На сайте для разработчиков Android опубликован обзор улучшений в области безопасности операционной системы с выходом версии Android 4.4.
1. Режим «проверенной загрузки» для борьбы с руткитами. Это необязательный экспериментальный режим, который отключен по умолчанию. Реализован через функцию device-mapper-verity (dm-verity), которая проверяет конфигурацию устройства во время загрузки.
Если функцию включат по умолчанию с залоченным загрузчиком, то получение рутового доступа для установки CyanogenMod или Paranoid Android станет проблематичным.
2. Песочница Android усилена модулем SELinux, который разработан более 10 лет назад в АНБ. Ядро Linux с усиленной защитой (Security-Enhanced Linux) позволяет принудительно внедрять некоторые правила безопасности — например, контроль доступа — на уровне ядра. SELinux появился в Android 4.3 в «необязательном режиме», но в Android 4.4 его можно активировать в строгом обязательном режиме. Этот модуль должен предотвратить атаки на повышение привилегий в системе, мешая приложению захватить рутовый доступ в системе, какие бы разрешения пользователь не давал этому приложению в настройках.
3. Сильная криптография. Устройство выдает предупреждение, если в хранилище сертификатов в устройстве добавлен какой-то посторонний сертификат или если настоящий сертификат Google заменили поддельным. Как известно, такой метод атаки позволяет прослушивать зашифрованный сетевой трафик SSL/TLS.
4. VPN для одного пользователя: первый пользователь смартфона/планшета получает доступ к настройкам VPN и может защитить свой трафик, не мешая другим пользователям, для которых эта функция становится недоступной.
