Google reforça sistema de segurança do novo Android com software da NSA

O Android 4.3 Jelly Bean, apresentado pelo Google na última semana, ganhou diversas melhorias destinadas a reforçar a segurança do sistema operacional, principalmente, para seu uso em empresas e outras organizações de grande porte. A mudança mais significativa foi a introdução de uma extensão de segurança conhecida como SELinux (Security-Enhaced Linux). As informações são do Ars Technica.

Desde o lançamento do Android, os aplicativos têm sido executados dentro de uma "sandbox" que restringe os dados que eles podem acessar e isola o código que pode ser executado a partir de outros aplicativos e do sistema operacional como um todo. Construído em um esquema tradicional Unix, a "sandbox" do Android impede o furto de senhas do usuário por um aplicativo não autorizado, que o usuário foi levado a instalar ou por um aplicativo legítimo que foi sequestrado por um hacker.

Originalmente desenvolvido por programadores da Agência Nacional de Segurança (NSA) dos Estados Unidos, o SELinux impõe uma série de políticas de acesso mais refinadas. Entre diversas opções, a extensão permite a criação de vários níveis de confiança para cada aplicativo e determina que tipos de dados cada aplicativo pode acessar dentro do seu domínio confinado.

"O SELinux ajudará a reduzir um pouco dos ataques nos dispositivos Android mais modernos", afirmou Jon Oberheide, CTO da Duo Security e especialista em segurança de smartphones. Oberheide ressalta que tudo dependerá da implementação específica do SELinux no Android e as políticas que ele define. Em desktops e servidores, as extensões muitas vezes não conseguem evitar hacks que exploram falhas do kernel, mas este deve ser um dos menores problemas para o Android.

Outra novidade no quesito segurança apresentada no Android 4.3 é uma forma mais robusta de armazenamento de credenciais criptografadas, que são usadas para acessar informações e recursos sensíveis. Isso significa mudanças no Android Keychain, que armazena certificados digitais usados para acessar rede Wi-Fi e redes virtuais privadas por empresas e órgãos governamentais.

"Com as melhorias no keychain, as chaves de todo o sistema passarão a se conectar a uma raiz baseada no hardware dos dispositivos de processamento de confiança que suportam isso", disse Pau Oliva Fora, engenheiro sênior de segurança móvel da viaForensics. "O telefone precisa ter um elemento de segurança, como um Trusted Platform Module, de modo que as chaves privadas não podem ser roubadas, mesmo que o telefone esteja enraizado e o atacante tenha acesso ao sistema por completo".

Novidades no Android Keystore, um recurso semelhante que também armazena credenciais, permite aos usuários criar chaves que podem ser acessadas e usadas por um único aplicativo. Segundo a descrição da versão 4.3 da plataforma, "os aplicativos podem criar ou armazenar chaves privadas que não podem ser vistas ou usadas por outros aplicativos e podem ser adicionadas à Keystore sem qualquer interação com o usuário".

O novo Android também possui a capacidade de criar perfis de usuários secundários que implementam restrições de granulação finas, ou seja, cada perfil terá seu próprio espaço de armazenamento local e isolado, com telas iniciais, widgets e configurações. Os perfis são criados com base no meio ambiente desenvolvido pelo próprio usuário do smartphone ou tablet, com seus aplicativos e configurações.

Além disso, o Android 4.3 também traz a capacidade dos aplicativos configurarem as credenciais de Wi-Fi com base em pontos WPA2 e autenticação de protocolos de extensão, ambos usados para tornar as redes Wi-Fi mais seguras. O Android irá reduzir os ataques à superfície alterando a partição do sistema, assim o aparelho não poderá ter sua segurança comprometida por deficiências nos chamados programas setuid.