Security-Enhanced Android Dari NSA
• 2 • 328
Proyek SELinux milik National Security Agency mengumumkan rilis pertama SE Android, sistem operasi Android milik Google dengan keamanan yang lebih ketat. SEAndroid mrupakan nama proyek untuk mengidentifikasi dan mencari solusi untuk celah kemanan di Android dan implementasi referensi security enhanced Android. Proyek ini saat ini memfokuskan usaha untuk menjalankan SELinux dengan harapan bisa membatasi kerusakan yang dilakukan oleh aplikasi malware, tetapi kedepan diharapkan bisa lebih dari ini.
dalam sebuah presentasi yang disampaikan pada 2011 Linux Security Summit, Stephen Smalley dari NSA menjelaskan fungsionalitas didalam SEAndroid. Dia menekankan bahwa proyek ini membawa Mandatory Access Control ke kernel Linux milik Android dan bisa membantu sandbox mengisolasi dan mencegah ekskalasi hak akses oleh aplikasi dengan kebijakan tersentral sehingga dapat dianalisis. Meskipun demikian, ini tidak dapat memproteksi dari vulnerabilitas kernel dan miskonfigurasi kebijakan keamanan. Smalley juga mendiskusikan bagaimana cara kerja SEAndroid untuk memproteksi terhadap beberapa eksploit yang sudah dikenal dan bagaimana SEAndroid akan menghentikan mereka dengan cara yang berbeda.
Referensi implementasi SEAndroid saat ini menawarkan pelabelan keamanan per file untuk yaffs2, image filesystem yaffs2 dan ext2 yang diberi label build-time. inter-process communication yang dibuat Binder harus melalui cek hak akses kernel, pelabelan soket servis, file soket dan node device dan pelabelan fleksibel aplikasi dan direktori data aplikasi. Ada bagian kecil SEAndroid di userspace. kebijakan small type enforcement (TE) yang ditulis untuk android digunakan untuk memutuskan apakah sebuah proses dapat mengakses objek tertentu. Seperti halnya dengan SELinux, apapun yang tidak diberi akses secara pasti berarti dilarang untuk mengakses. SEAndroid mampun membuat domain terbatas untuk mengontrol interaksi layanan sistem dan aplikasi dan menggunakan kategori MLS(Multi-Level-Security) untuk melakukan isolasi aplikasi.
SEAndroid tersedia hanya sebagai kode sumber dan dibuat dari cloning repositori git Android Open Source Project (AOSP), kemudian mengaplikasikan modifikasi SE Android dari repositori git proyek ini. Saat ini proyek ini dibuild di Fedora 16, dan juga di Fedora 14 dan 15. Instruksi bagaimana membuat build untuk emulator dan device (secara spesifik Nexus S) dan bagaimana memulai mengembangkan policy terseid dari Wiki Proyek.
Via :