Android Oreo, restrizioni sul kernel per i produttori OEM

Due settimane fa annunciavamo il rilascio della nuova versione di Android, rinominata Oreo, e negli ultimi giorni Google ha rilasciato alcune nuove specifiche ai quali i produttori dovranno attenersi per ottenere la certificazione da Big G.

In precedenza, Google non badava alla versione del kernel utilizzata dai produttori per sviluppare la loro versione di Android, una cosa che non è mai stata un problema visto che le versioni utilizzate erano praticamente le stesse tra tutti i produttori. Adesso però una scelta del genere non sembra essere più sostenibile a causa delle innumerevoli falle di sicurezza che di frequente si presentano. Secondo l’azienda di Mountain View infatti, l’85% delle vulnerabilità nel kernel di Android sono la conseguenza di bug nei driver dei vendor.

Google ha così deciso di imporre a tutti gli OEM l’utilizzo del kernel 4.4 e successivi per tutti i nuovi Android. Oreo è dunque il primo con:

  • KASLR (Kernel Address Space Layout Randomization), aggiunto nella versione 4.4, che rende più difficile l’exploit remoto del kernel, caricandolo in una posizione random ad ogni boot;
  • Hardened usercopy per proteggere le operazioni in cui il kernel trasferisce dati tra lo user space e la memoria del kernel;
  • Emulazione PAN (Privileged Access Never), una versione software del PAN hardware presente su ARM, che impedisce al kernel di accedere direttamente alla memoria user space ed obbligando gli sviluppatori ad usare le funzionalità usercopy;
  • restrizione di una porzione di memoria in read-only dopo che il kernel è stato inizializzato per limitare i possibili attacchi interni.

Oltre a tutte queste novità sul fronte della sicurezza, Google richiede che il sistema venga configurato per supportare sin da subito Project Treble, un progetto che mira a rendere modulare Android per poter aggiornare il dispositivo in maniera più rapida.

Un’ottima politica quella di non permettere che vengano usate versione troppo datate del kernel (spesso molto vicini alla EOL) limitando così bug e problemi legati alla sicurezza, ormai all’ordine del giorno.

Siamo curiosi di vedere se questa scelta, abbinata a Project Treble, darà i risultati sperati!

 

Tags: , , ,