MWC 2018
2018
Computex
IFA 2018
Учитывая, какие объёмы личной информации современный человек доверяет собственному смартфону, приходится прилагать немалые усилия, чтобы обеспечить безопасность данных на устройстве. Один из лучших способов это сделать — устанавливать приложения только из надёжных источников, и в Google решили для этого заручиться поддержкой технологии блокчейна.
Источник изображения: blog.google
Традиционно для проверки аутентичности ПО использовались технологии электронной подписи — они призваны гарантировать, что приложения происходят от подлинного источника. Но и это не гарантирует полной защиты: имеющий доступ к ключам подписи злоумышленник теоретически сохраняет возможность нанести ущерб. Поэтому в Google решили прибегнуть к технологии публичного реестра Binary Transparency — своеобразного аналога блокчейна.
Технология Binary Transparency дебютировала несколько лет назад и была призвана служить подтверждением подлинности образов прошивки для смартфонов Google Pixel. Идея состоит в создании общедоступных записей об официальных выпусках прошивки Pixel по образцу блокчейна. При загрузке смартфон проверяет цифровую подпись прошивки, а с помощью этой технологии рядовой пользователь может самостоятельно убедиться, что пользуется версией, которую сама Google зарегистрировала как официальную, а не взломанным вариантом, который какой-нибудь злонамеренный разработчик снабдил бэкдором.
Это решение будет работать и дальше, и в Google решили добавить два компонента: Binary Transparency для собственных приложений Google и для модулей основной ветки Android. Они обновляются чаще, чем прошивка целиком, и для пользователей не менее важно доверять этим приложениям. Как и раньше, существует общедоступный реестр по образцу блокчейна, в который Google добавляет записи обо всех официальных обновлениях приложений и системных компонентов. После внесения записи в этот реестр отменить её нельзя, что обеспечивает работу журнала одобренных Google выпусков.
В реестр попадут только официальные релизы. Это важно, потому что, например, предназначенная для внутреннего употребления альфа-версия приложения может быть подписана обычной цифровой подписью как разработанная Google, но содержать уязвимости, которые можно эксплуатировать. Злоумышленник может попытаться обманом заставить наивного пользователя установить такое приложение, — но теперь его можно проверить и убедиться, что эта версия не получила одобрения, и запускать её не следует. Обновлённая система начала работать с мая, и в дальнейшем Google будет вести учёт каждого официально публикуемого приложения и системного компонента.
Источник:
