Android 4.0 получил ASLR-защиту от хакерских атак
Новейшая версия мобильной операционной системы Google Android получила функцию, которая поможет ей эффективно защищаться от хакерских атак, основанных на использовании ошибок в коде мобильных приложений и самой платформы. ОС Android 4.0 Ice Cream Sandwich использует технологию ASLR (Address Space Layout Randomization).
Технология ASLR изменяет расположение объектов в адресном пространстве процесса. В результате атакующим становится намного сложнее запускать выполнение вредоносных кодов даже в том случае, если им точно известны некоторые уязвимости системы. Хакеры просто не имеют возможности запустить свой код в нужном адресном пространстве, поскольку оно находится в постоянном движении.
Одной из ранних реализаций ASLR стала операционная система OpenBSD, сегодня в ее дистрибутивах данная технология включена по умолчанию. В системах семейства Linux функция в упрощенном варианте присутствует с 2005 года, когда вышла версия ядра 2.6.12 в отдельных дистрибутивах с пометкой «Hardened». Кроме этого в новых версиях Ubuntu технология ASLR присутствует по умолчанию. Системы семейства Windows получили поддержку ASLR в 2007 году — ее поддерживают Windows Vista (2007), Windows 7, Windows Server 2008 и Windows Server 2008 R2. Аналог данной функции присутствует в системе Mac OS X 10.5 образца 2007 года, о ее наличии заявлено и в мобильной iOS.
В блоге Android Developers говорится: «Android 4.0 теперь обеспечивает случайное распределение адресного пространства, чтобы защитить систему и мобильные приложения третьих лиц от атак». В ОС Ice Cream Sandwich была также усовершенствована система управления частными ключами, которые используются для шифрования данных и аутентификации веб-сайтов, а это значит, что «любое приложение может использовать ключевой API для установки и хранения пользовательских сертификатов безопасности». Вместе с тем, для обеспечения дополнительной надежности особо сознательным пользователям рекомендуется пользоваться дополнительным антивирусным ПО от сторонних разработчиков.