Cải tiến bảo mật

Android liên tục cải thiện các khả năng và dịch vụ bảo mật của mình. Xem danh sách các cải tiến theo bản phát hành trong điều hướng bên trái.

Android 14

Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 14:

  • Hardware-assisted AddressSanitizer (HWASan), introduced in Android 10, is a memory error detection tool similar to AddressSanitizer. Android 14 brings significant improvements to HWASan. Learn how it helps prevent bugs from making it into Android releases, HWAddressSanitizer
  • In Android 14, starting with apps that share location data with third-parties, the system runtime permission dialog now includes a clickable section that highlights the app's data-sharing practices, including information such as why an app may decide to share data with third parties.
  • Android 12 introduced an option to disable 2G support at the modem level, which protects users from the inherent security risk from 2G's obsolete security model. Recognizing how critical disabling 2G could be for enterprise customers, Android 14 enables this security feature in Android Enterprise, introducing support for IT admins to restrict the ability of a managed device to downgrade to 2G connectivity.
  • Added support to reject null-ciphered cellular connections, ensuring that circuit-switched voice and SMS traffic is always encrypted and protected from passive over-the-air interception. Learn more about Android's program to harden cellular connectivity.
  • Added support for multiple IMEIs
  • Since Android 14, AES-HCTR2 is the preferred mode of filenames encryption for devices with accelerated cryptography instructions.
  • Cellular connectivity
  • Documentation added for Android Safety Center
  • If your app targets Android 14 and uses Dynamic Code Loading (DCL), all dynamically-loaded files must be marked as read-only. Otherwise, the system throws an exception. We recommend that apps avoid dynamically loading code whenever possible, as doing so greatly increases the risk that an app can be compromised by code injection or code tampering.

Check out our full AOSP release notes and the Android Developer features and changes list.

Android 13

Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 13:

  • Android 13 adds multi-document presentation support. This new Presentation Session interface enables an application to do a multi-document presentation, something which isn't possible with the existing API. For further information, refer to Identity Credential
  • In Android 13, intents originating from external apps are delivered to an exported component if and only if the intents match their declared intent-filter elements.
  • Open Mobile API (OMAPI) is a standard API used to communicate with a device's Secure Element. Before Android 13, only applications and framework modules had access to this interface. By converting it to a vendor stable interface, HAL modules are also capable of communicating with the secure elements through the OMAPI service. For more information, see OMAPI Vendor Stable Interface.
  • As of Android 13-QPR, shared UIDs are deprecated. Users of Android 13 or higher should put the line `android:sharedUserMaxSdkVersion="32"` in their manifest. This entry prevents new users from getting a shared UID. For further information on UIDs, see Application signing.
  • Android 13 added support Keystore symmetric cryptographic primitives such as AES (Advanced Encryption Standard), HMAC (Keyed-Hash Message Authentication Code), and asymmetric cryptographic algorithms (including Elliptic Curve, RSA2048, RSA4096, and Curve 25519)
  • Android 13 (API level 33) and higher supports a runtime permission for sending non-exempt notifications from an app. This gives users control over which permission notifications they see.
  • Added per-use prompt for apps requesting access to all device logs, giving users the ability to allow or deny access.
  • introduced the Android Virtualization Framework (AVF), which brings together different hypervisors under one framework with standardized APIs. It provides secure and private execution environments for executing workloads isolated by hypervisor.
  • Introduced APK signature scheme v3.1 All new key rotations that use apksigner will use the v3.1 signature scheme by default to target rotation for Android 13 and higher.

Check out our full AOSP release notes and the Android Developer features and changes list.

Android 12

Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 12:

  • Android 12 introduces the BiometricManager.Strings API, which provides localized strings for apps that use BiometricPrompt for authentication. These strings are intended to be device-aware and provide more specificity about which authentication type(s) may be used. Android 12 also includes support for under-display fingerprint sensors
  • Support added for under-display fingerprint sensors
  • Introduction of the Fingerprint Android Interface Definition Language (AIDL)
  • Support for new Face AIDL
  • Introduction of Rust as a language for platform development
  • The option for users to grant access only to their approximate location added
  • Added Privacy indicators on the status bar when an app is using the camera or microphone
  • Android's Private Compute Core (PCC)
  • Added an option to disable 2G support

Android 11

Every Android release includes dozens of security enhancements to protect users. For a list of some of the major security enhancements available in Android 11, see the Android Release Notes.

Android 10

Mỗi bản phát hành Android đều bao gồm hàng tá cải tiến bảo mật để bảo vệ người dùng. Android 10 bao gồm một số cải tiến về bảo mật và quyền riêng tư. Xem ghi chú phát hành Android 10 để biết danh sách đầy đủ các thay đổi trong Android 10.

