Kernel di smartphone dan tablet memiliki banyak tanggung jawab ketika menyangkut bagaimana perangkat berfungsi setiap hari. Untuk tujuan ini, kernel melakukan banyak hal untuk membantu perangkat kami aman. Kernel memiliki akses yang luas sehingga tidak heran terdapat peningkatan eksploitasi yang menargetkan kernel secara khusus. Google telah melakukan yang terbaik untuk mengisolasi dan mengurangi proses, Android O akan menggunakan fitur Linux yang disebut seccomp untuk meningkatkan perlindungan ini.
Perangkat lunak Android di smartphone, tablet, dan smartwatch berkomunikasi dengan kernel itu sendiri dengan apa yang disebut sebagai panggilan sistem. Ada sejumlah sistem panggilan yang memungkinkan proses userspace (seperti aplikasi yang kita gunakan) untuk berinteraksi langsung dengan kernel. Ini bisa berupa apa saja mulai dari membuka file di file manager atau mengirim pesan Binder di latar belakang. Karena panggilan sistem ini begitu banyak digunakan, dalam sekejap telah menjadi cara yang umum bagi penyerang menargetkan kernel untuk dicari kelemahannya.
Google berharap dapat meningkatkan sistem keamanan dengan diperkenalkannya seccomp dalam update yang akan datang di Android O. Seccomp adalah fitur Linux yang memungkinkan OS membuat sejumlah panggilan sistem yang sama sekali tidak dapat diakses oleh perangkat lunak aplikasi. Hal ini meningkatkan keamanan karena alih-alih mengisolasi dan mengurangi proses, panggilan sistem ini nantinya tidak dapat diakses. Oleh karena itu, aplikasi yang berbahaya tidak dapat memanfaatkan lubang keamanan ini, sehingga menghasilkan Android yang lebih aman.
Jadi update Android O yang akan datang akan mencakup satu filter seccomp tunggal yang telah terinstal ke zigot (ini adalah proses dimana semua aplikasi Android diturunkan). Hal ini memungkinkan penerapan baru seccomp untuk tidak memiliki dampak negatif pada aplikasi yang ada sambil tetap menambahkan beberapa perlindungan tambahan ke perangkat. Secara khusus, filter ini akan memblokir syscalls tertentu (seperti swapon/swapoff), yang sebelumnya telah digunakan dalam sejumlah serangan keamanan.
Posts
No comments:
Post a Comment