A partir de 2026, para alinhar com nosso modelo de desenvolvimento estável de tronco e garantir a estabilidade da plataforma para o ecossistema, vamos publicar o código-fonte no AOSP no segundo e quarto trimestres. Para criar e contribuir com o AOSP, recomendamos usar android-latest-release em vez de aosp-main. O branch de manifesto android-latest-release sempre vai fazer referência à versão mais recente enviada ao AOSP. Para mais informações, consulte Mudanças no AOSP.

Melhorias na segurança

O Android está sempre melhorando as ofertas e as capacidades de segurança. Confira as listas de melhorias por versão no painel de navegação à esquerda.

Android 14

每个 Android 版本中都包含数十种安全增强功能，以保护用户。以下是 Android 14 中提供的一些主要安全增强功能：

Android 10 中引入的硬件辅助 AddressSanitizer (HWASan) 是一款类似于 AddressSanitizer 的内存错误检测工具。Android 14 对 HWASan 进行了重大改进。如需了解它如何帮助防止 bug 进入 Android 版本，请访问 HWAddressSanitizer
在 Android 14 中，从与第三方共享位置数据的应用开始，系统运行时权限对话框现在包含一个可点击的部分，用于突出显示应用的数据分享做法，包括诸如以下信息：应用为什么可能会决定与第三方分享数据。
Android 12 引入了在调制解调器级别停用 2G 支持的选项，以保护用户免受 2G 的过时安全模型固有的安全风险的影响。认识到停用 2G 对企业客户的重要性后，Android 14 在 Android Enterprise 中启用了此安全功能，以便 IT 管理员能够限制受管设备降级到 2G 连接。
开始支持拒绝未加密的移动网络连接，确保电路交换语音和短信流量始终会加密，并可防范被动无线拦截。详细了解 Android 的移动网络连接强化计划。
新增了对多个 IMEI 的支持
从 Android 14 开始，AES-HCTR2 是采用加速加密指令的设备的首选文件名加密模式。
移动网络连接
在 Android 安全中心添加了相关文档
如果您的应用以 Android 14 为目标平台并使用动态代码加载 (DCL) 功能，则必须将所有动态加载的文件标记为只读。否则，系统会抛出异常。我们建议应用尽可能避免动态加载代码，因为这样做会大大增加应用因代码注入或代码篡改而遭到入侵的风险。

请查看完整的 AOSP 版本说明以及 Android 开发者功能和变更列表。

Android 13

Cada versão do Android inclui dezenas de melhorias de segurança para proteger os usuários. Confira algumas das principais melhorias de segurança disponíveis no Android 13:

O Android 13 agora é compatível com a apresentação de vários documentos. A nova interface de sessão de apresentação permite que um app faça uma apresentação de vários documentos, algo que não é possível com a API atual. Para mais informações, consulte Credencial de identidade.
No Android 13, as intents originadas de apps externos vão ser enviadas a um componente exportado apenas se corresponderem aos elementos de filtro de intent declarados.
A API Open Mobile (OMAPI, link em inglês) é uma API padrão usada para se comunicar com o Elemento de segurança de um dispositivo. Antes do Android 13, apenas apps e módulos de framework tinham acesso a essa interface. Ao fazer a conversão para uma interface estável do fornecedor, os módulos da HAL também podem se comunicar com os Elementos de segurança pelo serviço OMAPI. Para mais informações, consulte Interface estável do fornecedor OMAPI.
No Android 13 QPR, os UIDs compartilhados foram descontinuados. Os usuários do Android 13 ou versões mais recentes precisam incluir a linha `android:sharedUserMaxSdkVersion="32"` no manifesto. Essa entrada impede que novos usuários recebam um UID compartilhado. Para mais informações sobre UIDs, consulte Assinatura de apps.
O Android 13 adicionou suporte a primitivas criptográficas simétricas do Keystore, como AES (Advanced Encryption Standard), HMAC (Keyed-Hash Message Authentication Code) e algoritmos criptográficos assimétricos (incluindo curva elíptica, RSA2048, RSA4096 e curva 25519).
O Android 13 (nível 33 da API) e versões mais recentes oferecem suporte a uma permissão de execução para enviar notificações de um app não isentas. Isso dá aos usuários controle sobre quais notificações de permissão eles veem.
Adicionamos uma solicitação por uso para apps que solicitam acesso a todos os registros do dispositivo, permitindo que os usuários permitam ou neguem o acesso.
introduziu o Framework de virtualização do Android (AVF, na sigla em inglês), que reúne diferentes hipervisores em um framework com APIs padronizadas. Ele fornece ambientes de execução seguros e particulares para executar cargas de trabalho isoladas por hipervisor.
Introdução do Esquema de assinatura de APK v3.1 Todas as novas rotações de chaves que usam o apksigner usam o esquema de assinatura v3.1 por padrão para a rotação do Android 13 e versões mais recentes.