Bảo vệ

Giới hạnKhử trùng

Android 10 triển khai BoundsSanitizer (BoundSan) trong Bluetooth và codec. BoundSan sử dụng chất khử trùng giới hạn của UBSan. Giảm thiểu này được kích hoạt ở cấp độ mỗi mô-đun. Nó giúp giữ an toàn cho các thành phần quan trọng của Android và không nên bị tắt. BoundSan được bật trong các codec sau:

  • libFLAC
  • libavcdec
  • libavcenc
  • libhevcdec
  • libmpeg2
  • libopus
  • libvpx
  • libspeexresampler
  • libvorbisidec
  • libaac
  • libxaac

Bộ nhớ chỉ thực thi

Theo mặc định, các phần mã thực thi cho tệp nhị phân của hệ thống AArch64 được đánh dấu là chỉ thực thi (không thể đọc được) như một biện pháp giảm thiểu tăng cường chống lại các cuộc tấn công tái sử dụng mã đúng lúc. Mã kết hợp dữ liệu và mã với nhau cũng như mã kiểm tra có mục đích các phần này (không ánh xạ lại các phân đoạn bộ nhớ trước để có thể đọc được) sẽ không còn hoạt động nữa. Các ứng dụng có SDK mục tiêu là Android 10 (API cấp 29 trở lên) sẽ bị ảnh hưởng nếu ứng dụng cố đọc các phần mã của thư viện hệ thống hỗ trợ bộ nhớ chỉ thực thi (XOM) trong bộ nhớ mà không đánh dấu phần đó là có thể đọc được trước.

Quyền truy cập mở rộng

Tác nhân tin cậy, cơ chế cơ bản được sử dụng bởi các cơ chế xác thực bậc ba như Smart Lock, chỉ có thể mở rộng khả năng mở khóa trong Android 10. Tác nhân tin cậy không thể mở khóa thiết bị bị khóa nữa và chỉ có thể giữ thiết bị luôn mở khóa trong tối đa 4 giờ.

Xác thực khuôn mặt

Xác thực khuôn mặt cho phép người dùng mở khóa thiết bị của họ chỉ bằng cách nhìn vào mặt trước của thiết bị. Android 10 bổ sung hỗ trợ cho ngăn xếp xác thực khuôn mặt mới có thể xử lý khung camera một cách an toàn, đảm bảo tính bảo mật và quyền riêng tư trong quá trình xác thực khuôn mặt trên phần cứng được hỗ trợ. Android 10 cũng cung cấp một cách dễ dàng để triển khai tuân thủ bảo mật nhằm cho phép tích hợp ứng dụng cho các giao dịch như ngân hàng trực tuyến hoặc các dịch vụ khác.

Vệ sinh tràn số nguyên

Android 10 kích hoạt tính năng Integer Overflow Sanitization (IntSan) trong codec phần mềm. Đảm bảo rằng hiệu suất phát lại có thể chấp nhận được đối với mọi codec không được hỗ trợ trong phần cứng của thiết bị. IntSan được bật trong các codec sau:

  • libFLAC
  • libavcdec
  • libavcenc
  • libhevcdec
  • libmpeg2
  • libopus
  • libvpx
  • libspeexresampler
  • libvorbisidec

Các thành phần hệ thống mô-đun

Android 10 mô-đun hóa một số thành phần hệ thống Android và cho phép chúng được cập nhật ngoài chu kỳ phát hành Android thông thường. Một số mô-đun bao gồm:

OEMCrypto

Android 10 sử dụng API OEMCrypto phiên bản 15.

Scudo

Scudo là một công cụ cấp phát bộ nhớ ở chế độ người dùng động được thiết kế để có khả năng phục hồi tốt hơn trước các lỗ hổng liên quan đến heap. Nó cung cấp các nguyên hàm phân bổ và phân bổ C tiêu chuẩn, cũng như các nguyên hàm C++.

BóngCuộc GọiChồng

ShadowCallStack (SCS) là chế độ thiết bị LLVM bảo vệ chống ghi đè địa chỉ trả về (như tràn bộ đệm ngăn xếp) bằng cách lưu địa chỉ trả về của hàm vào một phiên bản ShadowCallStack được phân bổ riêng trong prolog hàm của các hàm không phải lá và tải địa chỉ trả về từ phiên bản ShadowCallStack trong phần kết của hàm.

Mở rộng WPA3 và Wi-Fi

Android 10 bổ sung hỗ trợ cho các tiêu chuẩn bảo mật Wi-Fi Protected Access 3 (WPA3) và Wi-Fi Enhanced Open để mang lại sự riêng tư tốt hơn và khả năng chống lại các cuộc tấn công đã biết.

Sự riêng tư

Quyền truy cập ứng dụng khi nhắm mục tiêu Android 9 trở xuống

Nếu ứng dụng của bạn chạy trên Android 10 trở lên nhưng nhắm mục tiêu Android 9 (API cấp 28) trở xuống thì nền tảng sẽ áp dụng hành vi sau:

  • Nếu ứng dụng của bạn khai báo phần tử <uses-permission> cho ACCESS_FINE_LOCATION hoặc ACCESS_COARSE_LOCATION thì hệ thống sẽ tự động thêm phần tử <uses-permission> cho ACCESS_BACKGROUND_LOCATION trong khi cài đặt.
  • Nếu ứng dụng của bạn yêu cầu ACCESS_FINE_LOCATION hoặc ACCESS_COARSE_LOCATION thì hệ thống sẽ tự động thêm ACCESS_BACKGROUND_LOCATION vào yêu cầu.

