Является ли хранилище ключей Android по-прежнему уязвимым, если получен доступ к root?

Я изучил эту статью – http://www.cs.kun.nl/~erikpoll/publications/AndroidSecureStorage.pdf ссылка на архив, в которой говорится, что если у злоумышленника есть доступ root к устройству, то легко использовать ключи хранилища с другим (хакерским) приложением. Так ли это все еще?

Я думаю, следует ли мне использовать Android keystore или BKS (BouncyCastle KeyStore), если я буду использовать пароль, введенный пользователем, и мне нужна максимальная безопасность?

Приложение с доступом root имеет полный контроль над системой и может делать что угодно, так как оно может отменять все (DAC тип *) ограничения безопасности. Поэтому короткий ответ – “да”.

(*) Пользователь root, ограниченный через SeLinux (MAC) может быть предотвращен от выполнения определенных действий, но это действительно зависит от ситуации. Лучше на это не полагаться.

злоумышленник имеет доступ root к устройству […] [но] мне нужна максимальная безопасность

Если злоумышленник имеет самый высокий уровень прав на системе, тогда по определению вы ничего не можете сделать, кроме как выключить устройство или выполнить что-то еще на физическом уровне, как, например, прошить новое изображение на основное хранилище.

Секретные токены могут храниться в модуле аппаратной безопасности или в любом другом устройстве, которое вы назовете (подумайте о TPM, смарт-картах, yubikey, SIM-картах или любом другом названии для хранилища, защищенного от несанкционированного доступа). Это то, как обычно смягчаются программные хакерские атаки: имея отдельное устройство внутри вашего устройства, которое хранит секреты, вы не получите доступ просто имея root на “родительском” устройстве (с которым общается модуль аппаратного обеспечения). С другой стороны, злоумышленник все равно может захватывать все, что входит или выходит, а также отправлять свои собственные запросы на расшифровку или подпись.

Фактически, вы ничего не можете сделать, чтобы предотвратить доступ к тому, что вы сохранили на устройстве, если у кого-то есть полный доступ к этому устройству. Если они не могут к этому получить доступ, значит, у них, очевидно, нет полного доступа.

Что и делает “рутирование” телефона важным: вы становитесь владельцем аппаратного обеспечения, заставляя программное обеспечение делать то, что хотите (как владелец аппаратного обеспечения). Риск того, что злоумышленник может получить те же полномочия, если пользователь предоставит root вредоносному приложению, – это риск, который следует принять; это довольно нормально и является стандартным для других операционных систем (и иногда все идет не так). Пытаться выяснить, имеет ли пользователь доступ к своему собственному устройству или злоумышленник получил root, – это игра в кошки-мышки, которую вы не сможете в конечном итоге выиграть: вы можете проверить все известные сигнатуры, которые указывают на то, что пользователь имеет этот доступ, но в конечном итоге ваша программа работает на аппаратном обеспечении, управляемом кем-то другим, и они могут выбрать, не показывать вам свои данные.

Вот почему хеширование паролей важно: устройства (такие как серверы) иногда подвергаются компрометации, но если пароль на самом деле не хранится там (только его криптографический производный), злоумышленнику сначала нужно сломать эти хеши, прежде чем полученные данные станут полезными для них. Если все данные на устройстве зашифрованы паролем, вводимым пользователем только время от времени, злоумышленнику придется либо угадать пароль, либо подождать, пока пользователь введет его.

Требование физического взаимодействия пользователя с использованием аппаратного модуля или зашифрованных данных будет максимальной безопасностью, которую вы можете получить в этом сценарии, где злоумышленник имеет полный доступ к программному обеспечению.