Pravdepodobne ste už počuli nejaký rozhovor o rootovi a najnovšej verzii systému Android a možno ste dokonca počuli, ako sa okolo neho hádže „smrť koreňa“. Veci sa zmenili a nové bezpečnostné funkcie v systéme Android teraz obmedzujú procesy, ktoré môžu v systémovom oddiele robiť procesy s oprávneniami superužívateľa. Pokúsim sa niektoré z nich vysvetliť čo najlepšie, ako dokážem, bez toho, aby som hádzal priveľa slov, ktoré nikto (dobre, takmer nikto) nechápe. Niektoré z nich je však nevyhnutné.
Možno bude potrebné naliať tuhý.
Všetky aplikácie pre Android vidlice zo systémového procesu známeho ako zygote. V systéme Android 4.3 sa veci zmenili a teraz má zygote novú bezpečnostnú politiku. Aj keď dokážeme rozvetviť proces s vhodnými (superužívateľskými) oprávneniami, nové obmedzenia obmedzujú možnosti, ktoré s tým môžeme urobiť. Toto je celý bod SELinuxu, čo je dobrá vec pre bezpečnosť používateľov. Náš nový proces (myslite naň ako na koreňovú aplikáciu, ktorú sa snažíte spustiť) má technicky prístup root, ale v skutočnosti s ním nemôže urobiť nič užitočné. Je to veľmi dobrý spôsob, ako chrániť systém pred nečestnými procesmi, ktoré nechcete - ako v prípade potenciálneho ZOMGMALWARE - mať prístup ku všetkým.
Existujú dva spôsoby, o ktorých sa hovorí, ako obísť túto novú skupinu bezpečnostných politík. Jedným z nich je, že root prístup cez shell - kde ste prepojili telefón s počítačom a na komunikáciu pomocou príkazového riadku - stále funguje dobre. Môžete zvýšiť svoj užívateľský status a robiť to isté, čo by ste mohli vždy urobiť pomocou ADB. Šance sú dosť malé, že sa to nestane bez toho, aby ste to vedeli.
Druhým spôsobom je démon su.
Démon je proces na pozadí, ktorý nie je pod priamou kontrolou aktívneho používateľa. Beží potichu a čaká na čas, kedy je potrebné urobiť niečo užitočné. Keď sa to nazýva, robí to, čo bolo navrhnuté, a potom sa vracia do úkrytu. Počas inicializácie systému musí byť vyvolaný suemon daemon, ktorý sa stáva bodom blokovania prístupu rootov do „zásob“ ROM.
Dodávka implementácie pre Android so zariadením Nexus nevyhľadáva ďalšie politiky v oblasti / data / system / sepolicy, ako je napríklad CyanogenMod a upstream. Načíta súbor / sepolicy z ramdisk a nazýva ho deň.
+ Koushik Dutta
Na spustenie vlastného démona na vašom zariadení s Androidom potrebujete minimálne upravený bootovací obraz. To nie je problém s niečím ako CyanogenMod, ale to znamená, že blikate niečím iným ako zásobami, aby sa to stalo. Blikajúce vlastné obrázky, jadrá a ROM je niečo, čo veľa ľudí jednoducho nechce robiť.
Tak sme tu. Najväčšie mená v komunite Android ťažko pracujú na tom, aby boli veci roztriedené, ale existuje veľmi dobrá šanca, že root, tak, ako ho poznáte dnes, bude vyžadovať, aby ste flash flash firmvér presahovali aj mimo SU a binárne. Je dobré, že Android prechádza na bezpečnejší model zabezpečenia a vy sa budete musieť dozvedieť niečo viac o tom, ako váš systém funguje a ako ho upraviť, aby bol v požadovanom stave - čo je nakoniec ďalšia dobrá vec.
Google vie, že používatelia chcú také veci, ako sú oprávnenia superužívateľa. Existuje veľmi dobrá šanca, že sa týmito problémami nejako budú zaoberať, buď vyžadovaním root pre menej vecí alebo zabudovaním riešenia do samotného systému Android. Ak máte na počítači spustený Linux alebo OSX, viete, že mať doma priečinok vám umožňuje robiť väčšinu vecí bez toho, aby ste zvýšili oprávnenie. Možno sa Google posunie týmto smerom. Alebo do možností pre vývojárov pridajú do systému Android funkcie superužívateľa. Medzitým budú naďalej vyrábať úplne odomykateľné telefóny Nexus pre používateľov, ktorí chcú alebo potrebujú flash vlastný firmvér - a ľudia ako vývojári CyanogenMod (a inde) ich budú aj naďalej budovať.
