Android Oreo добавляет требования ядра Linux, дебютирует Project Treble

[Обновлено: 11:41 AM]. Поскольку Android 8.0 запускает план обновления «Project Treble», все новые устройства Android 8.0 должны работать под управлением Linux 4.4 или более поздней версии.
Плюс: Oreo и Linux 4.13 повышают безопасность.

Ядро Linux продолжает добавлять средства защиты, поэтому разработчикам не нужно создавать их самостоятельно.
В результате одним из первых шагов, которые эксперты по безопасности рекомендуют для защиты от угроз вредоносного ПО встроенных Linux, является работа с последним возможным выпуском ядра, а затем регулярное обновление полевых устройств.
Теперь, когда Android становится длиннее - это было девять лет назад в этом месяце, когда Сергей Брин и Ларри Пейдж на роликах вышли на сцену, чтобы объявить о дебюте флагманского телефона HTC G1 - все больше и больше устройств Android подвергаются атакам из-за современные ядра Linux.
Чтобы решить эту проблему, прежде чем она добавит к серьезной проблеме Android с вредоносными программами, созданными из мошеннических или незащищенных приложений, Google объявил о новых требованиях в Android 8.0 («Oreo») для использования ядер Linux не старше ядра 4.4.


Новые функции в Android Oreo: картинка в картинке (слева) и точки уведомлений на значках

(нажмите на картинку, чтобы увеличить)

Новые требования, которые были выявлены после запуска Android 8.0 на прошлой неделе, предназначены для поддержки технологии Project Treble для ускорения обновления прошивки.
Oreo также поддержал несколько функций по усилению защиты ядра от вышестоящих ядер Linux.
В ближайшие годы Google вполне может воспользоваться улучшениями безопасности, встроенными в выпуск Linux 4.13 на этой неделе - 13-й версии ядра 4.x, в котором обновлена ​​поддержка SMB и добавлена ​​поддержка безопасности транспортного уровня (см. Ниже).

Требования к ядру Android Oreo и Project Treble

Первые минимальные требования Google к ядру Linux для Android были опубликованы на прошлой неделе на странице Android Source и обнародованы Дагом Линчем на XDA-Developers .
По словам Google, любой новый SoC, который поставляется в 2017 году или позже и появится на устройстве Android 8.0, должен иметь ядро ​​Linux 4.4 или выше.
Продукты на основе Oreo с более старыми SoC должны начинаться с Linux 3.18 или выше, что щедро, учитывая, что ядро ​​3.18 занесено в kernel.org как EOL.

Нет требований к последним ядрам Linux на старых устройствах, которые обновляются до Oreo.
Кроме того, код Android Open Source Project (AOSP) для Oreo доступен без каких-либо требований для тех, кому не нужен брендинг Android и доступ к Службам Google.

На своей странице требований Google отмечает: «Независимо от даты запуска все SoC с запусками устройств на Android O остаются подверженными изменениям ядра, необходимым для включения Treble». Здесь Google ссылается на Project Treble , который официально дебютирует в Oreo.
Эта модульность Android призвана добавить некоторое разделение между прошивкой более низкого уровня для конкретного устройства, написанной производителями чипов, и основной платформой ОС.


Концептуальная схема Project Treble, показывающая предшествующий процесс разработки (слева) и процесс Project Treble (справа)

(нажмите на картинку, чтобы увеличить)

Project Treble реализован с помощью нового интерфейса поставщика, который проверен с помощью Vendor Test Suite (VTS).
Эти инструменты дают производителям кремния более подробные спецификации требований для загрузки новой версии Android, чтобы ускорить тестирование.

Что еще более важно, поставщики устройств теперь могут обновлять основную часть платформы Android, не дожидаясь, пока поставщики SoC обновят свой код более низкого уровня.
Это должно привести к более быстрым обновлениям программного обеспечения Android для клиентов.
Дело в том, что код Project Treble включает в себя реструктуризацию низкоуровневых аппаратно-зависимых драйверов, которые включают расширенную поддержку SoC, поэтому, скорее всего, потребуется несколько лет, прежде чем это повлияет на время обновления ОС на большинстве устройств Android.

Android 8.0 добавляет усиление ядра Linux

В последних ядрах Linux добавлены функции усиления защиты ядра, чтобы не отставать от все более изощренных схем вредоносных программ.
Как было показано в блоге разработчиков Android , Android 8.0 поддерживает четыре из этих функций от вышестоящих ядер Linux, начиная с Linux 4.4 до 4.8.

