Hardening - Chytrá zařízení s operačním systémem Android

Význam pojmu Hardening

Možná jste ten výraz již slyšeli, jenom nevíte kam jej zařadit. Nuže "hardening" lze do českého jazyka přeložit jako "zodolnění", "vyztužení" nebo "zesílení".
V podstatě se jedná o sadu vylepšení nebo "zodolnění" buď celého operačního systému, nebo určité aplikace. V případě chytrých telefonů nebo tabletů s OS Android lze hovořit o třech základních úrovních hardeningu.

Základní úrovně hardeningu pro zařízení s OS Android

Běžný uživatel.
Není třeba získávat root přístup k zařízení, všechna technická opatření lze provést pomocí práv běžného uživatele.
Zkušený uživatel.
Je potřeba získat přístup root k zařízení. V zařízení je ponechána původní ROM (Stock ROM).
Profesionál.
Je potřeba získat přístup root k zařízení. Do zařízení je dále instalována alternativní ROM (Custom ROM).

Běžný uživatel

Není prováděn root zařízení.
Vlastní omezení přístupu aplikací na jednotlivá API je provedeno metodami, které jsou dostupné běžnému uživateli.
Je možné provést kompletní zálohu dat.
Činnost Firewall nemusí být stoprocentní.
Zablokování reklamních proužků nemusí být stoprocentní.
Zařízení lze 100% vrátit do původního stavu.
Provozovaným (schváleným) aplikacím jsou povolena pouze žádoucí API. Např. aplikace fotoaparát má zakázán přístup k internetu, ke kontaktům, k účtům v zařízení apod.
Zmrazení nežádaných aplikací (např. předinstalovaných prodejcem).
Zrychlení odezvy zařízení.
V zařízení je ponechána původní Stock ROM.
Některé systémové aplikace nelze odstranit, je možné pouze omezit jejich činnost.
Nastavení firewallu pro některé aplikace (typicky sociální sítě) je komplikované a vyžaduje trpělivost.
Některé "nezdravé" funkce bude možné pouze omezit. Je to bohužel dáno právě tím, že firewall není provozován na úrovni uživatele root.

Zkušený uživatel

Je prováděn root zařízení.
Zařízení nemá HW pojistku proti odemčení.
Vlastní omezení přístupu aplikací na jednotlivá API je provedeno metodami, které jsou dostupné superuživateli root a běžnému uživateli.
Provozovaným (schváleným) aplikacím jsou povolena pouze žádoucí API. Např. aplikace fotoaparát má zakázán přístup k internetu, ke kontaktům, k účtům v zařízení apod.
Je možné provést kompletní zálohu dat.
Instalace AF firewallu na úrovni jádra systému – lze určit, které aplikace se smějí spojovat s prostředím internetu a kterým kanálem (WiFi, LTE, Bluetooth). Blokace nežádoucích datových spojení aplikací.
Činnost Firewall je stoprocentní. Vlastní Firewall je umístěn nad jádrem systému, aplikace jej nemohou ovlivnit.
Zablokování reklamních proužků se blíží 100%.
Zařízení lze 100% vrátit do původního stavu.
Zmrazení nežádaných aplikací (např. předinstalovaných prodejcem).
Zrychlení odezvy zařízení.
Regulace aplikací, které se zavedou do paměti po startu zařízení (Autostart manager).
Snížení počtu cyklů nabíjení baterie.
Lepší ochrana osobních / firemních dat.
Úplná detekce telemetrie zařízení (detekce jak a kam jsou ze zařízení odesílána data a kam jsou tato data odesílána). Lze provést pouze detekci datových přenosů.
Možnost instalace aplikací pro detekci vlastností sítí LTE, 4G, GSM apod.
Možnost instalace aplikací a programových balíčků pro provádění penetračních testů např. NetHunter.
V zařízení je ponechána původní Stock ROM.
Je možné odstranit všechny nežádoucí systémové aplikace, nebo omezit jejich činnost.

Profesionál

Je prováděn root zařízení.
Zařízení nemá HW pojistku proti odemčení.
Vlastní omezení přístupu aplikací na jednotlivá API je provedeno metodami, které jsou dostupné superuživateli root a běžnému uživateli.
Provozovaným (schváleným) aplikacím jsou povolena pouze žádoucí API. Např. aplikace fotoaparát má zakázán přístup k internetu, ke kontaktům, k účtům v zařízení apod.
Je možné provést kompletní zálohu dat.
Instalace AF firewallu na úrovni jádra systému – lze určit, které aplikace se smějí spojovat s prostředím internetu a kterým kanálem (WiFi, LTE, Bluetooth). Blokace nežádoucích datových spojení aplikací.
Činnost Firewall je stoprocentní. Vlastní Firewall je umístěn nad jádrem systému, aplikace jej nemohou ovlivnit.
Zablokování reklamních proužků se blíží 100%.
Zařízení nemusí být možné na 100% vrátit do původního stavu.
Zrychlení odezvy zařízení.
Regulace aplikací, které se zavedou do paměti po startu zařízení (Autostart manager).
Snížení počtu cyklů nabíjení baterie.
Lepší ochrana osobních / firemních dat.
Úplná detekce telemetrie zařízení (detekce jak a kam jsou ze zařízení odesílána data a kam jsou tato data odesílána). Lze provést pouze detekci datových přenosů.
Možnost instalace aplikací pro detekci vlastností sítí LTE, 4G, GSM apod.
Možnost instalace aplikací a programových balíčků pro provádění penetračních testů např. NetHunter.
V zařízení je odstraněna původní Stock ROM a instalována nová Custom ROM.
Zařízení neobsahuje nevyžádané systémové aplikace (předinstalované výrobcem).