Confira as notas da versão completas do AOSP e a lista de recursos e mudanças para desenvolvedores do Android.

Android 12

每个 Android 版本中都包含数十种用于保护用户的安全增强功能。以下是 Android 12 中提供的一些主要安全增强功能：

Android 12 引入了 BiometricManager.Strings API，它为使用 BiometricPrompt 进行身份验证的应用提供本地化的字符串。这些字符串旨在感知设备，并更明确地指定可以使用哪些身份验证类型。Android 12 还支持屏下指纹传感器
添加了对屏下指纹传感器的支持
引入了 Fingerprint Android 接口定义语言 (AIDL)
支持新的 Face AIDL
引入了 Rust 作为平台开发语言
添加了可供用户仅授权应用访问其大致位置信息的选项
当应用使用摄像头或麦克风时，现在状态栏上会显示隐私指示标志
Android 的 Private Compute Core (PCC)
添加了用于停用 2G 支持的选项

Android 11

Cada versão do Android inclui dezenas de melhorias de segurança para proteger os usuários. Para conferir uma lista de algumas das principais melhorias de segurança disponíveis no Android 11, consulte as Notas da versão do Android.

Android 10

Cada versão do Android inclui dezenas de melhorias de segurança para proteger os usuários. O Android 10 inclui várias melhorias de segurança e privacidade. Consulte as Notas da versão do Android 10 para conferir uma lista completa de mudanças no Android 10.

Segurança

BoundsSanitizer

O Android 10 implanta o BoundsSanitizer (BoundSan) no Bluetooth e nos codecs. O BoundSan usa o limpador de limites do UBSan. Essa atenuação é ativada por módulo. Ela ajuda a proteger os componentes críticos do Android e não pode ser desativada. O BoundSan está ativado nos seguintes codecs:

libFLAC
libavcdec
libavcenc
libhevcdec
libmpeg2
libopus
libvpx
libspeexresampler
libvorbisidec
libaac
libxaac

Memória somente de execução

Por padrão, as seções de código executável dos binários do sistema AArch64 são marcadas como somente execução (ilegíveis) para reduzir ainda mais os ataques de reutilização de just-in-time. O código que combina dados e código e o código que inspeciona intencionalmente essas seções (sem primeiro remapear os segmentos de memória como legíveis) não funcionam mais. Os apps que têm um SDK de destino do Android 10 (nível 29 da API ou mais recente) serão afetados se o app tentar ler seções de código de bibliotecas do sistema habilitadas para memória somente de execução (XOM, na sigla em inglês) na memória sem primeiro marcar a seção como legível.

Acesso estendido

O mecanismo de "Agentes de confiança" (usado por mecanismos de autenticação terciários, como o Smart Lock) só pode estender o desbloqueio no Android 10. Os agentes de confiança não podem mais desbloquear um dispositivo bloqueado e só podem manter um dispositivo desbloqueado por, no máximo, quatro horas.

Autenticação facial

A autenticação facial permite que os usuários desbloqueiem os dispositivos simplesmente olhando para a frente deles. O Android 10 oferece suporte a uma nova pilha de autenticação facial que pode processar de forma segura os frames da câmera, preservando a segurança e privacidade durante a autenticação facial no hardware com suporte. O Android 10 também fornece uma maneira fácil para que implementações seguras permitam a integração de apps para transações, como para internet banking ou outros serviços.

Limpeza de estouro de números inteiros

O Android 10 ativa a Limpeza de estouro de números inteiros (IntSan) em codecs de software. O desempenho da reprodução precisa ser aceitável para qualquer codec que não tenha suporte do hardware do dispositivo. O IntSan está ativado nos seguintes codecs:

libFLAC
libavcdec
libavcenc
libhevcdec
libmpeg2
libopus
libvpx
libspeexresampler
libvorbisidec

Componentes modulares do sistema

O Android 10 modulariza alguns componentes do sistema Android e permite que eles sejam atualizados fora do ciclo normal de lançamento do Android. Estes são alguns dos módulos:

OEMCrypto

O Android 10 usa a versão 15 da API OEMCrypto.

Scudo

O Scudo é um alocador de memória dinâmico no modo de usuário projetado para ser mais resiliente contra vulnerabilidades relacionadas a heap. Ele fornece as primitivas padrão de alocação e desalocação de C, bem como as primitivas de C++.

