多年来,Google推出了许多安全措施,以挫败Android系统不断演变的威胁。新出现的预装恶意软件问题促使该公司允许用户根据经过验证的公共记录检查他们的操作系统。现在,Pixel 手机和平板电脑用户可以使用Google的 Pixel 二进制透明度来确保他们的固件与可信的安装数据相匹配。该功能的推出是为了应对黑客在Android设备到达用户之前篡改软件的频率不断上升的问题。
安全研究人员最近对可能预装在全球数百万Android设备上的恶意软件敲响了警钟。提供廉价手机、平板电脑或其他产品的供应商可能会使用来源可疑的基于Android系统的固件,从而使黑客能够将恶意代码偷偷植入出厂封存的设备中。黑客还可以入侵制造商通常在产品中预装的应用程序的开发者,最终窃取用户信息或诱骗他们购买昂贵的产品。
数据显示,这一问题主要影响东欧和东南亚的用户。安全分析师观察到,OPPO、一加、Realme 和小米等Android设备品牌都在实施不安全的固件策略。
Google的一个解决方案是"像素二进制透明",该公司在 2021 年首次提到了这一工具,最近又对其进行了更详细的描述。该工具包括一个公共加密日志,其中包含来自官方 Pixel 设备出厂镜像的元数据,该公司将其实现为基于磁贴的Merkle树。高级用户可以将自己的固件镜像与Google的固件镜像进行比较,检查是否有可疑的代码添加。
此外,攻击者要想改变公共日志以适应其受感染的构建而不被检测到,应该是非常困难或不可能的,因为它在密码学上保证仅有附加信息。信息只能添加到记录中,而不能更改或删除。这一概念从根本上类似于区块链。
Google计划不断改进 Pixel 二进制透明度,但它只适用于 Pixel 设备。希望它或类似工具最终能适用于其他Android系统。目前,避免预装恶意软件或被破解的Android系统的最佳方法是购买三星和Google等知名大品牌的硬件,因为它们更有可能执行严格的安全措施。
大多数像素用户可能不需要"二进制透明"功能,因为Google是为有编码经验的用户设计的。该功能是对Android验证启动(Android Verified Boot)功能的补充,后者是一种更易于使用的安全措施,可检查设备上执行的所有代码是否来自可信来源。