Android 17 incluirá un mecanismo integrado de verificación criptográfica del SO, que permitirá al usuario confirmar la certificación oficial de la plataforma de Google y detectar firmwares no autorizados.
Google ha anunciado para el sistema operativo Android 17 un nuevo componente de seguridad: un módulo de verificación profunda de integridad de la imagen del sistema. La herramienta está diseñada para detectar compilaciones falsificadas que imitan externamente a Android legítimo, pero que no han pasado la certificación del Google Compatibility Test Suite (CTS). Estas modificaciones pueden interceptar datos en segundo plano, reemplazar llamadas al sistema y violar el modelo de aislamiento de aplicaciones.
En la pantalla de verificación se mostrarán al menos tres parámetros técnicos: el estado del servicio Play Protect (última verificación de aplicaciones y núcleo), el estado del bootloader con indicación de si está desbloqueado, y el número exacto de compilación del OS con la suma de verificación del certificado. Además, Google menciona una función de verificación cruzada a través de otro dispositivo de confianza, aunque el método de transmisión de la solicitud y la comparación criptográfica de los resultados aún no se han detallado.
La función estará disponible en los teléfonos inteligentes de la línea Pixel 10 junto con el lanzamiento de la versión estable de Android 17. Fabricantes como Samsung, Xiaomi y OnePlus podrán integrar este mecanismo en sus firmwares oficiales siempre que mantengan el anclaje de confianza raíz en el almacén de claves de hardware del dispositivo. El costo para los proveedores es cumplir con los requisitos de Google Mobile Services (GMS). El precio de los dispositivos con Android 17 se mantendrá en el rango de mercado (de 400 a 1400 dólares), aunque la certificación no implica tasas de licencia adicionales por esta función.
Al iniciar Android 17, el sistema invoca un módulo aislado en TrustZone (o en un coprocesador de seguridad independiente) que lee una clave inmutable grabada en el efuse de la ROM de arranque. Luego, el módulo solicita a un servidor remoto de Google una lista firmada y actualizada de hashes permitidos de las particiones del sistema. El bootloader verifica la firma de la cadena de certificados comenzando desde la raíz de Google en la UEFI. Si el firmware actual no aparece en la lista verificada, la interfaz de notificaciones muestra una advertencia y puede limitar el trabajo con las API de pago (Sensitive Transaction API). Es probable que la comprobación cruzada con otro dispositivo utilice una conexión Bluetooth segura con intercambio de tickets de integridad firmados.
Esta solución transforma la verificación del SO de un indicador pasivo a un elemento activo en la cadena de confianza a nivel de tiempo de ejecución. La principal complejidad técnica es vincular la atestación a una instancia específica del dispositivo mediante un identificador único generado a partir de las PUF (función físicamente no clonable) del chip. Esto permite al servidor de Google no solo verificar la autenticidad de la compilación, sino también detectar claves clonadas. Sin embargo, si un atacante obtiene control sobre la ROM de arranque durante la fase de fabricación (puerta trasera de hardware), ninguna verificación de software podrá solucionarlo, lo que reduce el valor de la función para dispositivos provenientes de cadenas de suministro no confiables.