Hạn chế hoạt động nền

Bắt đầu từ Android 10, hệ thống đặt ra các hạn chế về việc bắt đầu các hoạt động từ nền . Thay đổi hành vi này giúp giảm thiểu sự gián đoạn cho người dùng và giúp người dùng kiểm soát nhiều hơn những gì hiển thị trên màn hình của họ. Miễn là ứng dụng của bạn bắt đầu hoạt động do tương tác trực tiếp của người dùng thì rất có thể ứng dụng của bạn sẽ không bị ảnh hưởng bởi những hạn chế này.
Để tìm hiểu thêm về giải pháp thay thế được đề xuất cho việc bắt đầu các hoạt động từ nền, hãy xem hướng dẫn về cách cảnh báo người dùng về các sự kiện nhạy cảm về thời gian trong ứng dụng của bạn.

Siêu dữ liệu máy ảnh

Android 10 thay đổi phạm vi thông tin mà phương thức getCameraCharacteristics() trả về theo mặc định. Đặc biệt, ứng dụng của bạn phải có quyền CAMERA để truy cập vào siêu dữ liệu dành riêng cho thiết bị có trong giá trị trả về của phương thức này.
Để tìm hiểu thêm về những thay đổi này, hãy xem phần về các trường máy ảnh yêu cầu quyền .

Dữ liệu bảng nhớ tạm

Trừ khi ứng dụng của bạn là trình chỉnh sửa phương thức nhập mặc định (IME) hoặc là ứng dụng hiện được tập trung, ứng dụng của bạn không thể truy cập dữ liệu bảng nhớ tạm trên Android 10 trở lên.

Vị trí thiết bị

Để hỗ trợ quyền kiểm soát bổ sung mà người dùng có đối với quyền truy cập của ứng dụng vào thông tin vị trí, Android 10 giới thiệu quyền ACCESS_BACKGROUND_LOCATION .
Không giống như các quyền ACCESS_FINE_LOCATIONACCESS_COARSE_LOCATION , quyền ACCESS_BACKGROUND_LOCATION chỉ ảnh hưởng đến quyền truy cập của ứng dụng vào vị trí khi ứng dụng chạy ở chế độ nền. Một ứng dụng được coi là đang truy cập vị trí ở chế độ nền trừ khi đáp ứng một trong các điều kiện sau:

  • Một hoạt động thuộc ứng dụng được hiển thị.
  • Ứng dụng đang chạy một dịch vụ trên nền trước đã khai báoloại dịch vụ trên nền trướclocation .
    Để khai báo loại dịch vụ nền trước cho một dịch vụ trong ứng dụng của bạn, hãy đặt targetSdkVersion hoặc compileSdkVersion của ứng dụng thành 29 hoặc cao hơn. Tìm hiểu thêm về cách các dịch vụ trên nền trước có thể tiếp tục các hành động do người dùng thực hiện yêu cầu quyền truy cập vào vị trí.

Lưu trữ ngoài

Theo mặc định, các ứng dụng nhắm mục tiêu Android 10 trở lên được cấp quyền truy cập có giới hạn vào bộ nhớ ngoài hoặc bộ nhớ có giới hạn . Những ứng dụng như vậy có thể xem các loại tệp sau trong thiết bị lưu trữ bên ngoài mà không cần yêu cầu bất kỳ quyền nào của người dùng liên quan đến bộ nhớ:

Để tìm hiểu thêm về bộ nhớ có giới hạn cũng như cách chia sẻ, truy cập và sửa đổi tệp được lưu trên thiết bị lưu trữ bên ngoài, hãy xem hướng dẫn về cách quản lý tệp trong bộ nhớ ngoài cũng như truy cập và sửa đổi tệp phương tiện .

Địa chỉ MAC ngẫu nhiên

Trên các thiết bị chạy Android 10 trở lên, hệ thống sẽ truyền địa chỉ MAC ngẫu nhiên theo mặc định.
Nếu ứng dụng của bạn xử lý trường hợp sử dụng của doanh nghiệp thì nền tảng sẽ cung cấp API cho một số hoạt động liên quan đến địa chỉ MAC:

  • Lấy địa chỉ MAC ngẫu nhiên : Ứng dụng của chủ sở hữu thiết bị và ứng dụng của chủ sở hữu hồ sơ có thể truy xuất địa chỉ MAC ngẫu nhiên được gán cho một mạng cụ thể bằng cách gọi getRandomizedMacAddress() .
  • Lấy địa chỉ MAC thực tế của nhà máy: Ứng dụng của chủ sở hữu thiết bị có thể truy xuất địa chỉ MAC phần cứng thực tế của thiết bị bằng cách gọi getWifiMacAddress() . Phương pháp này rất hữu ích để theo dõi nhóm thiết bị.

Mã nhận dạng thiết bị không thể đặt lại

Bắt đầu từ Android 10, các ứng dụng phải có quyền đặc quyền READ_PRIVILEGED_PHONE_STATE để truy cập vào số nhận dạng không thể đặt lại của thiết bị, bao gồm cả IMEI và số sê-ri.

