No podemos negar que Android es el sistema operativo móvil con mayor número de usuarios en todo el mundo, y precisamente por ello, es que el tema de seguridad no debe tomarse a la ligera, pues es bien sabido que en este apartado tiene muchas vulnerabilidades.
Google nos ha demostrado más de una vez su interés por lograr que Android sea un sistema más seguro, al grado de liberar mensualmente parches de seguridad e incentivar a los fabricantes a comprometerse con hacer llegar a sus usuarios dichas actualizaciones. Este mes que termina, lo ha cerrado anunciando las nuevas medidas de seguridad que ha implementado en el kernel de Linux para que Android tenga una mejor protección.
Dichos mecanismos de seguridad en los que ha trabajado Google recientemente se agrupan en dos grandes categorías: la protección de la memoria y la reducción de la superficie ataques.
Protección de la memoria
Debido a cómo se gestionan las tareas y los espacios de direcciones en memoria, cualquier vulnerabilidad puede desplegarse rápidamente a otras porciones de esta, haciendo que el problema sea aún más crítico. Para contrarrestarlo, se ha segregado la memoria del núcleo en diferentes secciones, y se han activado permisos de acceso de sólo lectura o lectura y escritura para así mantener cada sección aislada de las otras, de tal forma que se evite que las vulnerabilidades se propaguen a otras secciones de la memoria.
Al mismo tiempo, han decidido mejorar la protección del kernel previniendo que éste acceda directamente al espacio de usuario en la memoria, de tal manera que acceder a ella y alterarla le sea difícil a los atacantes. En este apartado de protección de memoria, también han colocado protección contra el desbordamiento del búfer.
Reducción de la superficie de ataques
En esta categoría de soluciones, el objetivo ha sido exponer un menor número de puntos de acceso al kernel sin que se rompan las funciones del sistema, para lo que ha sido necesario eliminar código, eliminar accesos y exponer funcionalidades de manera selectiva.
Los desarrolladores de Google, también han estado trabajando en medidas que bloqueen el acceso al sistema perf del kernel, que es utilizado por los desarrolladores para el análisis de aplicaciones y para medir el rendimiento y que hasta ahora era la superficie principal para los hackers. Así, en Android Nougat, el acceso a la herramienta perf estará bloqueado de manera predeterminada, y para acceder a él, los desarrolladores tendrán que hacer uso de ADB.
Al mismo tiempo, las aplicaciones de terceros podían acceder a los comandos IOCTL, pues no estaban restringidos. Es a través de llamadas a funciones IOCTL en los controladores desde donde han ocurrido la mayoría de las vulnerabilidades del kernel. Por ello, a partir de la nueva versión de Android, los comandos IOCTL que no son ejecutados por las aplicaciones serán restringidos de modo que no intervengan con la funcionalidad normal y se reduzca la superficie de ataques a la vez.
Otros proyectos de seguridad que ya se están realizando
Google también ha informado de otros proyectos que se están realizando para proteger y mejorar el kernel de Linux sobre el que trabaja Android; entre ellos destacan:
- Kernel Self Protection Project, en el cual se está desarrollando un entorno y un compilador para el kernel;
- Minijail para proporcionar un mecanismo para la aplicación de medidas de contención ofrecidas por el núcleo;
- Ksan y Kcov para ayudar a descubrir las causas de los cierres inesperados y construir casos de prueba para el código de forma que el proceso de debug sea más eficiente.
Vía | Android Developers
