Компания Google объявила о значительном расширении инициативы Binary Transparency, направленной на подтверждение подлинности программного обеспечения для устройств на базе Android. Ранее этот механизм работал только для прошивок смартфонов Pixel, теперь же под защиту попадают фирменные приложения Google и компоненты обновления системы Mainline.
Безопасность программных продуктов
Основная задача проекта — гарантировать, что пользователь устанавливает именно то программное обеспечение, которое было официально выпущено и одобрено разработчиком. Несмотря на использование цифровых подписей, существует теоретический риск компрометации ключей доступа, что может позволить злоумышленникам внедрить вредоносный код в официальные обновления. Внедрение технологии, основанной на принципах блокчейна, создает публичный и неизменяемый реестр всех легитимных релизов.
Принципы работы системы
В основе системы лежит публично доступный реестр, где фиксируются все официальные версии приложений и обновлений модулей Mainline. После внесения записи в этот лог ее невозможно удалить или изменить, что обеспечивает прозрачную историю авторизованных релизов.
- Исключение неофициальных версий: в реестр попадают только финальные релизы, что защищает пользователей от установки уязвимых тестовых сборок или альфа-версий, которые могут быть ошибочно приняты за стабильное ПО.
- Защита от подмены: инструмент позволяет проверить, что запущенный файл является официальным продуктом компании, а не модифицированной версией с установленным «бэкдором».
- Регулярное отслеживание: так как приложения и модули Mainline получают обновления чаще, чем прошивки устройств, новый механизм обеспечивает актуальную защиту наиболее критических компонентов системы.
Обновленная система начала полноценное функционирование в мае текущего года. С этого момента каждый официально опубликованный программный продукт Google для ОС Android автоматически вносится в реестр Binary Transparency, предоставляя пользователям и исследователям безопасности дополнительный уровень контроля над целостностью системы.
