Google reforzará la seguridad del kernel en Android

movil

El equipo de seguridad de Android continúa trabajando en reducir vulnerabilidades y mejorar la robustez del sistema. Para ello aplicará diversas medidas de protección en su versión personalizada del Linux Kernel, centrándose en dos áreas específicas: reducir la superficie de ataque y la protección de memoria.

Reducción de la superficie de ataque

Se eliminan algunas funcionalidades que podrían ser susceptibles de ser explotadas, generalmente ligadas a las herramientas de desarrollo.

Destaca el bloqueo de acceso a perf (una herramienta que nos permite controlar el rendimiento del kernel) de forma predeterminada. A partir de ahora tan solo será accesible en modo desarrollador usando adb (Android Debug Bridge).

Se restringe el acceso de las aplicaciones a determinados comandos ioctl, fuente de la mayoría de vulnerabilidades detectadas en el kernel de Android mediante llamadas al sistema. Será SELinux el encargado de poner orden en el tema, gestionando una lista de aquellos comandos que si están permitidos y son estrictamente necesarios para el funcionamiento de las aplicaciones.

También se activa el sistema de seguridad Seccopm (secure computing mode). Se trata de un mecanismo de aislamiento de procesos adicional, que restringe todavía más la interacción con el kernel.

Protección de la memoria del sistema

Se trata de aislar cualquier posible vulnerabilidad segregada por la memoria del núcleo, evitando que se pueda extender a otras partes del sistema y manteniendo en lo posible la integridad del kernel.

Tres medidas fundamentales para ello, en gran parte inspiradas en el trabajo de Grsecurity para reforzar la seguridad de Linux:

  • Restringir el acceso del núcleo al espacio de usuario y sus aplicaciones.
  • Distribución de la memoria del núcleo en varias secciones, aisladas entre si mediante diferentes permisos de lectura/escritura.
  • Se refuerza la protección contra ataques de desbordamiento de buffer.

Con la vista en Android Nougat

Las características de seguridad mencionadas llegarán en Android 7.0 Nougat. En un futuro podrían añadirse otras, basadas en proyectos ya existentes: autoprotección del kernel (Kernel Self Protection Project), mejorar el aislamiento de procesos y reducción de la superficie de ataque con la suite de seguridad SELinux, sanboxing con Minijail, y mejoras en la detección de bugs con Kasan y Kcov.

Fuente | Android Developers Blog

4 thoughts on “Google reforzará la seguridad del kernel en Android”

  1. Gabriel says:

    Como que se estaban tardando o se estaban durmiendo en sus laureles, para no instalar aplicativos de “terceros” (;

  2. yomero says:

    Adiós al root.

    1. tannhausser says:

      Eso me temo.

  3. pepe says:

    Google es super confiable, me deja mucho mas tranquilo su auditoría

Deja un comentario