ShadowCallStack

ShadowCallStack (SCS) é um modo de instrumentação LLVM que protege contra substituições de endereço de retorno, como overflows de buffer de pilha, salvando o endereço de retorno de uma função em uma instância ShadowCallStack alocada separadamente no prólogo da função de funções não-folha e carregando o endereço de retorno da instância ShadowCallStack no epílogo da função.

WPA3 e Wi-Fi Enhanced Open

O Android 10 adiciona suporte aos padrões de segurança Wi-Fi Protected Access 3 (WPA3) e Wi-Fi Enhanced Open para oferecer melhor privacidade e robustez contra ataques conhecidos.

Privacidade

Acesso ao app ao segmentar o Android 9 ou versões anteriores

Se o app for executado no Android 10 ou versões mais recentes, mas for direcionado ao Android 9 (API de nível 28) ou versões anteriores, o comportamento a seguir será aplicado:

Se o app declarar um elemento <uses-permission> para ACCESS_FINE_LOCATION ou ACCESS_COARSE_LOCATION, o sistema vai adicionar automaticamente um elemento <uses-permission> para ACCESS_BACKGROUND_LOCATION durante a instalação.
Se o app solicitar ACCESS_FINE_LOCATION ou ACCESS_COARSE_LOCATION, o sistema vai adicionar ACCESS_BACKGROUND_LOCATION automaticamente à solicitação.

Restrições de atividade em segundo plano

A partir do Android 10, o sistema impõe restrições ao início de atividades em segundo plano. Essa mudança de comportamento ajuda a minimizar as interrupções para o usuário e dá a ele mais controle sobre o que é exibido na tela. Desde que seu app inicie atividades como resultado direto da interação do usuário, é provável que ele não seja afetado por essas restrições.
Para saber mais sobre a alternativa recomendada para iniciar atividades em segundo plano, consulte o guia sobre como alertar os usuários sobre eventos que dependem de horários no seu app.

Metadados da câmera

O Android 10 altera a amplitude das informações que o método getCameraCharacteristics() retorna por padrão. Especificamente, o app precisa ter permissão da CAMERA para acessar metadados possivelmente específicos do dispositivo que estão incluídos no valor de retorno desse método.
Para saber mais sobre essas mudanças, consulte a seção sobre os campos da câmera que exigem permissão.

Dados da área de transferência

A menos que seu app seja o Editor de método de entrada (IME, na sigla em inglês) padrão ou que ele seja o app em foco no momento, ele não poderá acessar dados da área de transferência no Android 10 ou versões mais recentes.

Localização do dispositivo

Para oferecer compatibilidade com o maior controle que os usuários têm sobre o acesso de um app às informações de localização, o Android 10 introduz a permissão ACCESS_BACKGROUND_LOCATION.
Ao contrário das permissões ACCESS_FINE_LOCATION e ACCESS_COARSE_LOCATION, a permissão ACCESS_BACKGROUND_LOCATION só afeta o acesso de um app à localização quando ele é executado em segundo plano. A menos que uma das seguintes condições seja atendida, considera-se que o app está acessando a localização em segundo plano:

Uma atividade pertencente ao app está visível.
O app está executando um serviço em primeiro plano que declarou um tipo de serviço em primeiro plano de location.
Para declarar o tipo de serviço em primeiro plano para um serviço no app, defina a targetSdkVersion ou compileSdkVersion do app como 29 ou mais recente. Saiba mais sobre como os serviços em primeiro plano podem continuar ações iniciadas pelo usuário que exigem acesso à localização.

Armazenamento externo

Por padrão, os apps direcionados ao Android 10 e versões mais recentes têm acesso com escopo ao armazenamento externo ou armazenamento com escopo. Esses apps podem ver os seguintes tipos de arquivo em um dispositivo de armazenamento externo sem precisar solicitar permissões de usuário relacionadas ao armazenamento:

Arquivos no diretório específico do app, acessados usando getExternalFilesDir().
Fotos, vídeos e clipes de áudio que o app criou no armazenamento de mídia.

Para saber mais sobre o armazenamento com escopo e como compartilhar, acessar e modificar arquivos salvos em dispositivos de armazenamento externo, consulte os guias sobre como gerenciar arquivos no armazenamento externo e acessar e modificar arquivos de mídia.

Randomização de endereço MAC

Em dispositivos com o Android 10 ou versões mais recentes, o sistema transmite endereços MAC aleatórios por padrão.
Se o app processa um caso de uso corporativo, a plataforma oferece APIs para várias operações relacionadas aos endereços MAC:

Conseguir um endereço MAC aleatório: os apps do proprietário do dispositivo e do proprietário do perfil podem recuperar o endereço MAC aleatório atribuído a uma rede específica chamando getRandomizedMacAddress().
Conseguir o endereço MAC real de fábrica:os apps do proprietário do dispositivo podem recuperar o endereço MAC real do hardware de um dispositivo chamando getWifiMacAddress(). Esse método é útil para rastrear grupos de dispositivos.

