В Android Oreo будут добавлены функции безопасности ядра Linux.

Google сообщила о четырех основных функциях, улучшающихработу ядра, которые его инженеры перенесли из Linux в Android.

85% уязвимостей ядра в Android вызваны ошибками в драйверах поставщиков оборудования. В прошлом году ошибки ядра составляли более трети всех ошибок безопасности для Android.

Новая защита ядра также должна помочь разработчикам, которые отвечают за создание драйверов для устройств Android, обнаружить ошибки безопасности ядра перед релизом.

Android Oreo — это первый версия Android со встроенной дополнительной защитой рандомизации адресного пространства ядра (KASLR). Функционал доступен для ядра Android 4.4 и более поздних версий.

KASLR помогает уменьшить риск использования уязвимостей ядра путем рандомизации местоположения, в котором размещаетсякод ядра при каждом новом запуске. Например, дляARM64 добавляется 13-25 бит энтропии в зависимости от конфигурации памяти устройства, что затрудняет повторное использование кода.

Google также перенесла из Linux 4.8 функцию «hardened usercopy» для защиты пользовательских функций, которые ядро ​​использует для передачи данных между пользовательским пространством в память пространства ядра. Функция безопасности добавляет проверку границ для пользовательских функций копирования. Почти половина уязвимостей ядра Android с 2014 года была вызвана отсутствием или некорректной проверкой границ.

В Android Oreo также будет представлена реализация«Privileged Access Never emulation», которая помогает предотвратить прямой доступ ядра к памяти пользовательского пространства.

В качестве еще одноймеры безопасности начиная с Android 3.18. (Linux 4.6) память ядра после инициализации будет доступна только для чтения.

Выход Android Oreo ожидается осенью этого года.