Khởi động được xác minh yêu cầu xác minh bằng mật mã tất cả mã thực thi và dữ liệu là một phần của phiên bản Android đang được khởi động trước khi sử dụng. Điều này bao gồm hạt nhân (được tải từ phân vùng boot
), cây thiết bị (được tải từ phân vùng dtbo
), phân vùng system
, phân vùng vendor
, v.v.
Các phân vùng nhỏ, chẳng hạn như boot
và dtbo
, chỉ đọc một lần thường được xác minh bằng cách tải toàn bộ nội dung vào bộ nhớ rồi tính toán hàm băm của nó. Giá trị băm được tính toán này sau đó được so sánh với giá trị băm dự kiến . Nếu giá trị không khớp, Android sẽ không tải. Để biết thêm chi tiết, hãy xem Luồng khởi động .
Các phân vùng lớn hơn không vừa với bộ nhớ (chẳng hạn như hệ thống tệp) có thể sử dụng cây băm trong đó việc xác minh là một quá trình diễn ra liên tục khi dữ liệu được tải vào bộ nhớ. Trong trường hợp này, giá trị băm gốc của cây băm được tính toán trong thời gian chạy và được kiểm tra dựa trên giá trị băm gốc dự kiến . Android bao gồm trình điều khiển dm-verity để xác minh các phân vùng lớn hơn. Nếu tại một thời điểm nào đó, hàm băm gốc được tính toán không khớp với giá trị hàm băm gốc dự kiến thì dữ liệu sẽ không được sử dụng và Android chuyển sang trạng thái lỗi. Để biết thêm chi tiết, xem tham nhũng dm-verity .
Các giá trị băm dự kiến thường được lưu trữ ở cuối hoặc đầu mỗi phân vùng đã được xác minh, trong một phân vùng chuyên dụng hoặc cả hai. Điều quan trọng là các giá trị băm này được ký (trực tiếp hoặc gián tiếp) bởi nguồn gốc của sự tin cậy. Ví dụ: việc triển khai AVB hỗ trợ cả hai phương pháp, hãy xem Khởi động được xác minh của Android để biết chi tiết.
Bảo vệ khôi phục
Ngay cả với quy trình cập nhật hoàn toàn an toàn, việc khai thác nhân Android không liên tục vẫn có thể cài đặt thủ công phiên bản Android cũ hơn, dễ bị tấn công hơn, khởi động lại vào phiên bản dễ bị tấn công rồi sử dụng phiên bản Android đó để cài đặt khai thác liên tục. Từ đó kẻ tấn công sở hữu vĩnh viễn thiết bị và có thể làm bất cứ điều gì, kể cả việc vô hiệu hóa các bản cập nhật.
Việc bảo vệ chống lại lớp tấn công này được gọi là Rollback Protection . Bảo vệ khôi phục thường được triển khai bằng cách sử dụng bộ nhớ chống giả mạo để ghi lại phiên bản Android mới nhất và từ chối khởi động Android nếu nó thấp hơn phiên bản đã ghi. Các phiên bản thường được theo dõi trên cơ sở từng phân vùng.
Để biết thêm chi tiết về cách AVB xử lý các biện pháp bảo vệ khôi phục, hãy xem AVB README .
Xử lý lỗi xác minh
Việc xác minh có thể không thành công vào lúc khởi động (chẳng hạn như nếu hàm băm được tính toán trên phân vùng boot
không khớp với hàm băm dự kiến) hoặc trong thời gian chạy (chẳng hạn như nếu dm-verity gặp lỗi xác minh trên phân vùng system
). Nếu xác minh không thành công khi khởi động, thiết bị không thể khởi động và người dùng cuối cần thực hiện các bước để khôi phục thiết bị.
Nếu xác minh không thành công trong thời gian chạy thì quy trình sẽ phức tạp hơn một chút. Nếu thiết bị sử dụng dm-verity, nó phải được cấu hình ở chế độ restart
. Ở chế độ restart
, nếu gặp lỗi xác minh, thiết bị sẽ được khởi động lại ngay lập tức với một cờ cụ thể được đặt để cho biết lý do. Bộ tải khởi động sẽ nhận thấy cờ này và chuyển dm-verity sang sử dụng chế độ Lỗi I/O ( eio
) và duy trì ở chế độ này cho đến khi bản cập nhật mới được cài đặt.
Khi khởi động ở chế độ eio
, thiết bị hiển thị màn hình lỗi thông báo cho người dùng rằng đã phát hiện thấy lỗi và thiết bị có thể không hoạt động chính xác. Màn hình hiển thị cho đến khi người dùng loại bỏ nó. Ở chế độ eio
trình điều khiển dm-verity sẽ không khởi động lại thiết bị nếu gặp lỗi xác minh, thay vào đó, lỗi EIO được trả về và ứng dụng cần xử lý lỗi.
Mục đích là trình cập nhật hệ thống sẽ chạy (để có thể cài đặt hệ điều hành mới không có lỗi hỏng) hoặc người dùng có thể lấy càng nhiều dữ liệu của họ khỏi thiết bị càng tốt. Khi hệ điều hành mới đã được cài đặt, bộ tải khởi động sẽ thông báo hệ điều hành mới được cài đặt và chuyển về chế độ restart
lại.