擺脫不安全!谷歌借Linux提高安卓免疫力

責(zé)任編輯:editor007

作者:張金梁

2016-08-01 20:56:04

摘自:中關(guān)村在線

杰夫·范德-斯圖普指出,被稱作CONFIG_DEBUG_RODATA的全新配置選項(xiàng),把內(nèi)核內(nèi)存劃分為多個(gè)區(qū)域,限制可寫入和可執(zhí)行內(nèi)存的容量。

據(jù)外媒Computerworld報(bào)道,Android安全團(tuán)隊(duì)成員杰夫·范德-斯圖普(Jeff Vander Stoep)披露Android內(nèi)核在安全方面的改進(jìn),它們有助于提高攻擊Android Nougat和未來Android版本的難度。

杰夫·范德-斯圖普指出,被稱作CONFIG_DEBUG_RODATA的全新配置選項(xiàng),把內(nèi)核內(nèi)存劃分為多個(gè)區(qū)域,限制可寫入和可執(zhí)行內(nèi)存的容量。為了在內(nèi)存中注入惡意代碼,并以內(nèi)核權(quán)限運(yùn)行這些代碼,黑客需要可寫入和可執(zhí)行的內(nèi)存頁面。

而另一項(xiàng)被稱作CONFIG_CPU_SW_DOMAIN_PAN的配置選項(xiàng),使得內(nèi)核不能直接存取用戶空間內(nèi)存,提高黑客控制代碼執(zhí)行區(qū)域的難度。

范德-斯圖普表示,通過覆蓋更多數(shù)組類型,針對基于堆棧的緩沖區(qū)溢出缺陷的安全機(jī)制也得到改進(jìn)。

媒體Computerworld表示,通過封殺對Perf系統(tǒng)等調(diào)試特性的缺省訪問,Android內(nèi)核攻擊面一直在減小。Perf是一款性能監(jiān)測、調(diào)優(yōu)工具。在不破壞合法功能的情況下,第三方應(yīng)用對IOCTL命令的訪問也受到盡可能多的限制。

范德-斯圖普說,“在報(bào)告的Android缺陷中,大多數(shù)出現(xiàn)在驅(qū)動(dòng)程序中,利用這些缺陷需要用到ioctl系統(tǒng)調(diào)用。”

開發(fā)者還“加固”了Android的媒體處理進(jìn)程,過去一年,Android媒體處理進(jìn)程被發(fā)現(xiàn)存在許多缺陷。這是通過一個(gè)名為seccomp的沙盒機(jī)制實(shí)現(xiàn)的,seccomp首先出現(xiàn)在運(yùn)行Android Lollipop的Nexus設(shè)備上。在Android Nougat中,所有設(shè)備都必須支持seccomp

據(jù)了解,Android安全模式嚴(yán)重依賴作為其核心的Linux內(nèi)核。Android開發(fā)者總是有興趣增添安全特性,阻止?jié)撛趷阂獯a感染內(nèi)核——內(nèi)核是Android中權(quán)限最高的領(lǐng)域。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號