Identificadores de dispositivo não reconfiguráveis

A partir do Android 10, os apps precisam ter a permissão privilegiada READ_PRIVILEGED_PHONE_STATE para acessar os identificadores não reconfiguráveis do dispositivo, que incluem o IMEI e o número de série.

Build
- getSerial()
TelephonyManager
- getImei()
- getDeviceId()
- getMeid()
- getSimSerialNumber()
- getSubscriberId()

Se o app não tiver permissão e ainda assim você tentar solicitar informações sobre identificadores não reconfiguráveis, a resposta da plataforma mudará de acordo com a versão do SDK à qual ele está destinado:

Se o app for direcionado ao Android 10 ou mais recente, uma SecurityException ocorrerá.
Se o app for destinado ao Android 9 (API de nível 28) ou versões anteriores, o método retornará null ou dados de marcadores caso o app tenha a permissão READ_PHONE_STATE. Caso contrário, uma SecurityException vai ocorrer.

Reconhecimento de atividade física

O Android 10 apresenta a permissão de ambiente de execução android.permission.ACTIVITY_RECOGNITION para apps que precisam detectar a contagem de passos do usuário ou classificar as atividades físicas dele, como caminhadas, passeios de bicicleta ou em um veículo. Isso foi projetado para permitir que os usuários vejam nas configurações. como os dados do sensor do dispositivo são usados
Algumas bibliotecas do Google Play Services, como a API Activity Recognition e a API Google Fit, não fornecem resultados, a menos que o usuário conceda essa permissão ao app.
Os únicos sensores integrados no dispositivo que exigem que você declare essa permissão são os sensores do contador de passos e do detector de passos.
Se o app for destinado ao Android 9 (nível 28 da API) ou versões anteriores, o sistema concederá automaticamente a permissão android.permission.ACTIVITY_RECOGNITION ao app, conforme necessário, se ele atender a cada uma das seguintes condições:

O arquivo de manifesto inclui a permissão com.google.android.gms.permission.ACTIVITY_RECOGNITION.
O arquivo de manifesto não inclui a permissão android.permission.ACTIVITY_RECOGNITION.

Se o sistema conceder automaticamente a permissão android.permission.ACTIVITY_RECOGNITION, o app vai manter a permissão depois que você atualizar o app para o Android 10. No entanto, o usuário pode revogar essa permissão a qualquer momento nas configurações do sistema.

Restrições do sistema de arquivos /proc/net

Em dispositivos com o Android 10 ou versões mais recentes, os apps não podem acessar /proc/net, que inclui informações sobre o estado da rede de um dispositivo. Os apps que precisam de acesso a essas informações, como as VPNs, precisam usar a classe NetworkStatsManager ou ConnectivityManager.

Grupos de permissões removidos da IU

A partir do Android 10, os apps não podem pesquisar como as permissões são agrupadas na interface.

Remoção da afinidade de contatos

A partir do Android 10, a plataforma não monitora as informações de afinidade de contatos. Como resultado, se o app realizar uma pesquisa nos contatos do usuário, os resultados não serão ordenados por frequência de interação.
O guia sobre ContactsProvider contém uma notificação descrevendo os campos e métodos específicos que estão obsoletos em todos os dispositivos a partir do Android 10.

Acesso restrito ao conteúdo da tela

Para proteger o conteúdo da tela dos usuários, o Android 10 impede o acesso silencioso ao conteúdo da tela do dispositivo alterando o escopo das permissões READ_FRAME_BUFFER, CAPTURE_VIDEO_OUTPUT e CAPTURE_SECURE_VIDEO_OUTPUT. A partir do Android 10, essas permissões são apenas para acesso por assinatura.
Os apps que precisam acessar o conteúdo da tela do dispositivo precisam usar a API MediaProjection, que exibe um aviso solicitando o consentimento do usuário.

Número de série do dispositivo USB

Se o app for destinado ao Android 10 ou versões mais recentes, ele só poderá ler o número de série depois de receber autorização do usuário para ter acesso ao dispositivo ou acessório USB.
Para saber mais sobre como trabalhar com dispositivos USB, consulte o guia sobre como configurar hosts USB.

Wi-Fi

Os apps direcionados ao Android 10 ou versões mais recentes não podem ativar ou desativar o Wi-Fi. O método WifiManager.setWifiEnabled() sempre retorna false.
Se você precisar solicitar que os usuários ativem e desativem o Wi-Fi, use um painel de configurações.

