, a flashové vlastní ROMy pro přidané funkce a funkce, jdou s telefony přátelskými pro vývojáře, jako je Nexus. Pokud jde o toto téma, je třeba zvážit mnoho a rozhodně to není konec vlastních ROM, alespoň ne na zařízeních, která jsou dodávána s odemčeným bootloaderem nebo která umožňují odemknutí bootloaderu. Zařízení, jako jsou telefony Samsung, však oficiálně nepovolují odblokování bootloaderu, a na těchto zařízeních bude odemknutí vašeho bootloaderu určitě považováno za „problém“ ověřeného spuštění, což zabrání zařízení v bootování.
Dalším problémem, který vyvstane při přísně vynuceném ověřeném spuštění, je ten, který ovlivní i uživatele, kteří se nezajímají o získání oprávnění root nebo o instalaci vlastních ROM. Při používání vašeho zařízení v průběhu času musí být v paměti přirozené poškození dat; ne kvůli přítomnosti malwaru, ale jednoduše proto, že k tomu dojde. To obvykle není problém, nebo alespoň ne tak závažný problém, jak jej ověřený boot změní. Pokud máte poškozená data, která nelze při zavádění opravit pomocí přísně vynuceného ověřeného spouštění, nedovolí zařízení zavést se. Podle mého názoru je to větší, viditelnější problém, než některá poškozená data v uživatelském oddílu.
3. Ugly
Ve všech výhodách vynucení ověřeného spouštění a ve všech potenciálních problémech je pravděpodobně nejvíce znepokojující skutečnost, že výrobci OEM by to mohli začít zneužívat k uzamčení svých zařízení tak, aby lidé nemohli Android používat k tomu, co bylo zamýšleno být: otevřený, přátelský k vývojářům a zcela přizpůsobitelný. Přísně vynucené ověřené spouštění dá do rukou výrobcům OEM sílu, která zajistí, že lidé nebudou moci odemknout zavaděče na svých zařízeních, čímž jim zakáží instalovat vlastní ROM a nástroje pro vylepšení funkcí, jako jsou Xposed moduly.
ZOBRAZIT TÉŽ: K dispozici není žádná vlastní ROM pro Android N? Máme pro vás řešení
Android Nougat: Radikální změna způsobu práce systému Android?
I když jsme si jisti, že záměrem společnosti Google bylo jednoduše vyhnout se potenciálním problémům pro běžné uživatele Androidu, kteří by nevěděli, co dělat v případě, že by jejich zařízení bylo ovlivněno malwarem nebo kdyby jejich paměť obsahovala poškozené datové bloky, může to podat OEM. a výrobce je dokonalým nástrojem, který uživatele uzamkne v tom, co jim bylo nabídnuto, a nic víc.
Samozřejmě někdo vymyslí zneužití nebo řešení této situace a my doufáme, že ano, v pravém duchu Androidu. Dokud však někdo nenajde řešení, vše, co my, jak uživatelé mohou, je zajistit, abychom si kupovali naše zařízení od výrobců přátelských pro vývojáře..
Doporučené Obrázek s laskavým svolením: Flickr