Video: Android KITKAT 4.4 - Android Animation - Boat (November 2024)
Google heeft de beveiliging in Android 4.4 en KitKat verbeterd om te voorkomen dat malware gebruikersapparaten overneemt, maar sommige van deze wijzigingen kunnen uitdagingen opleveren voor gebruikers die graag de controle over hun eigen beveiligingsbestemming overnemen.
De combinatie van twee beveiligingsfuncties in KitKat voorkomt dat kwaadwillende apps root-toegang krijgen via het apparaat, zei Bogdan Botezatu, een senior analist bij bedreigingen bij het Roemeense beveiligingsbedrijf BitDefender. In zijn analyse van Android KitKat heeft hij vastgesteld dat deze functies het mogelijk ook moeilijker maken voor gebruikers om aangepaste firmware op de nieuwste apparaten te laden.
Gebruikers moeten momenteel root worden zodat ze de bootloader kunnen flashen en een aangepast ROM kunnen installeren, zoals CyanogenMod of Paranoid Android. Zelfs het Amerikaanse leger gebruikt naar verluidt zijn eigen verharde versie van Android op handsets die zijn ingezet voor zijn personeel.
"Voor de veiligheid zijn de nieuwe functies absoluut cruciaal. Voor gebruikers die hun apparaten zelf willen updaten, maken de nieuwe functies dingen uitdagend, " zei Botezatu.
Geen root meer
Android 4.4 wordt geleverd met device-mapper-verity (dm-verity), een optionele "experimentele" geverifieerde opstartfunctie in de kernel van het besturingssysteem. Het "helpt voorkomen dat persistente rootkits rootrechten behouden en apparaten compromitteren", zei Google in de brondocumenten die vorige week werden vrijgegeven.
In wezen detecteert dm-verity wanneer een programma hogere rechten heeft dan zou moeten worden toegestaan en verifieert de legitimiteit van het programma door de cryptografische handtekening te controleren. Als het programma niet correct is ondertekend, kan dm-verity de slechte app blokkeren om root-toegang te proberen te krijgen, zei Botezatu.
Android KitKat wordt ook geleverd met een verbeterde versie van SELinux of Linux met verbeterde beveiliging. SELinux werd voor het eerst toegevoegd aan Android in versie 4.3 (Jelly Bean), maar het werd alleen gebruikt om alle escalatiepogingen van privileges te registreren, zei Botezatu. In 4.4 bevindt SELinux zich in de "afdwingende" modus en kan het feitelijk escalatieaanvallen van privileges blokkeren, zoals een app die rootprivileges op het apparaat probeert te verkrijgen.
De combinatie van dm-verity en SELinux is goed nieuws voor het blokkeren van malware op Android-apparaten, maar het betekent ook dat gebruikers die aangepaste firmware proberen te installeren op de nieuwe KitKat-apparaten die opdoemen, ook worden geblokkeerd, zei Botezatu. Het is aan de fabrikant van de handset om te beslissen welke apparaten de vergrendelde bootloader zullen hebben, merkte hij op.
Android-updateprobleem
Het feit dat gebruikers hun eigen firmware-updates niet op KitKat-apparaten kunnen uitvoeren, klinkt als een beperkt probleem en treft alleen de meest hardcore Android-gebruikers. De grotere vraag is echter of fabrikanten en vervoerders beter zullen beginnen met het uitduwen van updates, zei Botezatu. Op dit moment hebben providers en fabrikanten een zeer slechte reputatie wat betreft het pushen van updates voor bestaande telefoons. Er zijn nog steeds meer dan 25 procent van de apparaten die momenteel Gingerbread of Android 2.3 gebruiken, die drie jaar geleden werd uitgebracht.
Op dit moment kunnen gebruikers die bezorgd zijn om hun veiligheid hun oudere telefoons, die nog steeds werken en bruikbaar zijn, meenemen naar een nieuwere versie van Android. Als een gebruiker een nieuw KitKat-apparaat met een vergrendelde bootloader koopt, heeft die gebruiker niet langer de mogelijkheid om de firmware bij te werken naar toekomstige Android-versies of zelf reparaties te krijgen, zei Botezatu. Vervoerders en fabrikanten moeten een stap verder gaan en beter werk gaan doen door updates uit te drukken en telefoons veel langer blijven ondersteunen dan ze momenteel doen, zei hij.
Als het huidige systeem zonder updates blijft bestaan, moeten gebruikers die anders de apparaten zelf zouden hebben bijgewerkt, elk jaar nieuwe apparaten kopen om veilig te blijven, waarschuwde Botezatu.
Google om op te voeren?
Misschien is dit geen probleem omdat Google het updateproces gaat overnemen. Dat zou een richting zijn die Google zou inslaan met zijn beslissing om kernapps en bibliotheekfuncties van de rest van het besturingssysteem te splitsen. In versie 4.4 splitste Google de softwarestack op een hoger niveau uit de code die wordt gekoppeld aan de hardware op een lager niveau. Op deze manier kan Google nu wijzigingen in zijn belangrijkste apps en veel van de functies van de Android-bibliotheek rechtstreeks aan gebruikers doorvoeren.
Het is mogelijk dat Google de providers en fabrikanten gedeeltelijk kan omzeilen en kritieke beveiligingsoplossingen direct naar gebruikers kunnen pushen, zelfs als hun besturingssysteem niet de volledige updates ontvangt. Het is de moeite waard om in de gaten te houden wat Google nu gaat doen.
De Nexus-apparaten hebben geen vergrendelde bootloader, zei Botezatu. Op basis van zijn analyse kunnen gebruikers nog steeds Nexus-apparaten flashen en aangepaste Android-firmware installeren, zei hij. Als dat het geval is, kan het feit dat u uw Android-apparaat toekomstbestendig zou kunnen zijn, gewoon het excuus zijn dat u moet overwegen om de Nexus 5 te kopen.
