Local blog for Spanish speaking developers in LATAM
Protección de Android con más defensas del kernel de Linux
miércoles, 26 de octubre de 2016
Publicado por Jeff Vander Stoep, Equipo de seguridad de Android
Android depende mucho del kernel de Linux para la aplicación de su modelo de seguridad. Para proteger mejor el kernel, hemos habilitado varios mecanismos dentro de Android. A un nivel elevado, estas protecciones se agrupan en dos categorías: protecciones de la memoria y reducción de la superficie de ataque.
Protecciones de la memoria
Una de las funciones de seguridad más importantes que proporciona el kernel es la protección de la memoria para procesos de espacio del usuario bajo la forma de separación de espacios de direcciones. A diferencia de los procesos de espacio del usuario, las diferentes tareas del kernel tienen lugar dentro de un espacio de direcciones y una vulnerabilidad en cualquier punto del kernel puede afectar sectores no relacionados de la memoria del sistema. Las protecciones de memoria del kernel están diseñadas para preservar la integridad de este a pesar de las vulnerabilidades.
Marca la memoria como de solo lectura o de no ejecución
Esta función segmenta memoria del kernel en secciones lógicas y fija permisos de acceso a páginas con restricciones en cada sección. El código se marca como “de solo lectura” y “de ejecución”. Las secciones de datos se marcan como de no ejecución y se segmentan en secciones de solo lectura y de lectura y escritura. Esta función se habilita con la opción de configuración CONFIG_DEBUG_RODATA. Fue creada por Kees Cook y se basa en un subconjunto de la función KERNEXEC de
Grsecurity
, creado por Brad Spengler, y la función CONFIG_STRICT_MEMORY_RWX de Qualcomm, creada por Larry Bassel y Laura Abbott. CONFIG_DEBUG_RODATA se aplicó al kernel ascendente para arm/arm64 y se adaptó al kernel común 3.18+ arm/
arm64
de Android.
Restringe el acceso del kernel al espacio del usuario
Esta función mejora la protección del kernel al evitar que acceda de manera directa a la memoria del espacio de usuarios. Esto puede dificultar varios ataques, ya que los atacantes tienen un control considerablemente inferior de la
memoria
ejecutable del kernel, en particular cuando CONFIG_DEBUG_RODATA está habilitado. Ya existían funciones similares; la más antigua fue UDEREF, de Grsecurity. Esta función se habilita con la opción de configuración CONFIG_CPU_SW_DOMAIN_PAN, y fue implementada por Russell King para ARMv7 y adaptada al kernel
4.1 de Android
, creado por Kees Cook.
Mejora la protección contra desbordamientos del búfer de pila
De manera muy similar a stack-protector, opción que lo precedió, stack-protector-strong brinda protección contra
desbordamientos del búfer de pila
, aunque también ofrece cobertura para
más tipos de arreglos
; por ejemplo, los arreglos de caracteres que originalmente eran los únicos en recibir protección. Stack-protector-strong fue implementado por Han Shan y se
agregó al compilador gcc 4.9
.
Reducción de la superficie de ataque
El propósito de la reducción de la superficie de ataque es exponer menos puntos de entrada al kernel sin dañar la funcionalidad legítima. Reducir la superficie de ataque puede implicar eliminar código o el acceso a puntos de entrada, o exponer funciones de manera selectiva.
Elimina el acceso predeterminado a funciones de depuración
El sistema de rendimiento del kernel proporciona infraestructura para la medición del rendimiento y puede usarse para analizar el kernel y las aplicaciones del espacio del usuario. Es una valiosa herramienta para los desarrolladores, pero agrega una superficie de ataque innecesaria para la amplia mayoría de los usuarios de Android. En Android Nougat, el acceso al sistema de rendimiento estará bloqueado de forma predeterminada. Los desarrolladores podrán, de todos modos, acceder a él habilitando la configuración para desarrolladores y usando adb para configurar una propiedad: “adb shell setprop security.perf_harden 0”.
El patchset para bloquear el acceso al sistema de rendimiento puede dividirse en secciones de kernel y espacio del usuario. La
revisión de kernel
fue creada por
Ben Hutchings
y deriva de CONFIG_GRKERNSEC_PERF_HARDEN de Grsecurity, creada por Brad Spengler.