Nếu ứng dụng của bạn không có quyền và bạn vẫn thử hỏi thông tin về số nhận dạng không thể đặt lại thì phản hồi của nền tảng sẽ thay đổi tùy theo phiên bản SDK mục tiêu:

  • Nếu ứng dụng của bạn nhắm mục tiêu Android 10 trở lên thì SecurityException sẽ xảy ra.
  • Nếu ứng dụng của bạn nhắm mục tiêu Android 9 (API cấp 28) trở xuống, phương thức sẽ trả về dữ liệu null hoặc dữ liệu giữ chỗ nếu ứng dụng có quyền READ_PHONE_STATE . Nếu không, SecurityException sẽ xảy ra.

Nhận dạng hoạt động thể chất

Android 10 giới thiệu quyền thời gian chạy android.permission.ACTIVITY_RECOGNITION cho các ứng dụng cần phát hiện số bước của người dùng hoặc phân loại hoạt động thể chất của người dùng, chẳng hạn như đi bộ, đi xe đạp hoặc di chuyển trong phương tiện. Điều này được thiết kế để cung cấp cho người dùng khả năng hiển thị cách sử dụng dữ liệu cảm biến thiết bị trong Cài đặt.
Một số thư viện trong dịch vụ Google Play, chẳng hạn như API nhận dạng hoạt độngAPI Google Fit , không cung cấp kết quả trừ khi người dùng cấp cho ứng dụng của bạn quyền này.
Các cảm biến tích hợp duy nhất trên thiết bị yêu cầu bạn khai báo quyền này là cảm biến bộ đếm bước và cảm biến phát hiện bước .
Nếu ứng dụng của bạn nhắm mục tiêu Android 9 (API cấp 28) trở xuống, hệ thống sẽ tự động cấp quyền android.permission.ACTIVITY_RECOGNITION cho ứng dụng của bạn, nếu cần, nếu ứng dụng của bạn đáp ứng từng điều kiện sau:

  • Tệp kê khai bao gồm quyền com.google.android.gms.permission.ACTIVITY_RECOGNITION .
  • Tệp kê khai không bao gồm quyền android.permission.ACTIVITY_RECOGNITION .

Nếu hệ thống tự động cấp quyền android.permission.ACTIVITY_RECOGNITION thì ứng dụng của bạn vẫn giữ quyền này sau khi bạn cập nhật ứng dụng của mình để nhắm mục tiêu Android 10. Tuy nhiên, người dùng có thể thu hồi quyền này bất kỳ lúc nào trong cài đặt hệ thống.

/proc/net hạn chế hệ thống tập tin

Trên các thiết bị chạy Android 10 trở lên, các ứng dụng không thể truy cập /proc/net , bao gồm thông tin về trạng thái mạng của thiết bị. Các ứng dụng cần quyền truy cập vào thông tin này, chẳng hạn như VPN, nên sử dụng lớp NetworkStatsManager hoặc ConnectivityManager .

Nhóm quyền đã bị xóa khỏi giao diện người dùng

Kể từ Android 10, các ứng dụng không thể tra cứu cách nhóm các quyền trong giao diện người dùng.

Loại bỏ mối quan hệ liên hệ

Bắt đầu từ Android 10, nền tảng này không theo dõi thông tin về mối quan hệ của người liên hệ. Do đó, nếu ứng dụng của bạn tiến hành tìm kiếm trên danh bạ của người dùng thì kết quả sẽ không được sắp xếp theo tần suất tương tác.
Hướng dẫn về ContactsProvider chứa thông báo mô tả các trường và phương thức cụ thể đã lỗi thời trên tất cả các thiết bị bắt đầu từ Android 10.

Hạn chế truy cập vào nội dung màn hình

Để bảo vệ nội dung trên màn hình của người dùng, Android 10 ngăn chặn quyền truy cập im lặng vào nội dung trên màn hình của thiết bị bằng cách thay đổi phạm vi của các quyền READ_FRAME_BUFFER , CAPTURE_VIDEO_OUTPUTCAPTURE_SECURE_VIDEO_OUTPUT . Kể từ Android 10, các quyền này chỉ có quyền truy cập bằng chữ ký .
Các ứng dụng cần truy cập nội dung màn hình của thiết bị phải sử dụng API MediaProjection , API này sẽ hiển thị lời nhắc yêu cầu người dùng đưa ra sự đồng ý.

Số sê-ri thiết bị USB

Nếu ứng dụng của bạn nhắm mục tiêu Android 10 trở lên thì ứng dụng của bạn không thể đọc số sê-ri cho đến khi người dùng cấp cho ứng dụng của bạn quyền truy cập vào thiết bị hoặc phụ kiện USB.
Để tìm hiểu thêm về cách làm việc với thiết bị USB, hãy xem hướng dẫn về cách định cấu hình máy chủ USB .

Wifi

Các ứng dụng nhắm mục tiêu Android 10 trở lên không thể bật hoặc tắt Wi-Fi. Phương thức WifiManager.setWifiEnabled() luôn trả về false .
Nếu bạn cần nhắc người dùng bật và tắt Wi-Fi, hãy sử dụng bảng cài đặt .

