Mostanság egyre több helyen hallani a kernel szintű DM-verity protection-ról, amely egy olyan biztonsági alkalmazás, mely gátolja a custom romok telepítését. Íme egy kis ízelítő abból, hogyan is működik:
Ellenőrzött boot
Bevezető
Android 4.4 és újabb kiadásai támogatják az eszközök a boot közbeni ellenőrzést az opcionális device-mapper verity kernel funkció segítségével, amely biztosítja az egyes, blokkosan kezelhető eszközök könnyű átláthatóságát. A dm-verity segítene kivédeni az ismétlődő rootkit-eket, amelyek root joggal bírhatnak, vagy az eszközről szolgáltathatnak ki adatokat. E kísérleti funkció segítségével Android felhasználók biztosak lehetnek abban, hogy boot-oláskor a készülék ugyanolyan állapotban található, mint amikor legutoljára használták.
Az olyan okos malware-ek, amelyek root jogosultságokkal rendelkeznek, el tudnak rejtőzni a kereső programok elől és másnak tűntetik fel magukat. A root jogosultsággal rendelkező szoftver képes erre, mert gyakran több jogosultsággal bír mint az érzékelő programok, így képessé válik azok kijátszására.
A dm-verity funkció segítségével megvizsgálható a blokkosan kezelhető eszköz fájlrendszerét tartalmazó réteg és eldönthető, hogy megegyezik-e az előre megadott konfigurációval. Teszi mindezt egy kriptográfiai hash-függvény segítségével. Minden blokkhoz tartozik (jellemzően 4k) egy SHA 256 algoritmus.
Mivel a hash értékeket fa szerkezetben tárolja, csak a legmagasabb szintű “root” jogosultsággal bíró képes ellenőrizni a többi elemet. Az egyes blokkok módosítása egyet jelent a kriptográfiai hash függvény feltörésével. Az alábbi ábra mutatja be ezt a fajta szerkezetet.
1. ábra: dm-verity hash table
A nyilvános kulcsot tartalmazza a boot partíció, amelyet az OEM-nek kívülről kell jóváhagynia. E kulcs segítségével lehet ellenőrizni a hash lenyomatát és megerősíteni, hogy az eszköz rendszer partíciója védett és ép.
Dm-verity előfeltételek
Ellenőrzött boot létrehozása
A kockázat komoly csökkentése érdekében a kernel egy, a készülékbe épített kulcsot használ. A további részletekért kattints ide.
Váltás blokk alapú OTA-kra
A dm-verify alkalmazása érdekében a blokk alapú over-the-air (OTA) frissítéseket kell használni, amely biztosítja, hogy az összes eszköz ugyanazt a rendszer partíciót használja. A további részletekért kattints ide.
A dm-verity beállítása
A blokkokra épülő OTA-kra történő átállás után, a legfrissebb Android – vagy gyári upstream kernel telepítésével és a dm-verity támogatás engedélyezésével lehet beállítani, beleértve a megfelelő konfigurációs értékek megadását CONFIG_DM_VERITY.
Az Android kernel használatakor a dm-verify be van kapcsolva. A további részletekért kattints ide.
forrás: https://source.android.com/security/verifiedboot/
