Android P посылает ясный сигнал пользователям и разработчикам: конфиденциальность переходит из факультативной функции в фундаментальную парадигму. Я участвовал в бета-тестах и внимательно исследовал каждую сборку.
Главный акцент виден в изоляции компонентов. Сервисы, работающие в фоне, лишились прямого доступа к датчикам, камере, микрофону. Система блокирует вызовы API уже на уровне libbinder, оставляя атакующему минимальное окно.
Новые перехваты
Алгоритм App Ops теперь внедряет эвристику, анализирующую частоту вызовов счётчиков событий. Если подозрительная активность замечена, ядро отгораживает процесс cgroup-контейнером с урезанным приоритетом и моментально отзывает capability CAMERA.
Усиленная политика SELinux поступила в клиномorphic режиме: правила генерируются автоматически на основании Play-сканирования, после чего подписываются ключом Chain of Trust. Такой workflow исключает ручную ошибку мейнтейнера.
Hardened ядро
Kernel 4.9 включён с патчсетом PF и фиксирует побочные каналы, выявленные после Meltdown. Вместо классического user copy применяется механизм hardened_usercopy, сокращающий риск переполнения при границе структуры.
Чип Titan M действует как Root of Trust. При загрузке он сверяет подписи Verified Boot, занимает привилегированное положение в шине, препятствуя DMA-атакам. Для шифрования хранилища используется AES-256-XTS с переменным ключом, извлекаемым через HKD и святым с UID пользователя.
Маршруты для разработчика
Инструментарий adb включает новую команду ‘shell app ops set <,p>, RUN_IN_BACKGROUND ignore’, пригодную для эмуляции жёстких политик. Манифестное свойство ‘foreground Service Type’ просит честно указать причину работы foreground-сервиса, иначе система порежет привилегии автоматически.
Часть нововведений лежит в пространстве DNS. Private DNS по умолчанию активирует режим opportunistic DoT. При желании администратор вправе задать конкретный хост, адресуя запросы через порт 853. Собственный транспорт реализован внутри libnet с поддержкой 0-RTT TLS 1.3.
Конфиденциальность наконец получила метафорический экзоскелет: наружу виден привычный интерфейс, внутри скрыта бронированная инженерия. Отказ от ненасытного доступа фоновым процессам приближает экосистему к Zero-Trust-модели, давно практикуемой в облаках.