Hạn chế truy cập trực tiếp vào mạng Wi-Fi đã định cấu hình

Để bảo vệ quyền riêng tư của người dùng, việc định cấu hình thủ công danh sách mạng Wi-Fi bị hạn chế ở các ứng dụng hệ thống và bộ điều khiển chính sách thiết bị (DPC) . Một DPC nhất định có thể là chủ sở hữu thiết bị hoặc chủ sở hữu hồ sơ.
Nếu ứng dụng của bạn nhắm mục tiêu Android 10 trở lên và đó không phải là ứng dụng hệ thống hoặc DPC thì các phương pháp sau sẽ không trả về dữ liệu hữu ích:

Android 9

Every Android release includes dozens of security enhancements to protect users. For a list of some of the major security enhancements available in Android 9, see the Android Release Notes.

Android 8

Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 8.0:

  • Encryption. Added support to evict key in work profile.
  • Verified Boot. Added Android Verified Boot (AVB). Verified Boot codebase supporting rollback protection for use in boot loaders added to AOSP. Recommend bootloader support for rollback protection for the HLOS. Recommend boot loaders can only be unlocked by user physically interacting with the device.
  • Lock screen. Added support for using tamper-resistant hardware to verify lock screen credential.
  • KeyStore. Required key attestation for all devices that ship with Android 8.0+. Added ID attestation support to improve Zero Touch Enrollment.
  • Sandboxing. More tightly sandboxed many components using Project Treble's standard interface between framework and device-specific components. Applied seccomp filtering to all untrusted apps to reduce the kernel's attack surface. WebView is now run in an isolated process with very limited access to the rest of the system.
  • Kernel hardening. Implemented hardened usercopy, PAN emulation, read-only after init, and KASLR.
  • Userspace hardening. Implemented CFI for the media stack. App overlays can no longer cover system-critical windows and users have a way to dismiss them.
  • Streaming OS update. Enabled updates on devices that are are low on disk space.
  • Install unknown apps. Users must grant permission to install apps from a source that isn't a first-party app store.
  • Privacy. Android ID (SSAID) has a different value for each app and each user on the device. For web browser apps, Widevine Client ID returns a different value for each app package name and web origin. net.hostname is now empty and the dhcp client no longer sends a hostname. android.os.Build.SERIAL has been replaced with the Build.SERIAL API which is protected behind a user-controlled permission. Improved MAC address randomization in some chipsets.

Android 7

Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 7.0:

  • File-based encryption. Encrypting at the file level, instead of encrypting the entire storage area as a single unit, better isolates and protects individual users and profiles (such as personal and work) on a device.
  • Direct Boot. Enabled by file-based encryption, Direct Boot allows certain apps such as alarm clock and accessibility features to run when device is powered on but not unlocked.
  • Verified Boot. Verified Boot is now strictly enforced to prevent compromised devices from booting; it supports error correction to improve reliability against non-malicious data corruption.
  • SELinux. Updated SELinux configuration and increased seccomp coverage further locks down the application sandbox and reduces attack surface.
  • Library load-order randomization and improved ASLR. Increased randomness makes some code-reuse attacks less reliable.
  • Kernel hardening. Added additional memory protection for newer kernels by marking portions of kernel memory as read-only, restricting kernel access to userspace addresses and further reducing the existing attack surface.
  • APK signature scheme v2. Introduced a whole-file signature scheme that improves verification speed and strengthens integrity guarantees.
  • Trusted CA store. To make it easier for apps to control access to their secure network traffic, user-installed certificate authorities and those installed through Device Admin APIs are no longer trusted by default for apps targeting API Level 24+. Additionally, all new Android devices must ship with the same trusted CA store.
  • Network Security Config. Configure network security and TLS through a declarative configuration file.

Android 6

Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 6.0:

  • Runtime Permissions. Applications request permissions at runtime instead of being granted at App install time. Users can toggle permissions on and off for both M and pre-M applications.
  • Verified Boot. A set of cryptographic checks of system software are conducted prior to execution to ensure the phone is healthy from the bootloader all the way up to the operating system.
  • Hardware-Isolated Security. New Hardware Abstraction Layer (HAL) used by Fingerprint API, Lockscreen, Device Encryption, and Client Certificates to protect keys against kernel compromise and/or local physical attacks
  • Fingerprints. Devices can now be unlocked with just a touch. Developers can also take advantage of new APIs to use fingerprints to lock and unlock encryption keys.
  • SD Card Adoption. Removable media can be adopted to a device and expand available storage for app local data, photos, videos, etc., but still be protected by block-level encryption.
  • Clear Text Traffic. Developers can use a new StrictMode to make sure their application doesn't use cleartext.
  • System Hardening. Hardening of the system via policies enforced by SELinux. This offers better isolation between users, IOCTL filtering, reduce threat of exposed services, further tightening of SELinux domains, and extremely limited /proc access.
  • USB Access Control: Users must confirm to allow USB access to files, storage, or other functionality on the phone. Default is now charge only with access to storage requiring explicit approval from the user.

