Platformun geniş kabul görmesi ve açık kaynak yapısı nedeniyle Android cihazlar bilgisayar korsanları arasında popülerdir.
Ancak tüm dünyada 2,5 milyarın üzerinde aktif Android cihazıyla büyük bir saldırı yüzeyine sahip.
Ayrıca, farklı donanım satıcılarından ve gecikmiş yazılım güncellemelerinden oluşan parçalanmış ekosistemi nedeniyle, güvenlik açığı düzeltme eklerinin hızlı bir şekilde uygulanması söz konusu olduğunda da zorluklar ortaya çıkarmaktadır.
Kötü amaçlı yazılım dağıtımı, gözetim ve yetkisiz mali kazanç veya diğer kötü niyetli amaçlar, siber suçluların güvenlikteki bu boşluklardan nasıl yararlandığına dair bazı örneklerdir.
Google yakın zamanda Android cihaz yazılımını ve ötesini güçlendirmek için Çekirdek Adres Temizleyiciyi (KASan) tanıttı.
Android Donanım Yazılımı ve Ötesi
KASan (Çekirdek Adres Temizleyici), ürün yazılımı hedefleri arasında geniş bir uygulanabilirliğe sahiptir. KASan özellikli yapıların test ve bulanıklaştırmaya dahil edilmesi, kullanıcı cihazlarına dağıtılmadan önce bellek bozulması güvenlik açıklarını ve kararlılık sorunlarını proaktif olarak belirleyebilir.
Ücretsiz CISO'nun Bir Sonraki İhlalden Kaçınma Kılavuzunu İndirin
SOC Ekibi, Ağ Güvenliği veya Güvenlik Yöneticisi veya CSO'dan mısınız? Bulut tabanlı, bütünleşik ağ güvenliğinin güvenliği nasıl iyileştirdiğini ve TCO'yu nasıl azalttığını öğrenmek için Perimeter Kılavuzunu indirin.
- Sıfır güven stratejisinin önemini anlayın
- Ağ güvenliği Kontrol Listesini tamamlayın
- Eski bir VPN'e güvenmenin neden artık geçerli bir güvenlik stratejisi olmadığını görün
- Bulut tabanlı bir ağ güvenliği çözümüne geçişin nasıl sunulacağına ilişkin öneriler alın
- Birleşik ağ güvenliğinin eski yaklaşımlara göre avantajlarını keşfedin
- Ağ güvenliğini en üst düzeye çıkaran araçları ve teknolojileri keşfedin
Perimeter 81'in bulut tabanlı, birleşik ağ güvenliği platformuyla değişen tehdit ortamına zahmetsizce uyum sağlayın.
Perimeter 81 Ücretsiz PDF Kılavuzunu İndirin
Google, donanım yazılımı hedeflerinde KASan'dan zaten yararlandı ve proaktif güvenlik açığı tespiti yoluyla, bazıları kritik derecede ciddi olan 40'tan fazla bellek güvenliği hatasının keşfedilmesine ve düzeltilmesine yol açtı.
Adres Temizleyici (ASan), çalışma zamanı sırasında sınır dışı, serbest kullanımdan sonra kullanım ve çift serbest hatalar gibi geçersiz bellek erişimi hatalarını tanımlayan bir derleyici enstrümantasyon aracıdır.
Kullanıcı alanı hedefleri için ASan'ı etkinleştirmek -fsanitize=address seçeneğiyle basittir. Ancak arm-none-eabi gibi hiçbir sistem hedefi olmadan oluşturulan çıplak donanım kodu için varsayılan çalışma zamanı desteği yoktur.
-fsanitize=kernel-address seçeneği, Linux çekirdeğinin rutinleri gibi özel KASan çalışma zamanı uygulamaları sağlamak için bir arayüz ortaya çıkarır.
KASan'ın temel fikri, hedef/kaynak bölgelerinin geçerliliğini doğrulamak için yüklemeler, depolar ve bellek kopyalama işlevleri gibi bellek erişim işlemlerini gerçekleştirmektir.
Yalnızca, her baytın sabit boyutlu bir bellek bölgesinin durumunu (tahsis edilmiş, serbest bırakılmış, erişilebilir baytlar) temsil ettiği, gölge bellek alanında izlenen geçerli bölgelere erişime izin verir.
Geçersiz bir erişim tespit edildiğinde KASan ihlali bildirir.
KASan'ın çıplak metal hedefler için etkinleştirilmesi, bellek işlemleri sırasında bölge geçerliliğini kontrol etmek, ihlalleri bildirmek ve kapsanan bölgelerin durumunu izlemek amacıyla gölge belleği yönetmek için enstrümantasyon rutinlerinin uygulanmasını gerektirir.
Aşağıda tüm sıralı adımlardan bahsettik: –
- Düşük gölge belleği
- KASan çalışma zamanını uygulama
- Bellek erişim kontrolü
- Gölge belleği yönetimi
- Küresel değişkenleri kapsama
- Bellek kopyalama işlevleri
- Noreturn fonksiyonları için yanlış pozitiflerden kaçınma
- Kanca yığın bellek ayırma yordamları
KASan'ın çıplak metal kod üzerinde kullanımı için, derleyicinin -fsanitize=kernel-address seçeneği ve gölge belleğin konumunu belirtmek için -asan-mapping-offset, yığını kapsayacak şekilde -asan-stack/globals=1 kullanılmalıdır. /global değişkenler ve -asan-instrumentation-with-call-threshold=0 kod şişmesine karşı kontrollerin ana hatlarını çizmek için.
Ayrıca, Android sistemindeki bellek açıklarına karşı proaktif koruma sağlamak amacıyla Rust'tan (bellek açısından güvenli bir dil) yararlanmak gibi stratejiler de geliştirilmektedir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & ikiitter.