Zařízení s HW pojistkou proti odemčení

I tato zařízení lze odemknout a získat k nim root přístup. Je však třeba zvážit, zda bude možné softwarově emulovat neporušenost HW pojistky. Obvykle se jedná o emulaci několika bitů na určitém rozhraní zařízení.

Zařízení s SW pojistkou proti odemčení

Obvykle se jedná o uzamčení bootloaderu, který lze odemknout jen pomocí jedinečného kódu. I tato zařízení lze odemknout, některá je však potřeba rozebrat (za účelem odemčení bootloaderu) a porušení plomb může vést ke ztrátě záruky.

Ceník

Rozpis jednotlivých úkonů pro hardening zařízení s OS Android a aktuální ceník můžete nalézt zde.
Všechna dále uvedená opatření mají za cíl ochranu osobních údajů uživatele. Osobní údaje vkládáme do zařízení (telefon, tablet) až poté, co jsou splněny body z následujícího výčtu:

Vlastní technická opatření

Instalace systémových aplikací, které umožní „zmrazení“ (freeze) nepotřebných aplikací, zakázání startování nepotřebných aplikací po bootu zařízení (autostarts) a omezení přístupu aplikací na jednotlivá api.
Zmrazení nepotřebných aplikací.
Omezení přístupů jednotlivých aplikací na daná API (např. zakázání přístupu aplikace fotoaparát k api pro určování polohy).
Omezení startování aplikací po bootu zařízení nebo na základě činnosti určitého modulu zařízení (receivers).
Zakázání reklamy (NoAds)
Firewall – povolení přístupu k datové síti jen vybraným aplikacím. Tento bod nemusí být uskutečnitelný bez získání root přístupu k zařízení.
Alternativy k obchodu s aplikacemi google play.
Zálohování / obnova dat z telefonu.
Přístup na datové úložiště – sdílení dokumentů.
Získání root přístupu k zařízení. Tento krok není triviální a běžný uživatel by se o něj neměl pokoušet. Neúspěšný pokus může skončit „zamrzlým“ zařízením (brick) a následným odesláním zařízení do servisu. Problém je v tom, že řada výrobců nedodržuje specifikace výrobce OS Android a nedodržují ani své vlastní specifikace. Přepsání zavadeče jiným kódem pak může být fatální. Root přístup je potřeba pro ty úrovně opatření, které vyžadují manipulaci s nastavením systémové části ROM nebo při výměně původní ROM (Stock ROM) za alternativní ROM (Custom ROM). V současné době je možné použít řadu alternativních ROM (LineAge, AOSP apod.)

Grafické znázornění dat, nacházejících se ve Vašem telefonu nebo tabletu.

Úvod k zařízením s OS Android.

Zablokováni reklamy

Zablokování reklamy je jeden z velmi důležitých kroků. Reklamní proužky jsou velmi často zneužívány k nabídce instalace nejrůznějších aplikací. Nehledě na využívání výkonu vašeho zařízení k činnostem, se kterými rozhodně nemusíte souhlasit (zobrazování reklamy, odesílání telemetrických dat apod.) Pokud máte k telefonu root přístup, můžete použít aplikaci AdAway. Pokud root přístup nemáte, použijte aplikaci NoAds nebo RethinkDNS.

Firewall

U zařízení s root přístupem použijte aplikaci AFWall. Pokud root přístup nemáte, budete muset použít některý z firewallů s no-root přístupem (nespolehlivé). Lze použít aplikaci RethinkDNS.

Omezení přístupů jednotlivých aplikací na daná API

Všem aplikacím, které používáte, zakažte api, které tyto aplikace nepotřebují ke své činnosti. Jedná se zejména o tato api:

Geolokace, udávání polohy (fotoaparát tato data opravdu nepotřebuje a banka už vůbec ne).
Fakturační služby (ne, z telefonu nic neplaťte).
Identifikace vašeho google účtu.
SMS.
Přístup k telefonním a mailovým kontaktům.
Volání (GSM volání).
Fotografie (jen fotoaparát a galerie mají přístup k fotografiím, že?).
Změna přistupového bodu (wifi hotspot).
Identifikace vašeho telefonu.
Zálohování na vzdálené zařízení (zde buďte obzvlášť pozorní a pečliví, svá data zálohujte výhradně a pouze na úložiště, která máte prověřená a znáte jejich umístění, zabezpečení apod. Nejlépe na úložiště, které máte pod kontrolou).
Změna konfigurace telefonu.

Organizační opatření

Vlastní organizační opatření lze chápat jako denní rozpor mezi pojmy "Soukromí" a "Pohodlí".

Objednávka "Android hardening"

WebRTC Privacy / Leak Checker

Android - Proč root ?

Android - úvod

Android - hardening

Hardening

Kontakt

Turbo2000

Analýza síťového provozu

Datová úložiště

Nabídka služeb v oblasti kybernetické bezpečnosti

Kybernetická bezpečnost

Kybernetické hrozby

Materiály NÚKIB

Implementace NIS2

Obrana před hybridní válkou

Audit bezpečnostních opatření

GDPR

Penetrační testy

Statická analýza zdrojového kódu

Sondy SURICATA

Cestování