Daniel Micay aportó
los cambios en el espacio del usuario. Gracias
Wish Wu
y a los demás por actuar con responsabilidad y divulgar vulnerabilidades del sistema de rendimiento.
Restringe el acceso de las aplicaciones a comandos ioctl
Una gran parte del modelo de seguridad de Android se describe y se aplica a través de SELinux. La llamada de sistema ioctl() representó una brecha importante en la granularidad de aplicación a través de SELinux.
La admisión de comandos Ioctl con SELinux
se agregó como un medio para proporcionar control por comando a través de la llamada de sistema mediante SELinux.
La mayoría de las vulnerabilidades de kernel informadas en Android tienen lugar en controladores y se accede a ellas con la llamada de sistema ioctl; por ejemplo,
CVE-2016-0820
. Algunos comandos ioctl son necesarios para aplicaciones de terceros. Sin embargo, esto no sucede con la mayoría de ellos y el acceso puede restringirse sin afectar la funcionalidad legítima. En Android Nougat, solo se encuentra disponible una pequeña lista blanca de comandos ioctl de socket para las aplicaciones. Para un grupo selecto de dispositivos, se restringió se manera similar el acceso de las aplicaciones a ioctl de GPU.
Solicita seccomp-bpf
Seccomp proporciona un mecanismo adicional de espacios, el cual permite a un proceso restringir las llamadas de sistema y los argumentos de estas que estén disponibles a través de un filtro configurable. La restricción de la disponibilidad de llamadas de sistema puede reducir de manera dramática la superficie de ataque expuesta del kernel. Debido a que seccomp se presentó primero para dispositivos Nexus en Lollipop, su disponibilidad en el ecosistema de Android ha mejorado de forma sostenida. Con Android Nougat, la compatibilidad con seccomp es un requisito para todos los dispositivos. En Android Nougat, usaremos seccomp en los procesos mediaextractor y mediacodec como parte del
esfuerzo de protección de medios
.
Esfuerzos en curso
Hay en desarrollo otros proyectos destinados a proteger el kernel:
A través del
proyecto de autoprotección de kernel
, se desarrollan defensas de tiempo de ejecución y compilación para el kernel ascendente.
En el proyecto de código abierto de Android (AOSP), hay en curso tareas de ajuste de espacios y de reducción de la superficie de ataque con SELinux.
Minijail
proporciona un mecanismo práctico para aplicar muchas funciones de contención y espacios seguros que ofrece el kernel, como los filtros seccomp y los espacios de nombres.
Los proyectos como
kasan
y
kcov
ayudan a los fuzzers a descubrir la causa principal de las fallas y a construir de manera inteligente casos de prueba que aumentan la cobertura del código, lo cual potencia finalmente la eficacia del proceso de búsqueda de errores.
Debido a estos y otros esfuerzos, esperamos que continúe el proceso de mejoramiento de la seguridad del kernel. Como siempre, apreciamos los comentarios sobre nuestro trabajo y recibimos con gusto sugerencias para mejorar Android. Escríbenos a
security@android.com
.
Labels
.app
.dev
.txt
#AMP
#CPU
#DeveloperStudentClubs
#DevFest
#DragonBall
#DSC
#Forsety
#ForsetySecurity
#freeandopen
#GCP
#Google
#GoogleCloud
#GoogleCloudPlatform
#GoogleLaunchpad
#iio2009
#Kubernetes
#MaterialDesign
#OneCommunity
#Security
#TensorFlow
#UPGlobal
#UpLatam
#WithGoogle
+page
10 YEARS
2013
2019
64 bits
A/B Testing
AA
Accelerator
Action on Goolge
actionbar
Actions
Actions Console
AdMob
Ads
adwords
adwords api
AI
AIY