Restrições ao acesso direto a redes Wi-Fi configuradas

Para proteger a privacidade do usuário, a configuração manual da lista de redes Wi-Fi está restrita aos apps do sistema e a controladores de política de dispositivo (DPCs, na sigla em inglês). Um determinado DPC pode ser o proprietário do dispositivo ou do perfil.
Se o app for destinado ao Android 10 ou versões mais recentes e não for um app do sistema ou um DPC, os métodos a seguir não vão retornar dados úteis:

O método getConfiguredNetworks() sempre retorna uma lista vazia.
Todo método de operação de rede que retorna um valor inteiro (addNetwork() e updateNetwork()) sempre retorna -1.
Cada operação de rede que retorna um valor booleano (removeNetwork(), reassociate(), enableNetwork(), disableNetwork(), reconnect() e disconnect()) sempre retorna false.

Android 9

每个 Android 版本中都包含数十项用于保护用户的安全增强功能。如需 Android 9 中提供的一些主要安全增强功能的列表，请参阅 Android 版本说明。

Android 8

每个 Android 版本中都包含数十种用于保护用户的安全增强功能。以下是 Android 8.0 中提供的一些主要安全增强功能：

加密：在工作资料中增加了对撤销密钥 (evict key) 的支持。
验证启动：增加了 Android 启动时验证 (AVB)。支持回滚保护（用于引导加载程序）的启动时验证代码库已添加到 AOSP 中。建议提供引导加载程序支持，以便为 HLOS 提供回滚保护。建议将引导加载程序设为只能由用户通过实际操作设备来解锁。
锁定屏幕：增加了对使用防篡改硬件验证锁定屏幕凭据的支持。
KeyStore：搭载 Android 8.0 及更高版本的所有设备都需要进行密钥认证。增加了 ID 认证支持，以改进零触摸注册计划。
沙盒：使用 Treble 计划的框架和设备特定组件之间的标准接口更紧密地对许多组件进行沙盒化处理。将 seccomp 过滤应用到了所有不信任的应用，以减少内核的攻击面。WebView 现在运行在一个独立的进程中，对系统其余部分的访问非常有限。
内核加固：实现了经过安全强化的 usercopy、PAN 模拟、初始化后变为只读以及 KASLR。
用户空间安全强化：为媒体堆栈实现了 CFI。应用叠加层不能再遮盖系统关键窗口，并且用户可以关闭这些叠加层。
操作系统流式更新：在磁盘空间不足的设备上启用了更新。
安装未知应用：用户必须授予权限，系统才能从不是第一方应用商店的来源安装应用。
隐私权：对于设备上的每个应用和使用设备的每个用户，Android ID (SSAID) 都采用不同的值。对于网络浏览器应用，Widevine 客户端 ID 会针对每个应用软件包名称和网络来源返回不同的值。 net.hostname 现在为空，并且 DHCP 客户端不再发送主机名。android.os.Build.SERIAL 已被替换为 Build.SERIAL API（受到用户控制权限的保护）。改进了某些芯片组中的 MAC 地址随机分配功能。

Android 7

每个 Android 版本中都包含数十项用于保护用户的安全增强功能。以下是 Android 7.0 中提供的一些主要安全增强功能：

文件级加密：在文件级进行加密，而不是将整个存储区域作为单个单元进行加密。这种加密方式可以更好地隔离和保护设备上的不同用户和资料（例如个人资料和工作资料）。
直接启动：通过文件级加密实现，允许特定应用（例如，闹钟和无障碍功能）在设备已开机但未解锁的情况下运行。
验证启动：现在，验证启动会被严格强制执行，从而使遭到入侵的设备无法启动；验证启动支持纠错功能，有助于更可靠地防范非恶意数据损坏。
SELinux。更新后的 SELinux 配置和更高的 Seccomp 覆盖率有助于进一步锁定应用沙盒并减小受攻击面。
库加载顺序随机化和改进的 ASLR。增大随机性降低了某些代码重用攻击的有效性。
内核加固：通过将内核内存的各个分区标记为只读，限制内核对用户空间地址的访问，并进一步减小现有的受攻击面，为更高版本的内核添加额外的内存保护。
APK 签名方案 v2：引入了一种全文件签名方案，该方案有助于加快验证速度并增强完整性保证。
可信 CA 存储区。为了使应用更容易控制对其安全网络流量的访问，对于 API 级别为 24 及以上的应用，由用户安装的证书颁发机构以及通过 Device Admin API 安装的证书颁发机构在默认情况下不再受信任。此外，所有新的 Android 设备必须搭载相同的可信 CA 存储区。
网络安全配置。通过声明式配置文件来配置网络安全设置和传输层安全协议 (TLS)。

