06.05.2026
1 хв
172
Google оголосила про розширення системи Binary Transparency для Android, щоб ускладнити проведення атак через підроблені або скомпрометовані оновлення додатків. Тепер компанія публічно фіксуватиме справжність своїх Android-застосунків у спеціальному криптографічному реєстрі.
Google оголосив про розширення прозорості бінарних файлів для Android як спосіб захисту екосистеми від атак на ланцюги поставок.
«Цей новий публічний реєстр гарантує, що програми Google на вашому пристрої будуть саме такими, якими ми мали намір створити та розповсюдити», – заявили команди розробників продуктів та безпеки Google.
Ця ініціатива базується на принципах Pixel Binary Transparency, які Google представив у жовтні 2021 року для зміцнення цілісності програмного забезпечення, гарантуючи, що пристрої Pixel використовують лише перевірене програмне забезпечення операційної системи (ОС), шляхом ведення публічного криптографічного журналу, який записує метадані про офіційні заводські образи.
Перевірена інфраструктура безпеки відображає Certificate Transparency – відкриту платформу, яка вимагає, щоб усі видані сертифікати SSL/TLS були записані в публічні, криптографічно перевірені журнали, журнали лише для додавання, що допомагає виявляти неправильно видані або шкідливі сертифікати.
Цей крок спрямований на протидію ризикам, що виникають через атаки на ланцюги поставок бінарних файлів, які часто розповсюджують шкідливий код, отруюючи канали оновлення програмного забезпечення, зберігаючи при цьому цифрові підписи неушкодженими. Останнім прикладом є компрометація інсталяторів програмного забезпечення DAEMON Tools для Windows з метою створення легкого бекдору, який потім діє як канал для імплантата під назвою QUIC RAT.
Більше того, інсталятори розповсюджуються з легітимного веб-сайту DAEMON Tools та підписані цифровими сертифікатами, що належать розробникам DAEMON Tools.
«Стає недостатньо покладатися лише на підпис бінарного файлу, оскільки підпис не може гарантувати, що саме цей бінарний файл мав бути опублікований його автором», – заявили в Google.
Розширюючи Binary Transparency на Android, компанія заявила, що ідея полягає в тому, щоб гарантувати, що програмне забезпечення Google на пристрої користувача є саме тим, що було задумано для створення та розповсюдження. З цією метою виробничі програми Google для Android, випущені після 1 травня 2026 року, матимуть відповідний криптографічний запис, що підтверджує їхню автентичність.
Ініціатива наразі включає виробничі програми Google, зокрема як сервіси Google Play, так і окремі програми Google, а також основні модулі, які є частиною ОС і можуть динамічно оновлюватися поза звичайним циклом випуску.
«Це забезпечує прозоре «Джерело правди», яке дозволяє будь-кому перевірити, чи є програмне забезпечення Google на його пристрої Android виробничою версією, авторизованою Google, і не було змінено зловмисником», – зазначив Google.
«Якщо програмного забезпечення немає в реєстрі, Google не випускав його як виробниче програмне забезпечення. Будь-яка спроба розгорнути «одноразову» версію буде виявлена».
У рамках цих зусиль технологічний гігант також надає інструменти перевірки, які користувачі та дослідники можуть використовувати для перевірки стану прозорості підтримуваних типів програмного забезпечення.
Ця подія відбувається на тлі серії атак на ланцюги поставок, які були спрямовані на розробників та користувачів популярного програмного забезпечення протягом останніх місяців. Зловмисники все частіше скомпрометують облікові записи розробників та зловживають цим доступом для поширення шкідливого програмного забезпечення, що дозволяє їм порушувати конфіденційність кількох користувачів одночасно.
«Це критично важливий елемент для конфіденційності та безпеки користувачів, оскільки він змінює фундаментальну динаміку оновлень програмного забезпечення», – заявили в Google.
Цей рівень прозорості слугує ще одним рівнем захисту цілісності нашого програмного забезпечення, діючи як потужний стримуючий фактор проти несанкціонованих випусків бінарних файлів».
