Model de seguretat d'Android

El model de seguretat d'Android és complex i contempla moltes vessants. En aquest article es resumeixen les principals mesures de seguretat que proporciona a nivell de sistema operatiu i a nivell d'aplicació.

Seguretat del sistema operatiu

El nucli d'Android es basa en branques de suport a llarg termini (LTS) del nucli Linux. En conseqüència, la seguretat d'Android es fonamenta en les següents funcions clau de seguretat del nucli de Linux:

• Aïllament de processos (Sandboxing)
• Model de permisos basat en l’usuari
• Comunicació entre processos (IPC)

Sandboxing

La plataforma Android utilitza el model de permisos basat en l’usuari de Linux per aïllar els recursos de les aplicacions. Aquest procés és anomenat sandbox de l’aplicació, i té per objectiu evitar que programes externs maliciosos interactuïn amb aplicacions protegides i que les vulnerabilitats exposades per una aplicació no es puguin explotar per accedir al sistema.

La protecció basada en l'usuari de Linux garanteix una comunicació segura entre aplicacions. Android utilitza el concepte d'ID d'usuari (UID) per gestionar el control d'accés de les aplicacions, no dels usuaris del sistema. Està prohibit que les aplicacions accedeixin a dades d'altres aplicacions o funcions del sistema sense els permisos necessaris.

L'aplicació està aïllada a nivell del nucli, per la qual cosa es garanteix que l'aplicació està aïllada de la resta del sistema.

Rooting

En un sistema Linux, root és el nom del compte que té accés a tots els fitxers i ordres. Com que està basat en Linux, Android també té aquest concepte.

Per motius de seguretat, el propietari del dispositiu NO és root, doncs si ho fos les aplicacions malicioses podrien obtenir més fàcilment el control de tot el sistema enganyant els usuaris perquè els concedissin els mateixos permisos.

Per superar les limitacions del model sandbox, l'usuari pot fer root al dispositiu. Ara bé, el rooteig no és recomanable, doncs després de rootejar ja no podem confiar en les mesures de seguretat aplicades pel sistema operatiu. A més, el rooteig pot fer que la garantia del dispositiu quedi anul·lada.

Verified Boot

L’arrencada verificada és un procés que garanteix que el dispositiu arrenqui el sistema operatiu original i el codi del sistema relacionat, en lloc d'una còpia maliciosa.

De manera similar a la tecnologia Blockchain, el Verified Boot estableix una cadena de confiança entre els múltiples components que poden ser alterats, començant pel maquinari fins a les particions verificades. Si s'altera algun dels components de la cadena, tota la cadena s'invalida i s'avisa l'usuari. L'arrel de confiança és una clau criptogràfica utilitzada per signar la còpia d'Android que s'executa al dispositiu. Aquesta clau forma part de la verificació d'arrencada.

Android ofereix contínuament actualitzacions de seguretat menors juntament amb les principals que venen amb cada nova versió d'Android. Les actualitzacions menors solen «parxejar» les vulnerabilitats descobertes. Un atacant podria intentar rebaixar la versió d'Android que s'executa al dispositiu per explotar les vulnerabilitats aplicades. Aquest tipus d'atacs es mitiga amb la protecció contra retrocessos. Aquesta protecció forma part del procés d'arrencada verificada.

Seguretat d'aplicació

Els aspectes més rellevants de seguretat a nivell d'aplicació són els següents:

Permisos

En Android, la privacitat de l’usuari està protegida mitjançant els permisos. Les aplicacions en Android requereixen el consentiment de l’usuari per a realitzar accions que puguin tenir impacte en altres, en el sistema operatiu o en el propi usuari.

Els permisos necessaris de cada aplicació estan declarats en el fitxer AndroidManifest.xml. Cada permís s’especifica amb la seva pròpia etiqueta uses-permission.

Alguns permisos es concedeixen a l’aplicació per defecte quan s’especifiquen. Tanmateix, hi ha una categoria de permisos que requereix un consentiment especial de l'usuari, com per exemple l'accés a la càmera o a la geolocalització.

Quan una aplicació demana un permís, l'usuari rep un diàleg. Aquests permisos solen sol·licitar-se quan cal la funcionalitat corresponent.