Utrata popularnego narzędzia 2FA stawia dbający o bezpieczeństwo GrapheneOS w paradoks

Zbliżenie / GrapheneOS to świetny system, który zasługuje na dalsze badania. GrapheneOS to świetny system tylko do odczytu, z którym Google nie wie, jak sobie poradzić, ponieważ ma mniej użytkowników niż główny nurt Androida.

„Jeśli system operacyjny nie jest oficjalny, musimy założyć, że jest zły”.

powiedział Sean Wilden, dyrektor ds. technologii ds. zabezpieczeń sprzętowych w systemie Android. Opisane Obecna rzeczywistość niestandardowych systemów operacyjnych opartych na systemie Android w odpowiedzi na realny dylemat bezpieczeństwa. Grafen OS Użytkownicy Odkryto to niedawno Który OjczystyApple ID, popularny (i ogólnie szanowany) menedżer uwierzytelniania dwuskładnikowego, nie będzie działać na ich telefonach — telefonach z systemem operacyjnym zaprojektowanym tak, aby był bezpieczniejszy i solidniejszy niż standardowy telefon z Androidem.

„Nie chcemy karać użytkowników alternatywnych systemów operacyjnych, ale w tej chwili nie ma innego wyjścia” – dodał Wilden przed zakończeniem swojej szczerej przemowy. „Play Integrity nie jest w stanie zgadnąć, czy konkretny niestandardowy system operacyjny całkowicie podważa model bezpieczeństwa Androida .”

Graj sprawiedliwiepoprzednio Certyfikat SafetyNetZasadniczo pozwala to aplikacjom sprawdzić, czy urządzenie z Androidem udzieliło uprawnień wykraczających poza formularze zamierzone przez Google lub zostało zrootowane. Dostęp do konta root nie jest atrakcyjny dla twórców niektórych aplikacji, które obejmują bankowość, płatności, konkurencyjne gry i multimedia chronione prawem autorskim.

Oprócz oszukiwania i phishingu istnieje wiele powodów, dla których ktoś może zrootować lub zmodyfikować swoje urządzenie z Androidem. Aby jednak udowodnić swoje bezpieczeństwo, urządzenie z Androidem musi połączyć się z serwerami Google za pośrednictwem interfejsu API Usług Google Play, a następnie zweryfikować program ładujący, podpis ROM i jądro urządzenia. GrapheneOS, podobnie jak większość niestandardowych ROM-ów dla Androida, nie ma domyślnie pakietu Usług Google Play, ale pozwala użytkownikom zainstalować uproszczoną wersję Usług Play, jeśli chcą.

READ  E3 2023 zostało odwołane

Wilden dawał nadzieję na przyszłość, w której ROMy będą mogły zapewnić Google o ich niekryminalnym charakterze, notatka „Kilka rozmów z twórcami wysokiej klasy ROMów” na temat przepustki Pakiet testów zgodności„Następnie „nawiązanie relacji, dzięki której będziemy mogli im zaufać”, ale Wilden zauważa, że ​​„wymaga to dużo pracy po obu stronach, w tym ze strony prawników”. jest trudne, ponieważ „modderzy stanowią bardzo małą część bazy użytkowników”.

Oficjalny GrapheneOS Mniej nadziei. Zauważono, że inny niestandardowy ROM, LineageOS, wyłącza zweryfikowany rozruch po instalacji i „przywraca bezpieczeństwo na kilka innych sposobów”, co przyczyniło się do „błędnego przekonania, że ​​każdy alternatywny system operacyjny przywraca bezpieczeństwo i nie odpowiada jakości produkcyjnej”. Typowa instalacja LineageOS, podobnie jak większość niestandardowych ROM-ów, wyłącza funkcję Verified Boot, chociaż można ją włączyć ponownie, z wyjątkiem To ryzykowne i skomplikowane. GrapheneOS ma Strona na jej stronie internetowej Odnosząc się do swojego stanowiska i krytyki modelu uwierzytelniania przyjętego przez Google dla Androida.

Ars skontaktował się z Google, GrapheneOS i Authy (za pośrednictwem właściciela Twilio) z prośbą o opinię. Obecnie nie wydaje się, aby którakolwiek ze stron miała jasną drogę naprzód, chyba że jedna ze stron zechce znacząco zmienić ramy tego, co uważa za odpowiednie bezpieczeństwo.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *