Платформа Android получила функционал ASLR
Платформа Android получила функционал ASLR
Alexander Antipov
Функционал ASLR усложнит процесс эксплуатации уязвимостей мобильной платформы.
Последняя версия мобильной операционной системы Android получила функционал address space layout randomization (ASLR), который выполняет изменение расположения в адресном пространстве процесса важных структур, таких как образ исполняемого файла, активных библиотек и пр. По мнению разработчиков Android, данное новшество усложнит процесс эксплуатации уязвимостей мобильной платформы.
Функционал ASLR уже давно применяется на таких платформах, как Windows, Mac OS X и iOS для минимизации урона, который могут нанести потенциальные атаки. Это происходит путем постоянного изменения расположения загрузки программных компонентов, что усложняет работу эксплоитов, в том числе и для уязвимостей нулевого дня, так как злоумышленникам становится труднее определить область в коде, на которую необходимо направить атаку.
«Android 4.0 предоставляет ASLR для содействия в защите операционной системы и приложений сторонних разработчиков от эксплуатации изъянов управления памятью», - говорится в пресс-релизе команды разработчиков Android.
Также в мобильной платформе от Google было обновлено управление личными ключами, которые используются для шифрования данных и аутентификации web-страниц. «Любое приложение может использовать цепь из ключей API для установки и безопасного хранения пользовательских сертификатов», - говорится в сообщении на блоге компании.
Функционал ASLR уже давно применяется на таких платформах, как Windows, Mac OS X и iOS для минимизации урона, который могут нанести потенциальные атаки. Это происходит путем постоянного изменения расположения загрузки программных компонентов, что усложняет работу эксплоитов, в том числе и для уязвимостей нулевого дня, так как злоумышленникам становится труднее определить область в коде, на которую необходимо направить атаку.
«Android 4.0 предоставляет ASLR для содействия в защите операционной системы и приложений сторонних разработчиков от эксплуатации изъянов управления памятью», - говорится в пресс-релизе команды разработчиков Android.
Также в мобильной платформе от Google было обновлено управление личными ключами, которые используются для шифрования данных и аутентификации web-страниц. «Любое приложение может использовать цепь из ключей API для установки и безопасного хранения пользовательских сертификатов», - говорится в сообщении на блоге компании.