Para ser más seguro, Google ha anunciado que la nueva versión de su sistema operativo móvil va a coger algunas funciones del kernel de Linux, tales como una mejor protección de la memoria y otros cambios que buscan reducir las áreas susceptibles de ser atacadas. Android, a pesar de ser un sistema operativo distinto de GNU Linux, utiliza también el kernel de Linux.

Mayor protección de la memoria

Esta función del kernel de Linux es tan importante, que también va a ser portada a versiones anteriores del sistema, llegando hasta Android 4.1. La mayoría de vulnerabilidades se explotan a través de poder ejecutarlas en la memoria del sistema operativo. Se añadirán, en concreto, dos nuevas opciones de configuración: CONFIG_DEBUG_RODATA y CONFIG_CPU_SW_DOMAIN_PAN.

La primera permitirá a los desarrolladores controlar qué segmentos de la memoria son modificables y ejecutables. Con esto, los desarrolladores pueden limitar la memoria a la que pueden acceder las aplicaciones, y reducir la memoria de la que disponen los posibles atacantes en el caso de que la aplicación sea maliciosa.

La segunda opción limita cuánto puede acceder el kernel al espacio de usuario. Los exploits normalmente toman primero el control de la memoria del espacio del usuario, y esperan a que interactúe con el kernel para acceder a ese espacio de memoria. Con esto, se limita la posibilidad de que código malicioso acabe llegando al kernel, lo cual supondría exponer el móvil al control total de un atacante.

Reducir áreas susceptibles de ser atacadas

Para conseguir esto, los desarrolladores de Google han hecho tres cosas.

Android-1.jpg

Primero, han quitado el acceso por defecto al modo de depuración del kernel, que aunque sea una incomodidad para los desarrolladores, evita que los usuarios normales puedan estar expuestos a posibles ataques.

Segundo, han obligado a que se utilice el componente seccomp, con el objetivo de reducir posibles ataques directos al kernel. Esta función estaba disponible en versiones anteriores de Android, pero a partir de Android 7.0 Nougat será obligatorio para todos los dispositivos.

Tercero, han restringido el acceso a los comandos IOCTL, con el objetivo de reducir posibles ataques a los drivers.

Para disfrutar de todas estas novedades, tendremos que esperar hasta otoño, que es cuando Android 7.0 Nougat estará disponible, con estos y muchos más elementos de seguridad.

 

Fuente: Google Blog | adslzone