ajax
alarmmanager
ALFA
almacenamiento
alojamiento de proyectos en google code
AMP
AMP Conf
AMP Project
amp-date-picker
amphtml
Analytics
Andorid
android
Android (operating System)
Android 3.1
android 3.3
android 4.2
android 9
Android 9 Pie
Android App Bundle
android design
Android Dev Summit
Android Developers
android Jetpack
Android P
Android SDK
Android Studio
Android Things
Android Wear
AndroidDevStory
androititlan
angelina jolie
Annotation
Announcements
anuncios
API
API Analytics YouTube
Apigee
APIs
Aplicaciones
aplicaciones chrome
app
app engine
App Indexing
app invites
App Server
applications
AppQuality
apps
Apps Script
AR
ARCore
arte
ATLAS
AWP
backend
Base64
batch
Bava
Betatesting
Better Ads Standars
bigdata
BigQuery
Biometrics
blink
bootcamp
BOT
BQ
Business
búsqueda ajax
by Google
byCases
byCommunity
byDevelopers
byGoogle
C++
CALENDAR
Cardboard
case
caso de éxito
Casos de éxito
casos destacados
CCOSS
Century Fox
chat
chrome
chrome web store
chromebook
chromecast
chromium
Cinéfilos
cloud
Cloud Anchors
CLOUD endpoints
Cloud Firestore
Cloud Functions
Cloud IoT Core
Cloud Next
Cloud Scheduler
Cloud services
cloud test lab
Cloud Text-to-Speech
Cloud Translation
CMD en vivo
coconut
code
code-in
code.org
CodeLabs
código
código abierto
Colab
colombia
Communities
Comunidades
concurso google
conference
contenedores
convocatoria
Coordinate
crashlytics
CRE
crear aplicaciones ajax
creatividad
Crowdsource
CSS
cws
daniela robles
dart
dart sdk
dartium
dartlang
Dataset
DCL
denis labelle
desarrolladores
Desarrolladores Google
desarrolladores LatAm
Desarrollar
Design
Design Sprint
Destacados
dev
Dev.f
DevArt
DevBus
DevBusLatAm
Developer Bus
Developer Summit
DeveloperConsole
developers
DevFest
devoxx
dialogflow
diseño UX
Distribuir
DNS
DOM
domain
DonkeyCar
doubleclick
Drive SDK
Drivers
ecommerce
ecosistema
elections
elizalde
Emoticons
emprendedores
empresas
engagement
english
Enhanced Campaigns
enterprise
eventos
Events
evolución de aplicaciones
Excel
ExpertosDicen
Faas
Family
FanBridge
FCM
FCP
Featured
fido
find people
Fintech
firebase
Firebase Cloud Messaging
firebase summit
flu trends
Flutter
Flutter 1.0
flutter 1.7
flutter developers
Flutter Live
FlutterLive
FoundersLab
Freebase
Fuction
Fuctions
Full-Stack
functional programming
G Suite Dev Show
G+
g+ goto gal
G+GotoGal
GAE
game
games
GCloud
gcm
GCP
GCS
GDA
GDE
GDG
GDH
GDL
GDLevent
GDS
Get Inspired
get.app
GitHub
GLP
gmail
golang
GOMO
Google
Google Accelerator
Google AdMob SDK
Google AdWords
Google Analytics
Google APIS
Google App Engine
Google Apps
Google Apps Script
Google Art Project
Google Assistant
google calendar
google cast
Google Charts
Google Chrome
Google Cloud
Google Cloud Console
Google Cloud Messaging
Google Cloud Next
Google Cloud Platform
Google Cloud Platform Newsletter
google cloud platforn
Google Cloud Storage
google code-in
Google Compute Engine
Google Dataset
Google Developer Groups
google developers
Google Developers Academy
google developers expert
Google Developers Hackademy
google dns
Google Drawings
Google Drive
Google Earth
Google for games
Google Forms
google geo
Google Home
google i/o
google i/o extended
google io
Google Keep
Google Kubernetes Engine
Google Launchapad
Google Launchpad
Google Maps
google maps coordinate
Google Maps Platform
Google Mexico
Google Nose
google now
Google Person Finder
google places api
Google Play
Google Play Books
Google Play Developer API
google play games
Google Play Movies
Google Play Protect
Google Play Services
