BlackBerry z Androidem

Bezpieczny czy nie? Wszystko co powinniście wiedzieć o zabezpieczeniach BlackBerry z Androidem

„Zabezpieczenie danych opiera się na ochronie najsłabszego ogniwa i żaden pojedynczy element nie sprawi, że platforma nagle będzie bezpieczna” podaje BlackBerry w swoim stanowisku dotyczącym zabezpieczeń wykorzystanych w DTEK50.

Telefony z BlackBerry OS

Przez lata urządzenia projektowane przez Kanadyjczyków skupiały się na najwyższym poziomie bezpieczeństwa i zdobywały przeliczne certyfikaty takie jak NIAP, Cyber Essentials, FIPS 140-2, czy FedRAMP (Rozwiązania AtHoc dla rządów). Dodatkowo mechanizmy kryptograficzne BlackBerry® Enterprise Solution zostały zakwalifikowane jako NATO RESTRICTED. Dorobek taki robi wrażenie, a zdobycie powyższych certyfikatów wiązało się z wieloletnią, ciężką pracą inżynierów zatrudnionych w większości jeszcze pod sztandarem Research in Motion. Istnieje jednak pewien haczyk – prawie wszystkie certyfikaty zostały przyznane słuchawkom z BlackBerry OS lub BlackBerry 10 na pokładzie. Jak wiemy z czasem, czy to przez błędy kierownictwa, czy przez niesamowity boom na aplikacje firm trzecich, udział BlackBerry na rynku zarówno konsumenckim, jak i biznesowym drastycznie spadł do absurdalnego wręcz poziomu 0.0481%, a to dane z I kwartału 2017, więc na korzyść zbyt wiele do teraz zapewne się nie zmieniło.

Barack Obama także korzystał z BlackBerry | Reuters

Wraz z regularnie topniejącymi zapasami gotówki, CEO BlackBerry, John Chen miał więc wyjątkowo ciężką decyzję do podjęcia – liczyć w nieskończoność, że telefony BlackBerry wrócą do łask klientów, czy pójść w innym kierunku. Jednym z możliwych i bardzo prawdopodobnych rozwiązań było całkowite zaprzestanie produkcji słuchawek z jeżyną w logo, ale to wiązałoby się z destrukcją ikonicznej niegdyś marki, a jak sam prezes BlackBerry przyznawał – zrobi wszystko, żeby do tego nie doszło.

Tak więc zarząd BlackBerry oprócz równoległej walki o sektor softwareowy zdecydował się na powolne wygaszanie działu hardware, przechodząc na najpopularniejszą platformę mobilną na świecie, czyli oczywiście Androida.

System od Google być może ze względu na otwartość, czy na popularność od lat utożsamiany był z kompletnym chaosem w kwestii aktualizacji, porządku w sklepie, a przede wszystkim z ogromnymi lukami w zabezpieczeniach, które nierzadko pozwalały nawet na zdalne przejęcie kontroli nad urządzeniem. Czy w związku z tym BlackBerry chcąc uchronić swoje telefony porzuciło to o co przez lata walczyli, czyli bezpieczną mobilną komunikację?

98% malware na celowniku ma urządzenia z Androidem

Otóż na szczęście nie do końca, jak już ponad 2 lata temu John Chen stwierdził: „BlackBerry stworzy smartfon z Androidem tylko jeśli odpowiednio zabezpieczony”. Kilka miesięcy później poznaliśmy pod wieloma względami wyjątkowy smartfon BlackBerry PRIV – co więc BlackBerry zrobiło w celu zabezpieczenia swojej serii nowej generacji telefonów z Androidem na pokładzie?

Architektura urządzenia

Dla wszystkich, którzy myślą, że PRIV był pierwszym kontaktem BlackBerry z systemem operacyjnym od Google – tak nie jest. BlackBerry od czasów PlayBooka posiadało zespół programistów oddelegowany do pracy z Gingerbeardem, a potem Ice Cream Sandwich. Na tej podstawie przygotowali pierwszy Android Runtime na QNX, a przede wszystkim BES 10, czyli prawdziwe multiplatformowe rozwiązanie dla przedsiębiorstw.

Aby zabezpieczyć PRIVa, a w konsekwencji kolejne smartfony z Androidem na pokładzie, BlackBerry sięgnęło po kilkanaście lat doświadczenia w tym temacie i zabrali się do wszystkiego od nowa – dopracowania każdej warstwy urządzenia, które w rezultacie przekłada się na warstwową ochronę danych użytkownika – nie tylko w kwestii oprogramowania, ale także sprzętowej.

