تحسينات على الأمان

يتضمّن كل إصدار من Android عشرات التحسينات على الأمان لحماية المستخدمين. في ما يلي بعض التحسينات الرئيسية على الأمان في Android 13:

• يتيح نظام Android 13 عرض عدّة مستندات في عرض تقديمي. تتيح واجهة "جلسة العرض" الجديدة هذه للتطبيق إجراء عرض تقديمي يضمّ عدة مستندات، وهو أمر غير ممكن باستخدام الواجهة الحالية لواجهة برمجة التطبيقات. لمزيد من المعلومات، يُرجى الاطّلاع على مستند تعريف الهوية
• في Android 13، يتم إرسال النوايا الواردة من تطبيقات خارجية إلى ملف برمجي تم تصديره إذا كانت النوايا مطابقة لعناصر فلاتر النوايا المعلَن عنها فقط.
• Open Mobile API (OMAPI) هي واجهة برمجة تطبيقات عادية تُستخدَم للتواصل مع عنصر الأمان في الجهاز. قبل Android 13، كانت التطبيقات ووحدات إطار العمل فقط هي التي يمكنها الوصول إلى هذه الواجهة. من خلال تحويلها إلى واجهة ثابتة لدى المورّد، تصبح وحدات HAL قادرة أيضًا على التواصل مع العناصر الآمنة من خلال خدمة OMAPI. لمزيد من المعلومات، يُرجى الاطّلاع على واجهة OMAPI الثابتة الخاصة بالمطوّر.
• اعتبارًا من الإصدار Android 13-QPR، تم إيقاف أرقام تعريف المستخدمين المشترَكة نهائيًا. على مستخدمي الإصدار 13 من Android أو الإصدارات الأحدث إدراج السطر التالي في ملف البيان: `android:sharedUserMaxSdkVersion="32"` يمنع هذا الإدخال المستخدمين الجدد من الحصول على معرّف مستخدم فريد مشترَك. لمزيد من المعلومات عن أرقام التعريف الفريد للمستخدم، يُرجى الاطّلاع على مقالة توقيع التطبيق.
• أضاف نظام Android 13 دعمًا للعناصر الأساسية للتشفير المتماثل في "متجر المفاتيح"، مثل AES (معيار التشفير المتقدّم) وHMAC (رمز مصادقة الرسائل باستخدام التجزئة المفتاحية)، والخوارزميات غير المتماثلة للتشفير (بما في ذلك المنحنى الإهليجي وRSA2048 وRSA4096 والمنحنى 25519)
• يتيح الإصدار 13 من Android (المستوى 33 لواجهة برمجة التطبيقات) والإصدارات الأحدث إذن وقت التشغيل لإرسال إشعارات غير معفاة من أحد التطبيقات. ويمنح ذلك المستخدمين إمكانية التحكّم في الإشعارات التي تظهر لهم بشأن الأذونات.
• تمت إضافة طلب عند الاستخدام للتطبيقات التي تطلب الوصول إلى جميع سجلات الجهاز، ما يتيح للمستخدمين السماح بالوصول أو رفضه.
• طرحنا إطار عمل Android Virtualization Framework (AVF)، الذي يجمع بين أنظمة التشغيل الافتراضية المختلفة ضمن إطار عمل واحد باستخدام واجهات برمجة تطبيقات موحّدة. وتوفّر بيئة تنفيذ آمنة وخاصة لتنفيذ أعباء العمل التي تم عزلها بواسطة برنامج إدارة الأجهزة الافتراضية.
• طرح الإصدار 3.1 من نظام توقيع حِزم APK تستخدم جميع عمليات تغيير المفاتيح الجديدة التي تستخدم apksigner نظام التوقيع 3.1 تلقائيًا لاستهداف عملية التغيير في الإصدار 13 من نظام التشغيل Android والإصدارات الأحدث.

يمكنك الاطّلاع على ملاحظات الإصدار الكاملة لنظام التشغيل AOSP و قائمة الميزات والتغييرات التي تخصّ مطوّري تطبيقات Android.

Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 12:

• Android 12 introduces the BiometricManager.Strings API, which provides localized strings for apps that use BiometricPrompt for authentication. These strings are intended to be device-aware and provide more specificity about which authentication types might be used. Android 12 also includes support for under-display fingerprint sensors
• Support added for under-display fingerprint sensors
• Introduction of the Fingerprint Android Interface Definition Language (AIDL)
• Support for new Face AIDL
• Introduction of Rust as a language for platform development
• The option for users to grant access only to their approximate location added
• Added Privacy indicators on the status bar when an app is using the camera or microphone
• Android's Private Compute Core (PCC)
• Added an option to disable 2G support

每个 Android 版本中都包含数十项用于保护用户的安全增强功能。如需查看 Android 11 中提供的一些主要安全增强功能的列表，请参阅 Android 版本说明。

يتضمّن كل إصدار من Android عشرات التحسينات على الأمان لحماية المستخدمين. يتضمّن نظام التشغيل Android 10 العديد من التحسينات على الأمان والخصوصية. يمكنك الاطّلاع على ملاحظات إصدار Android 10 للحصول على قائمة كاملة بالتغييرات في Android 10.

الأمان

BoundsSanitizer

ينشر نظام التشغيل Android 10 BoundsSanitizer (BoundSan) في البلوتوث وبرامج الترميز. يستخدم BoundSan أداة تعقيم الحدود في UBSan. يتم تفعيل هذه الميزة على مستوى كل وحدة. ويساعد هذا الإجراء في الحفاظ على أمان مكونات Android المهمة، ويجب عدم إيقافه. يتم تفعيل BoundSan في برامج الترميز التالية:

• libFLAC
• libavcdec
• libavcenc
• libhevcdec
• libmpeg2
• libopus
• libvpx
• libspeexresampler
• libvorbisidec
• libaac
• libxaac

ذاكرة للتنفيذ فقط

يتم تلقائيًا وضع علامة "قابل للتنفيذ فقط (غير قابل للقراءة)" على أقسام الرموز القابلة للتنفيذ لملفّات AArch64 الثنائية كإجراء تخفيف للتحصين من هجمات إعادة استخدام الرموز عند التشغيل. لم تعُد التعليمات البرمجية التي تمزج البيانات والرمز معًا والتعليمات البرمجية التي تفحص هذه الأقسام عمدًا (بدون إعادة ربط أجزاء الذاكرة أولاً على أنّها قابلة للقراءة) تعمل. تتأثر التطبيقات التي تستهدِف نظام التشغيل Android 10 (المستوى 29 من واجهة برمجة التطبيقات أو مستوى أعلى) إذا حاول التطبيق قراءة أقسام الرموز البرمجية لمكتبات النظام المفعَّلة لذاكرة التنفيذ فقط (XOM) في الذاكرة بدون وضع علامة أولاً على القسم على أنّه قابل للقراءة.

إمكانية الوصول الموسّع

لا يمكن للوكلاء المعتمَدين، وهم الآلية الأساسية التي تستخدمها آليات المصادقة الثالثية، مثل Smart Lock، تمديد فتح القفل إلا في Android 10. لن يتمكّن الوكلاء المعتمَدون من فتح قفل جهاز تم قفله، ولن يتمكّنوا من إبقاء الجهاز مفتوحًا سوى لمدة أربع ساعات كحد أقصى.

المصادقة بالوجه

تسمح ميزة سمة التحقّق للمستخدمين بفتح قفل أجهزتهم ببساطة من خلال النظر إلى الجانب الأمامي من أجهزتهم. يضيف Android 10 ميزة جديدة للتعرّف على الوجه يمكنها معالجة لقطات الكاميرا بأمان، ما يحافظ على الأمان والخصوصية أثناء عملية التعرّف على الوجه على الأجهزة المتوافقة. يقدّم نظام التشغيل Android 10 أيضًا طريقة سهلة لتنفيذ عمليات الامتثال للأمان لتفعيل دمج التطبيقات في المعاملات، مثل الخدمات المصرفية على الإنترنت أو الخدمات الأخرى.

