Мобильные устройства с ОС Android 7.0 Nougat будут включать обязательный механизм безопасной загрузки, что в свою очередь существенно усложнит задачу получения системных привилегий уровня root. Об этом рассказывает инженер-программист Google Сами Толванен в официальном блоге для разработчиков Android.
Защитный механизм безопасной загрузки (Verified Boot), реализуемый посредством функциональности dm-verity (device-mapper-verity) в ядре, присутствует в мобильной ОС Google еще со времен версии Android 4.4 KitKat. Сам механизм безопасной загрузки создан с целью предотвращения атак определенного типа, когда вредоносное ПО загружается в память системы еще до загрузки операционной системы. При включении Verified Boot проверяет подлинность загрузочного образа, и, если все в порядке, разрешает загрузку.
Казалось бы, причин для беспокойства нет, но если раньше dm-verity была опциональной и в случае Marshmallow все ограничивалось простыми предупреждениями о возможных проблемах целостности системы, то с выходом Android 7.0 Nougat ситуация кардинально изменится. По крайней мере, для устройств, работающих под управлением Android 7.0 из коробки. Как утверждается, функция проверки подлинности загрузочного образа станет обязательной. При малейших изменениях в коде или структуре разделов загрузка ОС будет невозможна. В качестве опции пользователям может быть предложен специальный режим с ограниченной функциональностью.
Сделать безопасную загрузку обязательной – шаг, безусловно, правильный (с точки зрения безопасности). Вместе с тем, это может доставить немало головной боли для владельцев устройств с разными программными и/или аппаратными проблемами. Часть этих проблем должна взять на себя новая система исправления ошибок. Кроме этого, установить стороннюю прошивку будет гораздо сложнее. Это уже непросто в случае моделей с заблокированными загрузчиками и Android 7.0 лишь усугубит ситуацию.
Источник: phonearena и Android Developers Blog