Conform Playtech.ro: Google redefinește securitatea aplicațiilor sale, renunțând la semnătura digitală clasică în favoarea unui sistem de transparență bazat pe un registru criptografic public. Schimbarea vizează o mai bună protecție împotriva atacurilor cibernetice, în special cele care exploatează vulnerabilitățile lanțului de aprovizionare.
Noua abordare Google: Dincolo de semnătura digitală
Gigantul tehnologic trece de la simpla semnătură digitală, care atestă doar originea unui fișier, la un sistem mai robust. Noul sistem, denumit Binary Transparency, utilizează un registru public criptografic pentru a verifica autenticitatea aplicațiilor Google. Acest registru va conține o intrare pentru fiecare versiune oficială a aplicațiilor pentru Android lansate după 1 mai 2026.
Diferența majoră este că, în timp ce semnătura digitală arată de unde provine un fișier, noua abordare garantează că fișierul respectiv este exact versiunea pe care dezvoltatorul a intenționat să o publice. Astfel, orice versiune modificată sau introdusă fraudulos, nu va figura în registru și va fi ușor detectabilă. Sistemul urmărește să prevină atacurile lansate prin compromiterea aplicațiilor, actualizărilor sau a conturilor de dezvoltatori.
Protejarea împotriva atacurilor asupra lanțului de aprovizionare
Miza este considerabilă, deoarece atacurile asupra lanțului de aprovizionare au devenit o tactică eficientă pentru hackeri. Aceștia nu mai vizează fiecare dispozitiv în parte, ci se concentrează pe compromiterea unei aplicații, a unei actualizări sau a unui canal de distribuție. Un exemplu recent este compromiterea programelor de instalare Windows pentru DAEMON Tools, distribuite chiar de pe site-ul legitim al aplicației și semnate cu certificate digitale.
Acțiunile Google au ca scop o verificare suplimentară, dincolo de simpla semnătură digitală, pentru a proteja utilizatorii. Prin introducerea acestui registru public, se creează o sursă de adevăr pentru software-ul Google, permițând cercetătorilor, utilizatorilor avansați și altor părți interesate să verifice dacă aplicațiile de pe un dispozitiv Android corespund unor versiuni oficiale.
Extinderea la aplicațiile Android
Binary Transparency va fi extins pentru a acoperi aplicațiile Google de producție pentru Android, inclusiv Google Play Services, aplicațiile Google independente și modulele Mainline. Aceste module fac parte din sistemul de operare și pot fi actualizate dinamic, fără a necesita o actualizare completă a sistemului de operare.
Google a implementat deja un sistem similar, Pixel Binary Transparency, pe telefoanele Pixel din 2021. Acesta folosește un jurnal public criptografic pentru a verifica integritatea imaginilor oficiale de sistem. Această inițiativă marchează un pas semnificativ în direcția consolidării securității aplicațiilor și protejării utilizatorilor Android.
Sursa: Playtech.ro
