Android 4.4 KitKat introduce il “verified boot”, ROM e root a rischio?

Maestra_bacchettaAndroid 4.4 KitKat, a lungo atteso da tutta la comunità Android, sembra introdurre alcune interessanti ed utili novità tanto quanto problemi e discussioni. Ultima arrivata è la notizia che Google ha integrato all’interno del nuovo sistema operativo il cosiddetto “verified boot” (avvio verificato) che serve a bloccare il malware ma ha effetti potenzialmente devastanti sul modding.

Non si tratta di allarmismo ingiustificato o di sensazionalismo, purtroppo, anche se per il momento la situazione è la stessa di sempre. Il problema sta nel fatto che Google, permigliorare la sicurezza di Android, ha introdotto dm-verity, una funzionalità che consente di verificare che il sistema non sia stato infettato da rootkit.

Cosa sono i rootkit? Come dice il nome stesso, sono malware che si insediano nella radice del sistema e si nascondono. I rootkit tipicamente riescono ad ottenere, con tecniche variegate, accesso come amministratore (utente root nei sistemi UNIX-like e, quindi, anche in Android) al sistema e con questi permessi si installano in zone ad accesso ristretto della memoria. Spesso non è possibile rilevare i rootkit poichè si nascondono sfruttando numerosi escamotage, ma questo non significa che non siano presenti.

Un modo per verificare con assoluta certezza la presenza di un rootkit e rimuoverlo è creare una sorta di “fotografia” (un hash) della memoria ancora “vergine” in maniera tale da poter effettuare dei confronti: se qualcosa non torna rispetto alla “fotografia”, allora il sistema è infetto. Può però essere facilmente ripristinato, poichè è possibile sapere le condizioni del sistema prima della modifica: se io scatto una fotografia ad una stanza e qualcuno sposta un mobile, guardando la fotografia posso riportarlo nella posizione originale. La spiegazione è stata semplificata per permettere a tutti di comprendere, ma rende l’idea di come stiano le cose.

Si tratta di una importante aggiunta che aumenta la sicurezza del sistema, ma compromette la possibilità di effettuare modding: molte delle tecniche per ottenere i permessi di root sono del tutto simili a quelle impiegate dai rootkit e modificano alcuni file di sistema. Inutile dire che con dm-verity questi cambiamenti andrebbero persi e sarebbe quindi molto più difficile, quando non impossibile, ottenere i permessi di root – almeno non in maniera permanente.

Al momento attuale non c’è motivo di allarmarsi. La funzionalità non sarà probabilmente abilitata con l’aggiornamento a KitKat degli attuali terminali, ma potrà essere sfruttata dai produttori in dispositivi futuri. Non ci sono elementi per valutare quale impatto questa nuova funzionalità potrà avere sul modding: se tutti i produttori la vorranno sui loro smartphone e tablet sarà chiaramente un problema, ma se sarà una funzionalità ristretta ai soli dispositivi che necessitano di un elevato grado di sicurezza (come i dispositivi aziendali o governativi) allora sarà la benvenuta.

Sembra quasi un caso – ironico – il fatto che da poche settimane CyanogenMod abbia annunciato il lancio di un proprio modello di business fondato sulle ROM. Non si vogliono fare complottismi alla Adam Kadmon, ma è certamente curioso (e anche divertente, da un certo punto di vista) che Google abbia lanciato questa funzionalità ora. Una bella coincidenza!

Tutto ora è nelle mani dei produttori, a cui spetta l’ultima parola in questo discorso. Saremmo indubbiamente felici se trascurassero dm-verity. Come diceva Benjamin Franklin: coloro i quali sono disposti a sacrificare la propria libertà per ottenere una sicurezza temporanea non meritano né la libertà né la sicurezza.

Via

Annunci

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...