Nowy smartfon wpisywał się w filozofię: „Hardware Root of Trust”, czyli formę współpracy sprzętu z oprogramowaniem, którą Kanadyjczycy praktykują od dawna. Podczas rozruchu każdego telefonu BlackBerry system przechodzi przez długi i skomplikowany proces sprawdzania wszelkich fragmentów telefonu:

Zaczyna się to od sprawdzenia cyfrowego podpisu Boot ROMa i po zdaniu tego testu przechodzi do weryfikacji klucza systemu operacyjnego. Wtedy OS może potwierdzić skrót kryptograficzny bazowego systemu plików, a jeśli i to się powiedzie to bazowy system plików testuje jeszcze skróty wszystkich zainstalowanych aplikacji.

A to tylko pierwszy krok tej skomplikowanej procedury. Po sprawdzeniu hardware’u BB z Androidem odpala Secure Boot, który ładuje Firmware (w komputerach jest to np. BIOS, UEFI), a potem przychodzi rozruch Android OS. Secure boot, czyli bezpieczny proces uruchamiania zapewnia, że tylko odpowiednio podpisany przez BlackBerry OS może być załadowany na tym smartfonie i że nie został w żaden sposób naruszony. Każdy etap procesu uruchamiania sprawdza bezpieczeństwo, czy następny element nie został zmodyfikowany przed załadowaniem. Do tego BlackBerry wzmocniło jądro systemowe, a także od momentu wyjęcia z pudełka telefon posiada zaszyfrowaną całą pamięć wewnętrzną. Po przejściu wszystkich etapów dopiero ładują się normalne aplikacje, które także są sprawdzane jeszcze raz w kwestiach zgodności z ich zachowanym podpisem systemowym.

Schemat zabezpieczeń zawartych w BlackBerry z Androidem

Jak wygląda weryfikacja bootloadera (programu rozruchowego)?

Etap Opis
Pierwszy bootloader Pierwotny bootloader jest częścią procesora i pozostaje informacją tylko do odczytu. Potwierdza on nakładkę bezpieczeństwa (BlackBerry Security Shim) za pomocą klucza, który wpisywany jest w procesie produkcyjnym (przy użyciu RSA-2048 z SHA-256). PRIV blokuje resztę nośników startowych do czasu załadowania nakładki bezpieczeństwa.
Nakładka bezpieczeństwa (BlackBerry security shim) Nakładka bezpiczeństwa BlackBerry znajduje się pomiędzy pierwszym i drugim bootloaderem i weryfikuje podpis kryptograficzny bootloadera drugiego rzędu (z pomocą ECC-521 i SHA-512) i zapobiega downgradeowi systemu.

Przechowywana jest w pierwotnej partycji rozruchowej pamięci eMMC i pozostaje tylko do odczytu.

Bootloader drugiego rzędu Bootloader drugiego rzędu jest częścią dostarczaną przez sprzedawcę, która składa się na obraz sprzętowy urządzenia, znajdując się w pamięci wewnętrznej procesora. Bootloader wtedy wczytuje się do pamięci CPU i dopiero wtedy jest wykonywany. Wtedy weryfikuje trzeciorzędowy bootloader i tzw. BlackBerry Secure Compound za pomocą RSA-2048 i SHA-256. Przechowywane są dwie podpisane kopie bootloadera drugiego rzędu:

  • Pierwszy obraz przechowywany jest w partycji użytkownika i wykorzystywany przy normalnym procesie uruchamiania (można na nim zapisać dane i zaktualizować)
  • Zapasowy obraz jest przechowywany w partycji rozruchowej i pozostaje chroniony przed zapisem.
Bootloader trzeciego rzędu Trzeci bootloader uruchamiany jest z zewnętrznego DDR zamiast wewnętrznego RAMu, więc nie jest ograniczony przez pamięć jak inne obrazy. Wywołuje i weryfikuje obraz rozruchu (ECC-521 i SHA-256).

Przechowywane są dwie kopie bootloadera trzeciego rzędu:

  • Pierwszy obraz przechowywany jest w partycji użytkownika i wykorzystywany przy normalnym procesie uruchamiania (można na nim zapisać dane i zaktualizować)
  • Zapasowy obraz jest przechowywany w partycji rozruchowej i pozostaje chroniony przed zapisem.
Boot image Rozruch obrazu to właściwe jądro systemowe zlokalizowane w partycji użytkownika pamięci eMMC. Zanim jednak zostanie wczytany obraz systemu dm-verity jeszcze raz sprawdza system plików z pomocą własnego klucza (RSA-2048 z SHA-256). Wtedy ładowany jest system operacyjny Android.

Więcej informacji o dm-verity:
https://source.android.com/devices/tech/security/ verifiedboot/index.html

 

ROOT, Jailbreak lub po prostu dostęp do wszystkiego

Root z języka angielskiego oznacza korzeń, czyli podstawę drzewa – stąd wzięła się nazwa konta w systemie Unix, które ma pełną kontrolę nad systemem. Root bowiem ma dostęp do wszystkich komend, plików i danych w systemie – może także usunąć całą zawartość dysku i kontrolować jego użytkowników. Prawa administratora w telefonach komórkowych działają bardzo podobnie.

