Мы позволили OEM-производителям создавать собственные журналы прозрачности, чтобы помочь пользователям проверять операционную систему или встроенное ПО, работающее на их устройствах. Например, Google публикует журнал двоичной прозрачности пикселей, чтобы повысить доверие к заводским изображениям Pixel. Мы призываем пользователей использовать двоичную прозрачность, а других OEM-производителей — создавать собственный журнал прозрачности.
Остальная часть этой страницы содержит обзор того, как Google применяет двоичную прозрачность к устройствам Android Pixel.
Если вы хотите использовать прошивку Pixel с максимальной степенью уверенности, ознакомьтесь с процессом проверки на странице Полная проверка двоичной прозрачности пикселей .
Если вы хотите ознакомиться с концепциями двоичной прозрачности пикселей на своем устройстве Pixel, см. процесс проверки на странице технических сведений о двоичной прозрачности пикселей .
Модель угроз
Системы прозрачности могут использоваться для обнаружения и, таким образом, сдерживания атак на цепочки поставок. Давайте рассмотрим несколько примеров:
Предположим, злоумышленник злонамеренно модифицирует изображение Pixel и даже умудряется подписать его ключом, принадлежащим Google. Любой, кто получит вредоносное изображение, может запросить журнал двоичной прозрачности, чтобы проверить подлинность изображения. Пользователь обнаружит, что Google не добавил соответствующие метаданные изображения в журнал, и будет знать, что нельзя доверять скомпрометированному изображению. Поскольку публикация в журнале — это отдельный процесс от процесса выпуска с подписанием, это поднимает планку для злоумышленника, выходящую за рамки простой компрометации ключа. Кроме того, внешним независимым сторонам рекомендуется следить за целостностью журнала, поскольку он является общедоступным. Эти стороны могут подтвердить свойство журнала «только добавление» и сообщить о любых несанкционированных изменениях.
Проект Android с открытым исходным кодом обширен и опирается на зависимости кода, как и любое другое современное программное обеспечение. К сожалению, это может послужить вектором атаки, если злоумышленник сможет внедрить бэкдор в одну из зависимостей кода. Прежде чем выпустить версию Pixel и опубликовать ее в журнале двоичной прозрачности, Google проводит аудит кода. Таким образом, если владелец Pixel подтвердит, что его изображение находится в журнале, он может транзитивно полагать, что оно прошло проверки безопасности и соответствия требованиям.
Наконец, само существование этой системы и дополнительная возможность обнаружения атак препятствуют вредоносной активности. Если изображение скомпрометировано, но пользователи доверяют только тем, которые указаны в журнале, скомпрометированное изображение необходимо опубликовать. Это увеличивает вероятность обнаружения существования скомпрометированного образа и принятия мер по прекращению его распространения.
Модель заявителя
Модель претендента — это структура, используемая для определения ролей и артефактов в проверяемой системе. В случае с Pixel Binary Transparency мы заявляем, что заводские изображения, загруженные с веб-сайта заводских изображений Android, являются официальными заводскими изображениями Google/Pixel.
- Заявить FactoryImage : (Я, Google, утверждаю, что
$factoryImage_instanceпредназначен для$deviceNameOrSku), где:-
$factoryImage_instance— это все заводские образы, начиная с Pixel 6, которые можно загрузить с официального сайта заводских изображений Android. -
$deviceNameOrSkuможно определить, перейдя в «Настройки->О телефоне->Имя устройства» на устройстве пользователя. Соответствующий$deviceNameOrSkuможно использовать для поиска правильного$factoryImage_instanceна упомянутом ранее веб-сайте.
-
Содержимое журнала
Когда Google выпускает новый заводской образ для телефонов Pixel 6 или новее, он добавляет соответствующую запись в журнал двоичной прозрачности пикселей .
Запись содержит две части метаданных изображения:
- Отпечаток сборки заводского образа. Эта уникальная, удобочитаемая строка соответствует конкретной реализации и версии Android, что позволяет выполнять настройки, специфичные для прошивки.
- Дайджест VBMeta заводского образа. Это хеш всех дескрипторов и метаданных, используемых в Android Verified Boot. Дополнительную информацию можно найти в репозитории Android Verified Boot .
Google предоставляет инструменты, необходимые владельцу Pixel для извлечения двух частей информации для данного изображения. Имея это в виду, пользователь может запросить в журнале подлинность изображения.
Журнал не содержит никаких личных данных, связанных с устройством, только метаданные заводского образа.
Диаграмма экосистемы