Google Plus
Google Science Fair
google search
Google Sheets
google sign in
Google Top Geek
Google+
Google+ Communities
Google+ Hangouts
google+ sign-in
GoogleAPI
googlecloud storage
GoogleCloudPlatform
googledevs
GooglePlay
Googleplex
Goolge Lunchpad
GTG
Hackademy
hackers
Haiko
Haití
hangouts
Hangouts Remote Desktop
hardcode
Heello
honeycomb
HTML
HTML5
HTTPS
I/O
IA
IAM
IETF
IFAI
in app purchases
in-app
ingles
Ingress
instagram
integración de soluciones
interactive post
Interesante
International
International Women’s Day
IO
io15
io18
io19
iOS
IoT
istio
IU
IVR
J2EE
java
JavaScript
jelly bean
JS
JSON
Juegos
juegos html5
Kit ML
Knative
kotlin
kUBERNATES
Kubernetes
LATAM
latamRegionSur
Launchpad
Launchpad Studio
Lenovo Mirage Solo
lightbox
linux
lucero galindo
machine learning
Made with Code
Mapdata
Mapeo
maps
Maps Ad Unit
Maps API
Maps Engine
Market
Marketing
Marshmallow
MATERIAL DESIG
Material Design
mejores apps 2013
México
michelle marie
MIT
MIT Global Start-up Labs
MIT-AITI
ML
ML Kit
mobile
monetizar
mongoDB
MOOC
Motorola
Mountain View
móvil
MQTT
mr.white
mTLS
natalie villalobos
Navigation
NBA JAM
NES
Next Big Sound
Next Level
nfc
Niantic
Nik
NINTENDO
node.js
NoSQL
nube
OAuth2
Objective-C
OClock
open source
OPenApi
OS
OSS
Paas
PageSpeed
PagesSpeed
parallel18
patrones
patters
performance
permisos
Pipeline API
Pixability
pixel
Píxel
play
Play Console
Playtime
Podcast
pollito pio
Polymer
por lote
Posse
Prediction API
primer
Producto
programación
Propositos
Protocol Buffers
proyecto 20%
Push API
PYMES
python
Q
Q4
quickoffice
Rasberry Pi Zero WH
Raspberry Pi
Realtime
Reflectly
register
Release
Resources
robots.txt
Safe
SDK
Search
Security
seedbank
seguridad
SEO
servidores
Showyou
sign-in
SNES
SO
social media
Spain
SpLATAM
SQL
SQLite
Start
startup grind
Startup Launch
startup weekend
startup weekend for the planet
startupbus
startups
StayAtHome
story
Street View
subtitles
success
sw
SyScan
tablet
Tablet Optimization Tips
tabletas
takeaction
Tango
tendencias 2013
TensorFlow Developer Summit
testing
TextView
TF JAM
The Garage
The Venture City
tips G+
tips gmail
TLD
TLS
Top Experts
Top Geek
top level domain
TopExpert
topics
traducciones
Transparency Report
triggers
Tubular Labs
twilio
Tyka
TypeScript
UAC
udacity
ui
Umbrales
UNAM
unity
Unity3D
universal search
UX
Vector
VectorDrawable
video juegos
vidIQ
ViewPager
Visual Progress
Voicekit
VPC
VR
VSCode
web
Web hosting
Web móvil
WebAssembly
with google
Wizdeo
WizTracker
Women at Google
Women Techmakers
workmanager
WTM
XKCD
XML
Yifat Cohen
youtube
YouTube Analytics API
YouTube API
YouTube Data API
YouTube One Channel
YouTube Player API
Archive
2023
nov
oct
sept
ago
jun
may
abr
mar
ene
2022
dic
nov
oct
sept
ago
jul
jun
may
abr
mar
feb
ene
2021
dic
nov
oct
sept
ago
jul
jun
may
abr
mar
feb
2020
dic
nov
oct
sept
ago
jul
jun
may
abr
mar
feb
ene
2019
dic
nov
oct
sept
ago
jun
may
abr
mar
feb
ene
2018
dic
nov
oct
sept
ago
jul
jun
may
abr
mar
feb
2017
nov
sept
ago
jul
jun
may
abr
ene
2016
nov
oct
sept
ago
jul
jun
may
abr
mar
feb
ene
2015
dic
nov
oct
sept
ago
jul
jun
may
abr
mar
feb
ene
2014
dic
oct
sept
ago
jul
jun
may
abr
mar
feb
ene
2013
dic
nov
oct
ago
jul
jun
may
abr
mar
feb
ene
2012
dic
nov
oct
sept
ago
jul
2011
nov
oct
may
mar
2010
dic
nov
oct
sept
ago
jul
jun
may
abr
mar
feb
ene
2009
dic
nov
sept
ago
jul
jun
may
abr
mar
feb
ene
2008
oct
sept
ago
jul
jun
may
abr
mar
feb
ene
2007
dic
Feed
Desarrolladores
Eventos y Comunidad
Casos Destacados
Dicen los Expertos
Google Accelerator