Android 6

每个 Android 版本中都包含数十种用于保护用户的安全增强功能。以下是 Android 6.0 中提供的一些主要安全增强功能：

运行时权限：应用在运行时请求权限，而不是在安装时被授予权限。用户可以为 M 及更低版本的 Android 应用启用和停用权限。
验证启动：在执行系统软件之前，先对其进行一系列加密检查，以确保手机从引导加载程序到操作系统均处于正常状况。
硬件隔离安全措施：新的硬件抽象层 (HAL)，Fingerprint API、锁定屏幕、设备加密功能和客户端证书可以利用它来保护密钥免遭内核入侵和/或现场攻击。
指纹：现在，只需触摸一下，即可解锁设备。开发者还可以借助新的 API 来使用指纹锁定和解锁加密密钥。
加装 SD 卡：可将移动媒体设备加装到设备上，以便扩展可用存储空间来存放本地应用数据、照片、视频等内容，但仍受块级加密保护。
明文流量：开发者可以使用新的 StrictMode 来确保其应用不会使用明文。
系统加固：通过由 SELinux 强制执行的政策对系统进行加固。这可以实现更好的用户隔离和 IOCTL 过滤、降低可从设备/系统之外访问的服务面临的威胁、进一步强化 SELinux 域，以及高度限制对 /proc 的访问。
USB 访问控制：必须由用户确认是否允许通过 USB 访问手机上的文件、存储空间或其他功能。现在，默认设置是“仅充电”，如果要访问存储空间，必须获得用户的明确许可。

Android 5

5.0

每个 Android 版本中都包含数十项用于保护用户的安全增强功能。以下是 Android 5.0 中提供的一些主要安全增强功能：

默认加密。在以开箱即用的方式搭载 L 的设备上，会默认启用全盘加密功能，以便更好地保护丢失设备或被盗设备上的数据。对于更新到 L 的设备，可以在设置 > 安全性部分进行加密。
经过改进的全盘加密功能。使用 scrypt 保护用户密码免遭暴力破解攻击；在可能的情况下，该密钥会绑定到硬件密钥库，以防范来自设备外的攻击。和以往一样，Android 屏幕锁定密钥和设备加密密钥不会被发送到设备以外，也不会提供给任何应用。
通过 SELinux 得到增强的 Android 沙盒。对于所有域，Android 现在都要求 SELinux 处于强制模式。SELinux 是 Linux 内核中的强制访问控制 (MAC) 系统，用于增强现有的自主访问控制 (DAC) 安全模型。这个新的安全层为防范潜在的安全漏洞提供了额外的保护屏障。
Smart Lock。Android 现在包含一些 Trustlet，它们可以提供更灵活的设备解锁方式。例如，Trustlet 可让设备在靠近其他可信设备时自动解锁（通过 NFC、蓝牙），或让设备在用户拥有可信面孔时自动解锁。
面向手机和平板电脑的多用户功能、受限个人资料和访客模式。Android 现在为手机提供了多用户功能，并包含一个访客模式。利用访客模式，您可以让访客轻松地临时使用您的设备，而不向他们授予对您的数据和应用的访问权限。
不使用 OTA 的 WebView 更新方式。现在可以独立于框架对 WebView 进行更新，而且无需采用系统 OTA 方式。这有助于更快速地应对 WebView 中的潜在安全问题。
经过更新的 HTTPS 和 TLS/SSL 加密功能。现在启用了 TLSv1.2 和 TLSv1.1，首选是正向加密，启用了 AES-GCM，停用了弱加密套件（MD5、3DES 和导出密码套件）。如需了解详情，请访问 https://developer.android.com/reference/javax/net/ssl/SSLSocket.html。
移除了非 PIE 链接器支持。Android 现在要求所有动态链接的可执行文件都要支持 PIE（位置无关可执行文件）。这有助于增强 Android 的地址空间布局随机化 (ASLR) 实现。
FORTIFY_SOURCE 改进。以下 libc 函数现在实现了 FORTIFY_SOURCE 保护功能：stpcpy()、stpncpy()、read()、recvfrom()、FD_CLR()、FD_SET() 和 FD_ISSET()。这有助于防范涉及这些函数的内存损坏漏洞。
安全修复程序。Android 5.0 中还包含针对 Android 特有漏洞的修复程序。有关这些漏洞的信息已提供给“开放手机联盟”(Open Handset Alliance) 成员，并且 Android 开放源代码项目中提供了相应的修复程序。为了提高安全性，部分搭载更低版本 Android 系统的设备可能也会包含这些修复程序。

