Kullanım alanları

Bu belgede, AVF'nin yaygın kullanım alanları yer almaktadır.

İzole derleme

Korunan bir sanal makine, yazılım açısından güvenli bir ortam olarak şunları yapmak için güvenli bir ortam sağlar: güvenlik açısından hassas kod derlemek. Bu ortam, derlemenin taşınmasına olanak tanır bootclasspath ve sistem sunucusu JAR'leri (APEX güncellemesi tarafından tetiklenen) erken önyüklemeyi yeniden başlatmadan önce yapar ve APEX sonrası önemli ölçüde azaltır güncelleme zamanı.

Uygulama, com.android.compos APEX. Bu bileşen isteğe bağlıdır ve dahil edilebilir profesyonel ve rahatlatıcı makefile.

İzole derleme

Şekil 1. Mainline güncellemelerinde JAR'ler derleniyor

Güvenlik hedefi, doğrulanmış girişi doğru şekilde derlemek ve çıktıyı üretmektir. yalıtmak; Güvenilmeyen bir istemci olarak Android, derlemeyi değiştiremez. (Android yeniden başlatılmaya düştüğünde) dışında herhangi bir şekilde çıkış yapma zaman derlemesi).

Sanal makinedeki derleme hizmeti, sırasında hata oluştu. Android, ortak anahtarı şuradan alabilir: sanal makineyi kullanıyor.

Sanal makine anahtarı, sanal makinenin APEX'ler tarafından tanımlanan DICE profilinden oluşturulur aşağıdakiler gibi diğer sanal makine parametrelerine ek olarak sanal makineye eklenen APK'lar: hata ayıklaması gerekir.

Ortak anahtarın beklenmedik bir sanal makineden olup olmadığını belirlemek için Android başlatılır sanal makineyi kontrol ederek anahtarın doğru olup olmadığını kontrol edin. Sanal makine erken başlatma sırasında başlatılır her APEX güncellemesinden sonra.

Korumalı Sanal Makinenin Doğrulanmış Başlatması ile derleme hizmeti yalnızca doğrulanmış olarak çalışır girin. Bu nedenle kod, yalnızca belirli koşullar altında, örneğin yalnızca adı ve fs-verity özeti bir izin verilenler listesinde tanımlanmış.

Sanal makineden açığa çıkan API'lerin tümü saldırı yüzeyleridir. Tüm giriş dosyaları ve parametrelerinin güvenilmeyen bir istemciden geldiği varsayılır ve bu parametrelerin doğrulanıp doğrulanıp etkinleştirilmesi gerekir. dikkatlice incelenir.

Giriş/çıkış dosyasının bütünlüğü, sanal makine tarafından doğrulanır ve dosyalar şurada depolanır: Aşağıda belirtilen adımları uygulayarak güvenilmeyen bir dosya sunucusu olarak Android'i kullanabilirsiniz:

  • Bir giriş dosyasının içeriği fs-verity algoritması. Bir giriş dosyasının sanal makinede kullanılabilir olması için Kök karma değeri, VM'nin DICE profili. Güvenilir kök karma ile saldırganlar kurcalayamaz girişle ilişkilendirilemez.
  • Sanal makinede çıkış dosyasının bütünlüğü sağlanmalıdır. Hatta oluşturma işlemi sırasında, çıkış dosyasının Android'de depolanması aynı fs-verity ağaç biçimiyle korunur ancak dinamik olarak güncellendi. Nihai çıkış dosyası, kök karma ile tanımlanabilir. sanal makinede izole edilir. Sanal makinedeki hizmet, çıkışı korur imza olarak kullanabilirsiniz.