Zobrazit pro: mobil | klasicky
NSA (National Security Agency) uveřejnila verzi SE Android, tedy „security-enhanced“ oblíbeného operačního systému pro smartphony a tablety. Zaměřila se na řízení přístupu.
Ta poskytuje a zároveň i vynucuje striktnější pravidla pro řízení přístupu, než jsou nabízeny ve standardní podobě od Googlu.
SE Android je postaven na bázi předchozí výzkumu NSA ohledně řešení pro access control, který byl započat už v roce 2000 v projektu Security-Enhanced Linux. SE Linux představuje sadu modulů linuxového jádra a další nástroje, které administrátorům dávají flexibilní mechanizmus pro omezení toho, jací uživatelé, zdroje nebo aplikace mohou přistupovat. Časem se tyto modifikace staly nedílnou součástí jádra Linuxu a přijaly jej například i Solaris nebo FreeBSD.
Nyní byly tedy zásady SE Linux portovány i do Androidu jako součást většího projektu -- SE Android.
Jednou z hlavních oblastí, v níž se SE Android snaží o zásadní vylepšení bezpečnosti, je model aplikační bezpečnosti, který je postaven na bázi linuxového systému řízení přístupu DAC (discretionary access control). V případě DAC aplikace spuštěná konkrétním uživatelem má přístup ke všem souborům a zdrojům, které má povolen onen uživatel.
Model implementovaný v Androidu (MAC, mandatory access control) stanovuje, že zdroje dostupné pro aplikace mohou být omezeny na ty, jež jsou definovány v příslušném pravidle, bez ohledu na to, jaká přístupová práva má samotný uživatel v systému.
Díky tomu může být Android použit k omezení privilegoaných služeb a k omezení možných ztrát, které mohou napáchat hackeři, pokud například zneužijí nějakou zranitelnost. Řada exploitů cílená na Android jako třeba GingerBreak, Exploid nebo RageAgainstTheCage, přitom cílí na zranitelnosti služeb samotného operačního systému.
Naneštěstí není možné SE Android využít na modifikacích Androidu. Zájemci o SE si musejí stáhnout oficiální zdrojový kód Android Open Source Project (AOSP) a pak synchronizovat své AOSP s SE Android. Web projektu SE Android podrobně popisuje, jak to lze udělat.
Zobrazit pro: mobil | klasicky