Android 4 e versões anteriores

每个 Android 版本中都包含数十项用于保护用户的安全增强功能。以下是 Android 4.4 中提供的一些安全增强功能：

通过 SELinux 得到增强的 Android 沙盒。 Android 现在以强制模式使用 SELinux。SELinux 是 Linux 内核中的强制访问控制 (MAC) 系统，用于增强基于自主访问控制 (DAC) 的现有安全模型。这为防范潜在的安全漏洞提供了额外的保护屏障。
按用户应用 VPN。 在多用户设备上，现在按用户应用 VPN。这样一来，用户就可以通过一个 VPN 路由所有网络流量，而不会影响使用同一设备的其他用户。
AndroidKeyStore 中的 ECDSA 提供程序支持。 Android 现在有一个允许使用 ECDSA 和 DSA 算法的密钥库提供程序。
设备监测警告。 如果有任何可能允许监测加密网络流量的证书添加到设备证书库中，Android 都会向用户发出警告。
FORTIFY_SOURCE。 Android 现在支持 FORTIFY_SOURCE 第 2 级，并且所有代码在编译时都会受到这些保护。FORTIFY_SOURCE 已得到增强，能够与 Clang 配合使用。
证书锁定。 Android 4.4 能够检测安全的 SSL/TLS 通信中是否使用了欺诈性 Google 证书，并且能够阻止这种行为。
安全修复程序。 Android 4.4 中还包含针对 Android 特有漏洞的修复程序。有关这些漏洞的信息已提供给“开放手机联盟”(Open Handset Alliance) 成员，并且 Android 开源项目中提供了相应的修复程序。为了提高安全性，搭载更低版本 Android 的某些设备可能也会包含这些修复程序。

每个 Android 版本中都包含数十项用于保护用户的安全增强功能。以下是 Android 4.3 中提供的一些安全增强功能：

通过 SELinux 得到增强的 Android 沙盒。此版本利用 Linux 内核中的 SELinux 强制访问权限控制系统 (MAC) 增强了 Android 沙盒。SELinux 强化功能（用户和开发者看不到它）可提高现有 Android 安全模型的可靠性，同时与现有应用保持兼容。为了确保持续兼容，此版本允许以宽容模式使用 SELinux。此模式会记录所有违反政策的行为，但不会中断应用，也不会影响系统行为。
没有 setuid 或 setgid 程序。针对 Android 系统文件添加了对文件系统功能的支持，并移除了所有 setuid 或 setgid 程序。这可以减小 Root 攻击面，并降低出现潜在安全漏洞的可能性。
ADB 身份验证。从 Android 4.2.2 起，开始使用 RSA 密钥对为 ADB 连接进行身份验证。这可以防止攻击者在实际接触到设备的情况下未经授权使用 ADB。
限制 Android 应用执行 SetUID 程序。/system 分区现在针对 Zygote 衍生的进程装载了 nosuid，以防止 Android 应用执行 setuid 程序。这可以减小 root 攻击面，并降低出现潜在安全漏洞的可能性。
功能绑定。在执行应用之前，Android Zygote 和 ADB 现在会先使用 prctl(PR_CAPBSET_DROP) 舍弃不必要的功能。这可以防止 Android 应用和从 shell 启动的应用获取特权功能。
AndroidKeyStore 提供程序。Android 现在有一个允许应用创建专用密钥的密钥库提供程序。该程序可以为应用提供一个用于创建或存储私钥的 API，其他应用将无法使用这些私钥。
KeyChain isBoundKeyAlgorithm。Keychain API 现在提供了一种方法 (isBoundKeyType)，可让应用确认系统级密钥是否已绑定到设备的硬件信任根。该方法提供了一个用于创建或存储私钥的位置，即使发生 root 权限被窃取的情况，这些私钥也无法从设备中导出。
NO_NEW_PRIVS。Android Zygote 现在会在执行应用代码之前使用 prctl(PR_SET_NO_NEW_PRIVS) 禁止添加新权限。这可以防止 Android 应用执行可通过 execve 提升权限的操作。（此功能需要使用 3.5 或更高版本的 Linux 内核）。
FORTIFY_SOURCE 增强。在 Android x86 和 MIPS 上启用了 FORTIFY_SOURCE，并增强了 strchr()、strrchr()、strlen() 和 umask() 调用。这可以检测潜在的内存损坏漏洞或没有结束符的字符串常量。
重定位保护。针对静态关联的可执行文件启用了只读重定位 (relro) 技术，并移除了 Android 代码中的所有文本重定位技术。这可以纵深防御潜在的内存损坏漏洞。
经过改进的 EntropyMixer。除了定期执行混合操作之外，EntropyMixer 现在还会在关机或重新启动时写入熵。这样一来，便可以保留设备开机时生成的所有熵，而这对于配置之后立即重新启动的设备来说尤其有用。
安全修复程序。Android 4.3 中还包含针对 Android 特有漏洞的修复。有关这些漏洞的信息已提供给“开放手机联盟”(Open Handset Alliance) 成员，并且 Android 开放源代码项目中提供了相应的修复。为了提高安全性，搭载更低版本 Android 的某些设备可能也会包含这些修复。

