I telefoni cellulari esistono con processori in banda base open source?

Dal punto di vista della sicurezza, è possibile ottenere la stessa sicurezza sia attraverso una revisione del componente (che si desidera ottenere con una baseband open source attraverso il principio dei molti occhi), sia un isolamento appropriato.

Open source

Il primo appproach è molto difficile, poiché le autorità di regolamentazione devono certificare il firmware della banda base. A causa di questo requisito di certificazione, anche se disponevi di una baseband open source, sarebbe necessario tivoized . Potresti vedere che c'è una backdoor, ma non puoi rimuoverlo.

L'open source generalmente non implica nulla sulla sicurezza del prodotto. Ci sono effetti agghiaccianti dalla facile possibilità di una revisione della sicurezza, che rende più difficile creare backdoor. Certo, le patch di sicurezza possono essere fornite da chiunque e non solo dal venditore, il che diminuisce il tempo che intercorre tra la scoperta di un 0day e la sua correzione. Ma ciò non elimina la necessità di una revisione della sicurezza.

isolamento

L'isolamento rimuove la necessità di una revisione della sicurezza del componente isolato, in quanto viene esaminato il componente isolante. In questa recensione, il componente isolato potrebbe non essere considerato attendibile. Google lo ha fatto con Adobe PDF Reader e Flash Player in Chrome, e mozilla ha intenzione di farlo sul plugin DRM Adobe, per citare due esempi. Nel nostro caso il chip in banda base, ad esempio, deve essere tagliato fuori dalla linea del microfono quando non ha una chiamata.

Questo approccio è fatto dal progetto Neo900 . Dichiarano sul loro sito web:

On Neo900 one can be sure that the modem is actually turned off when requested, not just pretending to be. User will be notified in case of modem wanting to do something without his consent.

L'isolamento forse rende inutilizzabili le backdoor nel chip della baseband, ma quando c'è un 0day nel componente isolante, può essere usato per ottenere il controllo del telefono.

Se vuoi essere sicuro che il telefono sia spento quando ti dice così, dovresti rimuovere la batteria. Questo può essere sconveniente, ma con ciò si può essere sicuri, poiché le altre batterie più piccole nel telefono non sono in grado di sostenere il telefono per un lungo periodo di tempo. Tuttavia, inviando alcuni segnali deboli "Ciao, sono io!" può essere possibile, ma questa è pura speculazione.

No, non sembra essere niente. Comprensibile: la domanda dei consumatori è quasi nullo per un prodotto del genere e sarebbe molto costoso da sviluppare (a causa della costosa certificazione richiesta dalle autorità di regolamentazione di Telecom).

A proposito, probabilmente ti stai preoccupando della cosa sbagliata. La preoccupazione principale dei processori in banda base non è che i produttori abbiano fatto il backup, ma che le cose siano piene di bug e vulnerabilità di sicurezza. Vedi questa presentazione dall'università di Lussemburgo, per esempio. link

Non è Android ^[1] ma sono davvero entusiasta del Neo900 . Ho adorato il mio vecchio Nokia N900 e ho pensato che fosse anni prima del suo tempo. Il Neo900 aggiorna gli interni con software e hardware completamente open source. Non hanno il firmware della banda base open source, ma fanno indirizzo specifico nelle loro domande frequenti.

Sospetto che sia il più vicino possibile.

[1] Personalmente mi piace Maemo più che Android comunque.