Android 5

5.0

Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 5.0:

  • Encrypted by default. On devices that ship with L out-of-the-box, full disk encryption is enabled by default to improve protection of data on lost or stolen devices. Devices that update to L can be encrypted in Settings > Security.
  • Improved full disk encryption. The user password is protected against brute-force attacks using scrypt and, where available, the key is bound to the hardware keystore to prevent off-device attacks. As always, the Android screen lock secret and the device encryption key are not sent off the device or exposed to any application.
  • Android sandbox reinforced with SELinux. Android now requires SELinux in enforcing mode for all domains. SELinux is a mandatory access control (MAC) system in the Linux kernel used to augment the existing discretionary access control (DAC) security model. This new layer provides additional protection against potential security vulnerabilities.
  • Smart Lock. Android now includes trustlets that provide more flexibility for unlocking devices. For example, trustlets can allow devices to be unlocked automatically when close to another trusted device (via NFC, Bluetooth) or being used by someone with a trusted face.
  • Multi user, restricted profile, and guest modes for phones & tablets. Android now provides for multiple users on phones and includes a guest mode that can be used to provide easy temporary access to your device without granting access to your data and apps.
  • Updates to WebView without OTA. WebView can now be updated independent of the framework and without a system OTA. This will allow for faster response to potential security issues in WebView.
  • Updated cryptography for HTTPS and TLS/SSL. TLSv1.2 and TLSv1.1 is now enabled, Forward Secrecy is now preferred, AES-GCM is now enabled, and weak cipher suites (MD5, 3DES, and export cipher suites) are now disabled. See https://developer.android.com/reference/javax/net/ssl/SSLSocket.html for more details.
  • non-PIE linker support removed. Android now requires all dynamically linked executables to support PIE (position-independent executables). This enhances Android’s address space layout randomization (ASLR) implementation.
  • FORTIFY_SOURCE improvements. The following libc functions now implement FORTIFY_SOURCE protections: stpcpy(), stpncpy(), read(), recvfrom(), FD_CLR(), FD_SET(), and FD_ISSET(). This provides protection against memory-corruption vulnerabilities involving those functions.
  • Security Fixes. Android 5.0 also includes fixes for Android-specific vulnerabilities. Information about these vulnerabilities has been provided to Open Handset Alliance members, and fixes are available in Android Open Source Project. To improve security, some devices with earlier versions of Android may also include these fixes.

Android 4 trở xuống

Mỗi bản phát hành Android đều bao gồm hàng tá cải tiến bảo mật để bảo vệ người dùng. Sau đây là một số cải tiến bảo mật có sẵn trong Android 4.4:

  • Hộp cát Android được tăng cường bằng SELinux. Android hiện sử dụng SELinux ở chế độ thực thi. SELinux là một hệ thống kiểm soát truy cập (MAC) bắt buộc trong nhân Linux được sử dụng để tăng cường mô hình bảo mật dựa trên kiểm soát truy cập tùy ý (DAC) hiện có. Điều này cung cấp khả năng bảo vệ bổ sung chống lại các lỗ hổng bảo mật tiềm ẩn.
  • VPN cho mỗi người dùng. Trên các thiết bị nhiều người dùng, VPN hiện được áp dụng cho mỗi người dùng. Điều này có thể cho phép người dùng định tuyến tất cả lưu lượng mạng thông qua VPN mà không ảnh hưởng đến những người dùng khác trên thiết bị.
  • Hỗ trợ nhà cung cấp ECDSA trong AndroidKeyStore. Android hiện có một nhà cung cấp kho khóa cho phép sử dụng các thuật toán ECDSA và DSA.
  • Cảnh báo giám sát thiết bị. Android cung cấp cho người dùng một cảnh báo nếu bất kỳ chứng chỉ nào đã được thêm vào kho lưu trữ chứng chỉ thiết bị có thể cho phép giám sát lưu lượng mạng được mã hóa.
  • FORTIFY_SOURCE. Android hiện hỗ trợ FORTIFY_SOURCE cấp độ 2 và tất cả mã được biên dịch với các biện pháp bảo vệ này. FORTIFY_SOURCE đã được cải tiến để hoạt động với tiếng kêu.
  • Ghim chứng chỉ. Android 4.4 phát hiện và ngăn chặn việc sử dụng các chứng chỉ Google gian lận được sử dụng trong giao tiếp SSL / TLS an toàn.
  • Các bản sửa lỗi bảo mật. Android 4.4 cũng bao gồm các bản sửa lỗi cho các lỗ hổng dành riêng cho Android. Thông tin về các lỗ hổng này đã được cung cấp cho các thành viên của Open Handset Alliance và các bản sửa lỗi có sẵn trong Dự án nguồn mở Android. Để cải thiện bảo mật, một số thiết bị có phiên bản Android cũ hơn cũng có thể bao gồm các bản sửa lỗi này.

