Google cam kết thúc đẩy công bằng chủng tộc cho các cộng đồng Đen. Xem thế nào.
Trang này được dịch bởi Cloud Translation API.
Switch to English

Xác minh khởi động

Khởi động được xác minh yêu cầu xác minh bằng mật mã tất cả mã và dữ liệu thực thi là một phần của phiên bản Android được khởi động trước khi sử dụng. Điều này bao gồm kernel (được tải từ phân vùng boot ), cây thiết bị (được tải từ phân vùng dtbo ), phân vùng system , phân vùng vendor , v.v.

Các phân vùng nhỏ, chẳng hạn như bootdtbo , chỉ được đọc một lần thường được xác minh bằng cách tải toàn bộ nội dung vào bộ nhớ và sau đó tính toán hàm băm của nó. Giá trị băm được tính toán này sau đó được so sánh với giá trị băm dự kiến . Nếu giá trị không khớp, Android sẽ không tải. Để biết thêm chi tiết, xem Lưu lượng khởi động .

Các phân vùng lớn hơn không phù hợp với bộ nhớ (chẳng hạn như hệ thống tệp) có thể sử dụng cây băm trong đó xác minh là một quá trình liên tục xảy ra khi dữ liệu được tải vào bộ nhớ. Trong trường hợp này, hàm băm gốc của cây băm được tính trong thời gian chạy và được kiểm tra theo giá trị băm gốc dự kiến . Android bao gồm trình điều khiển dm-verity để xác minh các phân vùng lớn hơn. Nếu tại một thời điểm nào đó, hàm băm gốc được tính toán không khớp với giá trị băm gốc dự kiến , dữ liệu sẽ không được sử dụng và Android rơi vào trạng thái lỗi. Để biết thêm chi tiết, xem tham nhũng dm-verity .

Các giá trị băm dự kiến thường được lưu trữ ở cuối hoặc đầu của mỗi phân vùng được xác minh, trong một phân vùng chuyên dụng hoặc cả hai. Điều quan trọng, các băm này được ký kết (trực tiếp hoặc gián tiếp) bởi gốc của niềm tin. Ví dụ, việc triển khai AVB hỗ trợ cả hai cách tiếp cận, hãy xem Khởi động được xác minh của Android để biết chi tiết.

Bảo vệ rollback

Ngay cả với quy trình cập nhật hoàn toàn an toàn, có thể khai thác nhân Android không liên tục để cài đặt thủ công phiên bản Android cũ hơn, dễ bị tổn thương hơn, khởi động lại vào phiên bản dễ bị tổn thương và sau đó sử dụng phiên bản Android đó để cài đặt khai thác liên tục. Từ đó kẻ tấn công sở hữu vĩnh viễn thiết bị và có thể làm bất cứ điều gì, kể cả vô hiệu hóa các bản cập nhật.

Việc bảo vệ chống lại lớp tấn công này được gọi là Bảo vệ Rollback . Bảo vệ rollback thường được thực hiện bằng cách sử dụng bộ lưu trữ hiển thị giả để ghi lại phiên bản Android mới nhất và từ chối khởi động Android nếu nó thấp hơn phiên bản đã ghi. Các phiên bản thường được theo dõi trên cơ sở mỗi phân vùng.

Để biết thêm chi tiết về cách AVB xử lý các bảo vệ rollback, hãy xem AVB README .

Xử lý lỗi xác minh

Việc xác minh có thể không thành công khi khởi động (chẳng hạn như, nếu hàm băm được tính toán trên phân vùng boot không khớp với hàm băm dự kiến) hoặc tại thời gian chạy (chẳng hạn như, nếu dm-verity gặp lỗi xác minh trên phân vùng system ). Nếu xác minh thất bại khi khởi động, thiết bị không thể khởi động và người dùng cuối cần thực hiện các bước để khôi phục thiết bị.

Nếu xác minh thất bại tại thời gian chạy, dòng chảy phức tạp hơn một chút. Nếu thiết bị sử dụng dm-verity, thiết bị sẽ được cấu hình ở chế độ restart . Trong chế độ restart , nếu gặp phải lỗi xác minh, thiết bị sẽ được khởi động lại ngay lập tức với một cờ cụ thể được đặt để cho biết lý do. Trình tải khởi động sẽ chú ý cờ này và chuyển dm-verity sang sử dụng chế độ Lỗi I / O ( eio ) và ở trong chế độ này cho đến khi bản cập nhật mới được cài đặt.

Khi khởi động ở chế độ eio , thiết bị sẽ hiển thị màn hình lỗi thông báo cho người dùng biết rằng tham nhũng đã được phát hiện và thiết bị có thể không hoạt động chính xác. Màn hình hiển thị cho đến khi người dùng bỏ qua nó. Trong chế độ eio , trình điều khiển dm-verity sẽ không khởi động lại thiết bị nếu gặp phải lỗi xác minh, thay vào đó, lỗi EIO được trả về và ứng dụng cần xử lý lỗi.

Mục đích là trình cập nhật hệ thống sẽ chạy (do đó, một hệ điều hành mới không có lỗi tham nhũng có thể được cài đặt) hoặc người dùng có thể lấy càng nhiều dữ liệu của họ ra khỏi thiết bị càng tốt. Khi HĐH mới đã được cài đặt, bộ tải khởi động sẽ thông báo cho HĐH mới được cài đặt và chuyển về chế độ restart .