O Android oferece um modelo de segurança em várias camadas, descrito na Visão geral da segurança do Android. Cada atualização do Android inclui dezenas de melhorias de segurança para proteger os usuários. Confira a seguir algumas das melhorias de segurança introduzidas no Android 4.2:

Verificação de apps:os usuários podem ativar a verificação de apps e fazer com que os apps sejam filtrados por um verificador antes da instalação. A verificação de apps pode alertar o usuário se ele tentar instalar um app que possa ser perigoso. Se um app for especialmente nocivo, ele poderá bloquear a instalação.
Mais controle de SMS premium:o Android vai enviar uma notificação se um app tentar enviar um SMS para um código curto que usa serviços premium que podem gerar cobranças adicionais. O usuário pode escolher se quer permitir que o app envie a mensagem ou a bloqueie.
VPN sempre ativa:a VPN pode ser configurada para que os apps não tenham acesso à rede até que uma conexão VPN seja estabelecida. Isso impede que os apps enviem dados por outras redes.
Fixação de certificados:as bibliotecas principais do Android agora oferecem suporte à fixação de certificados. Os domínios fixados recebem uma falha na validação do certificado se ele não encadear um conjunto de certificados esperados. Isso protege contra possíveis comprometimentos de autoridades de certificação.
Exibição aprimorada de permissões do Android:as permissões são organizadas em grupos que são compreendidos com mais facilidade pelos usuários. Durante a análise das permissões, o usuário pode clicar na permissão para conferir informações mais detalhadas sobre ela.
Aumento da proteção do installd:o daemon installd não é executado como usuário raiz, reduzindo a possível superfície de ataque para escalonamento de privilégios de raiz.
Aumento da proteção do script init:os scripts init agora aplicam a semântica O_NOFOLLOW para evitar ataques relacionados a links simbólicos.
FORTIFY_SOURCE:o Android agora implementa FORTIFY_SOURCE. Ele é usado por bibliotecas e apps do sistema para evitar a corrupção de memória.
Configuração padrão do ContentProvider:os apps destinados ao nível 17 da API têm export definido como false por padrão para cada Content Provider, reduzindo a superfície de ataque padrão dos apps.
Criptografia:modificação das implementações padrão de SecureRandom e Cipher.RSA para usar o OpenSSL. Adição de suporte a SSL Socket para TLSv1.1 e TLSv1.2 usando OpenSSL 1.0.1
Correções de segurança:as bibliotecas de código aberto atualizadas com correções de segurança incluem WebKit, libpng, OpenSSL e LibXML. O Android 4.2 também inclui correções de vulnerabilidades específicas do Android. Foram fornecidas informações sobre essas vulnerabilidades aos membros da Open Handset Alliance, e as correções estão disponíveis no Android Open Source Project. Para melhorar a segurança, alguns dispositivos com versões anteriores do Android também podem incluir essas correções.

Android 提供了一个多层安全模型，Android 安全性概述中对该模型进行了介绍。每个 Android 更新版本中都包含数十项用于保护用户的安全增强功能。以下是 Android 1.5 至 4.1 版中引入的一些安全增强功能：

Android 1.5

ProPolice：旨在防止堆栈缓冲区溢出 (-fstack-protector)
safe_iop：旨在减少整数溢出
OpenBSD dlmalloc 的扩展程序：旨在防范 double free() 漏洞和连续块攻击。连续块攻击是利用堆损坏的常见攻击方式。
OpenBSD calloc：旨在防止在内存分配期间发生整数溢出

Android 2.3

格式化字符串漏洞防护功能 (-Wformat-security -Werror=format-security)
基于硬件的 No eXecute (NX)：旨在防止在堆栈和堆上执行代码
Linux mmap_min_addr：旨在降低空指针解引用提权风险（在 Android 4.1 中得到了进一步增强）

Android 4.0

地址空间布局随机化 (ASLR)：旨在随机排列内存中的关键位置

Android 4.1

PIE（位置无关可执行文件）支持
只读重定位/立即绑定 (-Wl,-z,relro -Wl,-z,now)
启用了 dmesg_restrict（避免内核地址泄露）
启用了 kptr_restrict（避免内核地址泄露）