Samo rootowanie urządzeń mobilnych stało się popularne jeszcze za czasów pierwszych telefonów od Apple kiedy użytkownicy chcieli skorzystać z Cydii aby rozszerzyć możliwości swojego telefonu, włącznie z instalowaniem aplikacji z obcych źródeł. Rootowanie Androida to niemalże to samo co Jailbreak iPhone’a. Dzięki temu procesowi otrzymujemy pełny dostęp do systemu, czy zmienić ROM na co z oczywistych powodów nie pozwalają producenci.

Uzyskanie praw administratora w naszym telefonie przez osoby trzecie mogłoby wiązać się z monitorowaniem aktywności użytkownika, podsłuchiwaniem i oczywiście wykradaniem danych, więc choć root z założenia może być dobry, bo daje moc możliwości, to w nieodpowiednich rękach stanowi wyjątkowo niebezpieczne narzędzie – dla posiadaczy BlackBerry taki scenariusz nie wchodzi w grę, więc każdy smartfon BlackBerry został szczególnie zabezpieczony przed jailbreakiem, które zaalarmują użytkownika przy każdej takiej próbie.

Niektóre rodzaje złośliwego oprogramowania są zbudowane tak, że zdalnie wykorzystują luki w zrootowanych telefonach, a inne są w stanie samodzielnie uzyskać prawa superusera! Co więcej spotkano się z przypadkami, w których malware tak zaszywał się w pamięci urządzenia, że usunięcie go wymagało wyspecjalizowanej znajomości komend wykorzystywanych w budowie architektury systemowej.

Hakerzy nieustannie opracowują nowe metody pozyskiwania danych, więc zwalczanie takiego oprogramowania staje się często walką z wiatrakami. Dlatego BlackBerry podeszło do sprawy od podstaw- od testowania integralności architektury urządzenie przy każdym uruchomieniu.

Test integralności w BlackBerry z Androidem wiąże się z kilkoma krokami:

  • Sprawdzaniu integralności jądra podczas rozruchu
  • Sprawdzaniu nieuprawnionych zmian polityki SELinux
  • Monitorowaniu uprawnień montażu systemu plików
  • Zapewnieniu, że nieautoryzowane aplikacje nie nabywają nowych przywilejów
  • Wyłączeniu aplikacji wrażliwych pod względem bezpieczeństwa, takich jak pathtrust

Wszystkie części tego skomplikowanego procesu są cyfrowo podpisane kluczem ECC-256 i dodatkowo wspierane przez certyfikaty, które łączą się z BlackBerry Certificate Authority. BlackBerry Integrity Detection bez problemu integruje się z BES 12 i Good Secure EMM, dzięki czemu Administratorzy IT w firmach otrzymują bieżące raporty dotyczące stanu urządzeń i alerty w przypadku naruszenia integralności urządzenia.

Aplikacja DTEK

Takie ostrzeżenia pojawiają się też w aplikacji DTEK preinstalowanej na naszym telefonie, więc warto z niej regularnie korzystać i monitorować akcje instalowanych przez nas aplikacji.

Całość pozwala więc na swobodne korzystanie z systemu Android bez obaw, że nasze dane trafią w niepowołane ręce. Największa zaleta BlackBerry trafiła na Androida, a jak czas pokazał – jeszcze nie udało się naruszyć zabezpieczeń zaprojektowanych przez inżynierów z Waterloo, więc można śmiało założyć, że stan ten jeszcze będzie się długo utrzymywał.

Podsumowując – co zyskujemy w kwestii zabezpieczeń wybierając właśnie BlackBerry z Androidem?

  • Hardware Root of Trust, który instaluje klucze szyfrujące bezpośrednio na SoC podczas produkcji
  • Zabezpieczony proces rozruchu urządzenia, który na wielu warstwach chroni system operacyjny przed złośliwym oprogramowaniem i innymi zagrożeniami mogącymi naruszyć Hardware Root of Trust
  • Wzmocnione jądro Linuxa, które modyfikuje Androida by ograniczyć możliwości zaatakowania systemu
  • Zweryfikowane biblioteki kryptograficzne Certicom FIPS 140-2 spełniające wymogi w zakresie ochrony informacji zdefiniowane przez Federal Information Processing Standards
  • BlackBerry Secure Compound, czyli zabezpieczone środowisko rozruchowe do przechowywania wrażliwych danych i aplikacji
  • Aplikacja DTEK, która pozwala użytkownikowi monitorowanie stanu zabezpieczeń jego urządzenia i ewentualne podjęcie działań
  • Zobowiązanie BlackBerry do sprawnego wydawania łatek mających na celu likwidację nowo poznanych luk w zabezpieczeniach

 

 

Artur Patnaik Author

Z BlackBerry od 2009 | BBHub.pl ma dać nową jakość artykułów dla fanów BlackBerry w Polsce. Kontakt: artur@bbhub.pl