Mỗi bản phát hành Android đều bao gồm hàng tá cải tiến bảo mật để bảo vệ người dùng. Sau đây là một số cải tiến bảo mật có sẵn trong Android 4.3:

  • Hộp cát Android được củng cố bằng SELinux. Bản phát hành này củng cố hộp cát Android bằng cách sử dụng hệ thống kiểm soát truy cập bắt buộc (MAC) SELinux trong nhân Linux. Việc tăng cường SELinux là vô hình đối với người dùng và nhà phát triển, đồng thời bổ sung tính mạnh mẽ cho mô hình bảo mật Android hiện có trong khi vẫn duy trì khả năng tương thích với các ứng dụng hiện có. Để đảm bảo khả năng tương thích liên tục, bản phát hành này cho phép sử dụng SELinux ở chế độ cho phép. Chế độ này ghi lại mọi vi phạm chính sách nhưng sẽ không làm hỏng ứng dụng hoặc ảnh hưởng đến hoạt động của hệ thống.
  • Không có chương trình setuid/setgid. Đã thêm hỗ trợ cho các khả năng của hệ thống tệp vào tệp hệ thống Android và xóa tất cả các chương trình setuid/setguid. Điều này làm giảm bề mặt tấn công gốc và khả năng xảy ra các lỗ hổng bảo mật tiềm ẩn.
  • Xác thực ADB. Kể từ Android 4.2.2, các kết nối tới ADB được xác thực bằng cặp khóa RSA. Điều này ngăn chặn việc sử dụng trái phép ADB khi kẻ tấn công có quyền truy cập vật lý vào thiết bị.
  • Hạn chế Setuid khỏi ứng dụng Android. Phân vùng /system hiện được gắn nosuid cho các tiến trình do hợp tử sinh ra, ngăn các ứng dụng Android thực thi các chương trình setuid. Điều này làm giảm bề mặt tấn công gốc và khả năng xảy ra các lỗ hổng bảo mật tiềm ẩn.
  • Giới hạn khả năng. Hợp tử Android và ADB hiện sử dụng prctl(PR_CAPBSET_DROP) để loại bỏ các khả năng không cần thiết trước khi thực thi ứng dụng. Điều này ngăn các ứng dụng Android và ứng dụng được khởi chạy từ shell có được các khả năng đặc quyền.
  • Nhà cung cấp AndroidKeyStore. Android hiện có nhà cung cấp kho khóa cho phép các ứng dụng tạo khóa sử dụng độc quyền. Điều này cung cấp cho các ứng dụng một API để tạo hoặc lưu trữ các khóa riêng tư mà các ứng dụng khác không thể sử dụng.
  • KeyChain là thuật toán BoundKey. API chuỗi khóa hiện cung cấp một phương thức (isBoundKeyType) cho phép các ứng dụng xác nhận rằng các khóa trên toàn hệ thống được liên kết với nguồn tin cậy phần cứng của thiết bị. Điều này cung cấp một nơi để tạo hoặc lưu trữ các khóa riêng tư không thể xuất ra khỏi thiết bị, ngay cả trong trường hợp xâm phạm quyền root.
  • KHÔNG_NEW_PRIVS. Hợp tử Android hiện sử dụng prctl(PR_SET_NO_NEW_PRIVS) để chặn việc bổ sung các đặc quyền mới trước khi thực thi mã ứng dụng. Điều này ngăn các ứng dụng Android thực hiện các hoạt động có thể nâng cao đặc quyền thông qua execve. (Điều này yêu cầu nhân Linux phiên bản 3.5 trở lên).
  • Cải tiến FORTIFY_SOURCE. Đã bật FORTIFY_SOURCE trên Android x86 và MIPS, đồng thời củng cố các lệnh gọi strchr(), strrchr(), strlen() và umask(). Điều này có thể phát hiện các lỗ hổng tiềm ẩn về hỏng bộ nhớ hoặc các hằng chuỗi không được kết thúc.
  • Bảo vệ tái định cư. Đã bật tính năng định vị lại chỉ đọc (relro) cho các tệp thực thi được liên kết tĩnh và xóa tất cả các tính năng định vị lại văn bản trong mã Android. Điều này cung cấp khả năng bảo vệ chuyên sâu chống lại các lỗ hổng hỏng bộ nhớ tiềm ẩn.
  • EntropyMixer cải tiến. EntropyMixer hiện ghi entropy khi tắt máy/khởi động lại, ngoài việc trộn định kỳ. Điều này cho phép lưu giữ tất cả entropy được tạo trong khi bật nguồn thiết bị và đặc biệt hữu ích đối với các thiết bị được khởi động lại ngay sau khi cung cấp.
  • Sửa lỗi bảo mật. Android 4.3 cũng bao gồm các bản sửa lỗi cho các lỗ hổng dành riêng cho Android. Thông tin về các lỗ hổng này đã được cung cấp cho các thành viên của Liên minh thiết bị cầm tay mở và các bản sửa lỗi có sẵn trong Dự án mã nguồn mở Android. Để cải thiện tính bảo mật, một số thiết bị có phiên bản Android cũ hơn cũng có thể bao gồm các bản sửa lỗi này.