Средства защиты ядра должны помогать разработчикам создавать драйверы оборудования Android, чтобы легче обнаруживать ошибки безопасности ядра.
Около 85 процентов уязвимостей ядра в Android вызваны ошибками в драйверах поставщиков, что, по оценкам Google, составило треть ошибок системы безопасности Android в 2016 году.

Ключевым улучшением является рандомизация разметки адресного пространства ядра Linux 4.4 (KASLR), которая рандомизирует расположение, в котором код ядра загружается при каждой загрузке.
KASLR был перенесен в Linux 4.4 или более поздние версии ядра, работающие в Android, а остальные три функции перенесены в Linux 3.18.

Oreo также реализует схему «усиленной пользовательской копии» в Linux 4.8, которая защищает функции пользовательской копии, которые помогают передавать данные между пользовательским пространством и памятью пространства ядра.
Эмуляция «Privileged Access Never» (PAN), заимствованная из кода ARM64 в Linux 4.10, помогает предотвратить прямой доступ 64-битных ядер ARM к памяти пространства пользователя.
Наконец, существует функция защиты Linux 4.6 под названием «Память только для чтения после инициализации», которая ограничивает область памяти режимом только для чтения после инициализации ядра, чтобы уменьшить поверхность атаки ядра.


Гугл игры

Защитить логотип

(щелкните изображение для

анимационная версия)

Помимо этих защит ядра, безопасность приложения Oreo получит выгоду от службы Google Play Protect, которая распространяется на Android 8.0 и более ранние сборки.
Google Play Protect сканирует входящие и установленные приложения на наличие вредоносных программ и отправляет уведомления, если обнаружит что-либо подозрительное.

Помимо улучшений безопасности, Android 8.0 предлагает улучшения производительности, включая ускорение загрузки в 2,5 раза и более плавное управление фоновой активностью.
Новая версия заимствовала видео-режим «картинка в картинке» (PIP) от Android TV и внесла улучшения в функции автозаполнения, смайлики, время автономной работы и звук Bluetooth.

В Oreo значительно переработан дизайн уведомлений, в том числе добавлены настраиваемые пользователем каналы уведомлений для более удобного управления.
Другие изменения уведомлений включают режим повтора для временного удержания уведомлений в безвыходном положении, а также добавление «точек» на значках средства запуска приложений, чтобы показать, какие уведомления не были обработаны.

Linux 4.13 становится жестким с SMB

Выпуск ядра Linux 4.13 на этой неделе расширяет тенденцию добавления функциональности безопасности.
Согласно рассказу Пола Брауна на Linux.com , самое большое изменение касается протокола доступа к сети SMB (Server Message Block).
Linux 4.13 переключается по умолчанию на SMB3 вместо устаревшего уязвимого SMB1.
В начале этого года широкое использование SMB1 на серверах Linux способствовало расширению вымогателей WannaCry.

В Linux 4.13 также добавлена ​​поддержка безопасности транспортного уровня (TLS), преемника Secure Sockets Layer (SSL).
TLS намного более безопасен, чем SSL, но потребляет больше ресурсов процессора, поэтому его добавление в ядро ​​должно ускорить процесс.

Другие улучшения в Linux 4.13 включают новую поддержку вывода HDMI Stereo 3D, а также поддержку неблокирующих операций буферизованного ввода-вывода для улучшения асинхронного ввода-вывода.
Файловая система EXT4 была изменена, чтобы позволить директории EXT4 масштабироваться до 2 миллиардов записей.

Также есть поддержка будущих процессоров Intel Coffee Lake (8th Gen Core), которые заменит нынешнее Kaby Lake при сохранении той же основы 14 нм.
В Linux 4.13 также добавлена ​​подготовка к 10-нм архитектуре Intel Cannon Lake следующего поколения, которая должна появиться позже в 2018 году. Наконец, появилась новая встроенная поддержка нескольких хакерских плат ARM, включая BeagleBone Blue, NanoPi M1 Plus, NanoPi Neo2, LicheePi Zero. , Orange Pi Prime, Orange Pi Zero Plus 2 и SoPine SoM.

Эта статья защищена авторским правом © 2017 Linux.com и была первоначально опубликована здесь .
Он был воспроизведен этим сайтом с разрешения его владельца.
Пожалуйста, посетите Linux.com для получения последних новостей и статей о Linux и open source.