Потеря популярного инструмента 2FA ставит заботящуюся о безопасности GrapheneOS в парадокс

Потеря популярного инструмента 2FA ставит заботящуюся о безопасности GrapheneOS в парадокс


Потеря популярного инструмента 2FA ставит заботящуюся о безопасности GrapheneOS в парадокс

Как технический энтузиаст и давний пользователь Android, который ценит безопасность превыше всего, я не могу не чувствовать разочарование по поводу текущего положения дел в отношении пользовательских операционных систем Android, таких как GrapheneOS. Хотя эти ОС призваны обеспечить расширенные функции безопасности, они часто сталкиваются с блокировками со стороны популярных приложений, которые для проверки полагаются на целостность Google Play.


«Если это не официальная ОС, мы должны предположить, что она плохая».

Шон Уилден, руководитель отдела аппаратной безопасности Android, объяснил, что использование специальных операционных систем Android, таких как GrapheneOS, сопряжено с проблемой: один известный менеджер двухфакторной аутентификации, Authy, несовместим с этими телефонами. Несмотря на расширенные функции безопасности, пользователи GrapheneOS столкнулись с проблемой, из-за которой Authy не работает на их устройствах.

«Уилден признал, что наказывать пользователей нестандартных ОС нежелательно, но, к сожалению, в настоящее время нет жизнеспособной альтернативы. Он объяснил: «Play Integrity не может точно определить, полностью ли конкретная пользовательская ОС обходит систему безопасности Android».

Play Integrity, ранее известная как SafetyNet Attestation, по сути, позволяет приложениям проверять, запрашивало ли устройство Android разрешения, выходящие за рамки стандартных моделей Google, или ему был предоставлен root-доступ. Рутинг нежелателен для создателей некоторых приложений, которые связаны с банковскими транзакциями, цифровыми платежами, конкурентными играми и контентом, защищенным авторским правом.

Существуют различные мотивы, помимо нечестности и закулисных методов, которые могут побудить кого-то настроить свое устройство Android. Однако для того, чтобы устройство Android могло гарантировать свою безопасность, оно должно взаимодействовать с серверами Google через API сервисов Google Play и иметь аутентифицированный загрузчик, подпись ПЗУ и ядро. GrapheneOS, как и большинство настраиваемых ПЗУ Android, не включает сервисы Google Play в свою первоначальную настройку, но позволяет пользователям установить безопасную версию, если они захотят это сделать.

По сути, Уилден предположил, что создатели ПЗУ потенциально могут подтвердить свой некриминальный статус в Google, что может быть достигнуто путем переговоров о прохождении пакета тестов на совместимость и последующем формировании доверительных отношений. Однако он подчеркнул, что этот процесс требует значительных усилий с обеих сторон, даже с привлечением юридических групп. Более того, он упомянул, что, хотя его команда готова помочь, обеспечение поддержки высокого уровня может быть сложной задачей, поскольку моддеры представляют чрезвычайно небольшую часть пользовательской базы.

Официальный аккаунт GrapheneOS X был менее обнадеживающим. Он отметил, что другое пользовательское ПЗУ, LineageOS, отключило проверенную загрузку при установке и «откатывает безопасность множеством других способов», способствуя «заблуждению о том, что каждая альтернативная ОС откатывает безопасность и не соответствует производственному качеству». Типичная установка LineageOS, как и большинство пользовательских ПЗУ, отключает проверенную загрузку, хотя ее можно включить повторно, но это рискованно и сложно. На сайте GrapheneOS есть страница, посвященная позиции и критике модели аттестации Google для Android.

Как энтузиаст, я обратился к Google, GrapheneOS и Authy (через их владельца Twilio) за отзывами. На данный момент кажется, что простого решения не существует, если только одна из них не готова внести существенные изменения в свои воспринимаемые стандарты безопасности.

Смотрите также

2024-07-30 19:54