Android cung cấp mô hình bảo mật nhiều lớp được mô tả trong Tổng quan về bảo mật Android . Mỗi bản cập nhật cho Android bao gồm hàng tá cải tiến bảo mật để bảo vệ người dùng. Sau đây là một số cải tiến bảo mật được giới thiệu trong Android 4.2:

  • Xác minh ứng dụng - Người dùng có thể chọn bật “Xác minh ứng dụng" và để người xác minh ứng dụng sàng lọc ứng dụng trước khi cài đặt. Xác minh ứng dụng có thể cảnh báo người dùng nếu họ cố gắng cài đặt ứng dụng có thể gây hại; nếu ứng dụng đặc biệt tồi tệ, nó có thể chặn cài đặt.
  • Kiểm soát nhiều hơn đối với SMS cao cấp - Android sẽ cung cấp thông báo nếu một ứng dụng cố gắng gửi SMS tới một mã ngắn sử dụng các dịch vụ cao cấp có thể gây ra các khoản phí bổ sung. Người dùng có thể chọn cho phép ứng dụng gửi tin nhắn hoặc chặn tin nhắn đó.
  • VPN luôn bật - VPN có thể được định cấu hình để các ứng dụng sẽ không có quyền truy cập vào mạng cho đến khi kết nối VPN được thiết lập. Điều này ngăn các ứng dụng gửi dữ liệu qua các mạng khác.
  • Ghim chứng chỉ - Các thư viện lõi của Android hiện hỗ trợ tính năng ghim chứng chỉ . Các miền được ghim sẽ nhận được lỗi xác thực chứng chỉ nếu chứng chỉ không liên kết với một tập hợp các chứng chỉ mong đợi. Điều này bảo vệ khỏi sự xâm phạm có thể xảy ra của Tổ chức phát hành chứng chỉ.
  • Cải thiện hiển thị các quyền của Android - Các quyền đã được sắp xếp thành các nhóm để người dùng dễ hiểu hơn. Trong quá trình xem xét quyền, người dùng có thể nhấp vào quyền để xem thông tin chi tiết hơn về quyền.
  • cứng installd - Daemon installd không chạy với tư cách là người dùng root, làm giảm khả năng tấn công bề mặt để leo thang đặc quyền root.
  • init script cứng lại - init script hiện áp dụng ngữ nghĩa O_NOFOLLOW để ngăn chặn các cuộc tấn công liên quan đến liên kết biểu tượng.
  • FORTIFY_SOURCE - Android hiện triển khai FORTIFY_SOURCE . Điều này được sử dụng bởi các thư viện hệ thống và các ứng dụng để ngăn ngừa hỏng bộ nhớ.
  • Cấu hình mặc định của ContentProvider - Các ứng dụng nhắm mục tiêu API cấp 17 sẽ có "xuất" được đặt thành "false" theo mặc định cho mỗi Nhà cung cấp nội dung , giảm bề mặt tấn công mặc định cho các ứng dụng.
  • Cryptography - Đã sửa đổi các triển khai mặc định của SecureRandom và Cipher.RSA để sử dụng OpenSSL. Đã thêm hỗ trợ SSL Socket cho TLSv1.1 và TLSv1.2 bằng OpenSSL 1.0.1
  • Các bản sửa lỗi bảo mật - Các thư viện nguồn mở được nâng cấp với các bản sửa lỗi bảo mật bao gồm WebKit, libpng, OpenSSL và LibXML. Android 4.2 cũng bao gồm các bản sửa lỗi cho các lỗ hổng dành riêng cho Android. Thông tin về các lỗ hổng này đã được cung cấp cho các thành viên của Open Handset Alliance và các bản sửa lỗi có sẵn trong Dự án nguồn mở Android. Để cải thiện bảo mật, một số thiết bị có phiên bản Android cũ hơn cũng có thể bao gồm các bản sửa lỗi này.

Android cung cấp mô hình bảo mật nhiều lớp được mô tả trong Tổng quan về bảo mật Android . Mỗi bản cập nhật cho Android bao gồm hàng tá cải tiến bảo mật để bảo vệ người dùng. Sau đây là một số cải tiến bảo mật được giới thiệu trong Android phiên bản 1.5 đến 4.1:

Android 1.5
  • ProPolice để ngăn ghi đè bộ đệm ngăn xếp (-fstack-protectionor)
  • safe_iop để giảm tràn số nguyên
  • Các tiện ích mở rộng cho OpenBSD dlmalloc để ngăn chặn các lỗ hổng kép free () và ngăn các cuộc tấn công hợp nhất phân đoạn. Các cuộc tấn công hợp nhất phân đoạn là một cách phổ biến để khai thác tham nhũng đống.
  • OpenBSD calloc để ngăn chặn tràn số nguyên trong quá trình cấp phát bộ nhớ
Android 2.3
  • Định dạng các biện pháp bảo vệ lỗ hổng bảo mật chuỗi (-Wformat-security -Werror = format-security)
  • Dựa trên phần cứng Không có eXecute (NX) để ngăn thực thi mã trên ngăn xếp và đống
  • Linux mmap_min_addr để giảm thiểu leo ​​thang đặc quyền tham khảo con trỏ rỗng (được cải tiến thêm trong Android 4.1)
Android 4.0
Ngẫu nhiên bố cục không gian địa chỉ (ASLR) để ngẫu nhiên hóa các vị trí chính trong bộ nhớ
Android 4.1
  • Hỗ trợ PIE (Vị trí Độc lập Thực thi)
  • Các vị trí chỉ đọc / ràng buộc ngay lập tức (-Wl, -z, relro -Wl, -z, bây giờ)
  • dmesg_restrict được bật (tránh rò rỉ địa chỉ hạt nhân)
  • kptr_restrict được bật (tránh rò rỉ địa chỉ hạt nhân)