Negli ultimi anni, la maggior parte degli OEM del settore automobilistico ha offerto sistemi di infotainment e IC basati su sistemi Android o Linux kernel. Tuttavia, più ci si allontana dal nucleo del sistema operativo originale, più aumenta il carico di lavoro di Google e degli altri fornitori di sistemi operativi per la manutenzione della base di codice e la protezione del kernel Android e Linux dalle minacce. Pertanto, è necessario procedere all'hardening del sistema operativo. Il kernel Linux stesso ha diverse caratteristiche di sicurezza, ma può essere alterato per creare una distribuzione alternativa poiché è open-source. Tutti i produttori di dispositivi embedded Linux o Android (OEM) che offrono sistemi embedded basati su Android o sul kernel Linux centrale devono indurire il loro sistema per salvaguardare i dispositivi.
Rischi di sicurezza con Linux embedded
Il rischio maggiore per la sicurezza degli utenti finali è un kernel non patchato dopo che una vulnerabilità è stata resa pubblica. La parte più difficile è che non tutte le patch di sicurezza di Linux ricevono un CVE, quindi spetta agli architetti di sistema e agli sviluppatori sapere quando è disponibile una nuova patch. I sistemi di gestione delle patch di terze parti analizzano i sistemi alla ricerca di vulnerabilità e installano automaticamente le patch di sicurezza. Tuttavia, i sistemi embedded Linux e Android che girano su centraline dedicate non sono apertamente disponibili per gli scanner di vulnerabilità. Ciò significa che i sistemi Linux e Android embedded personalizzati sono un obiettivo importante per gli aggressori.
Un esempio della gravità dei sistemi embedded vulnerabili è CVE-2019-17666. La vulnerabilità riguarda tutti i sistemi che utilizzano il chip Wi-Fi e il driver del dispositivo Realtek. Sebbene sia stata rilasciata una patch, si stima che numerosi dispositivi e migliaia di punti di accesso Wi-Fi siano rimasti senza patch e vulnerabili a un buffer overflow che potrebbe portare a un denial-of-service o a un possibile accesso alla shell. Con l'accesso alla shell, un utente malintenzionato potrebbe installare il proprio malware (ad esempio, il codice di una botnet), modificare le impostazioni e potenzialmente origliare i dati degli utenti., con conseguente grave violazione dei dati.
Proteggere Android e altri dispositivi Linux integrati
La modifica del kernel di Linux per adattarlo a una distribuzione di fornitori terzi porta sia gli sviluppatori che gli esperti di sicurezza a comprendere il potenziale di vulnerabilità, se viene apportata la modifica sbagliata al sistema operativo. Recentemente, Google ha annunciato che avrebbe spostato Android su una versione più vicina al kernel Linux originale per ridurre il carico di lavoro degli sviluppatori e limitare l'accesso diretto al kernel da parte di driver di dispositivi personalizzati realizzati da sviluppatori di dispositivi di terze parti.
Sicurezza del sistema operativo Linux e Android - Hardening del sistema operativo automobilistico
Per proteggere meglio i sistemi basati su Android e sul kernel Linux, i produttori devono rivolgersi a fornitori che sappiano come fornire sistemi operativi Linux ottimizzati che supportino schede personalizzate e hardware proprietario.
In L4B Software abbiamo esperienza dal 2004 nello sviluppo di soluzioni Linux embedded sicure e protette e, dal 2009, di sistemi Android sicuri e personalizzati. Consideriamo la sicurezza di Linux embedded una priorità nel nostro ciclo di vita di sviluppo per garantire ai nostri clienti un sistema che non solo ottimizzi le prestazioni, ma che rimanga anche sicuro. Lo facciamo in diversi modi:
- API personalizzate: Forniamo un'interfaccia con API in modo che i clienti possano eseguire una serie di comandi predefiniti.
- Strato di astrazione hardware (HAL): Simile al modo in cui Android gestisce l'interfaccia del dispositivo con il kernel. kernel, il nostro HAL permette ai driver di interfacciarsi con lo strato superiore di Linux senza interagire direttamente con il kernel.
- SDK e wrapper: La documentazione e i wrapper offrono agli sviluppatori un modo sicuro e semplice per lavorare con il sistema.
- GAS - Integrazione e personalizzazione di Google Automotive Services.