إزالة القيم غير الصالحة من الأعداد الصحيحة

يفعّل نظام التشغيل Android 10 ميزة تطهير overflow الأرقام الصحيحة (IntSan) في برامج الترميز. تأكَّد من أنّ أداء التشغيل مقبول لأي برامج ترميز غير متوافقة مع مكونات الجهاز. يتم تفعيل IntSan في برامج الترميز التالية:

• libFLAC
• libavcdec
• libavcenc
• libhevcdec
• libmpeg2
• libopus
• libvpx
• libspeexresampler
• libvorbisidec

مكونات النظام المُعَدَّة للتركيب

يُنشئ الإصدار 10 من Android وحدات لبعض مكوّنات نظام Android ويتيح تحديثها خارج دورة إصدار Android العادية. تشمل بعض الوحدات ما يلي:

• Android Runtime
• Conscrypt
• برنامج تعيين نظام أسماء النطاقات
• DocumentsUI
• ExtServices
• الوسائط
• ModuleMetadata
• التواصل
• PermissionController
• بيانات المنطقة الزمنية

OEMCrypto

يستخدم الإصدار 10 من نظام التشغيل Android الإصدار 15 من واجهة برمجة التطبيقات OEMCrypto API.

Scudo

‫Scudo هو أداة dynamiك لتوزيع الذاكرة في وضع المستخدم، وهي مصمّمة لتكون أكثر مرونة في مواجهة نقاط الضعف المرتبطة بالمساحة الفارغة. وتوفّر هذه البنية الأساسية عناصر تخصيص وتخصيص الذاكرة العادية في C، بالإضافة إلى عناصر C++ الأساسية.

ShadowCallStack

ShadowCallStack (SCS) هو وضع LLVM لأدوات القياس الذي يحمي من عمليات استبدال عنوان الاسترجاع (مثل عمليات تجاوز ذاكرة التخزين المؤقت للوِحَد) من خلال حفظ عنوان استرجاع الدالة في مثيل ShadowCallStack تم تخصيصه بشكلٍ منفصل في مقدمة الدالة للدوالّ غير الورقية وتحميل عنوان الاسترجاع من مثيل ShadowCallStack في خاتمة الدالة.

WPA3 وميزة "الفتح المحسّن" في Wi-Fi

يضيف نظام التشغيل Android 10 معايير أمان Wi-Fi Protected Access 3 (WPA3) وWi-Fi Enhanced Open لتوفير خصوصية وأمان أفضل ضد الهجمات المعروفة.

الخصوصية

إذن وصول التطبيق عند استهداف Android 9 أو الإصدارات الأقدم

إذا كان تطبيقك يعمل بنظام التشغيل Android 10 أو إصدار أحدث ولكنه يستهدف الإصدار 9 من نظام التشغيل Android (المستوى 28 لواجهة برمجة التطبيقات) أو إصدارًا أقدم، يطبّق النظام الأساسي السلوك التالي:

• إذا كان تطبيقك يعلن عن عنصر <uses-permission> لكل من ACCESS_FINE_LOCATION أو ACCESS_COARSE_LOCATION، يضيف النظام تلقائيًا عنصر <uses-permission> ل ACCESS_BACKGROUND_LOCATION أثناء التثبيت.
• إذا طلب تطبيقك ACCESS_FINE_LOCATION أو ACCESS_COARSE_LOCATION، يضيف النظام تلقائيًا ACCESS_BACKGROUND_LOCATION إلى الطلب.

قيود النشاط في الخلفية

بدءًا من الإصدار 10 من نظام Android، يفرض النظام قيودًا على بدء الأنشطة من الخلفية. يساعد هذا التغيير في السلوك على تقليل الانقطاعات التي يواجهها المستخدم ويمنحه مزيدًا من التحكّم في ما يتم عرضه على شاشته. طالما أنّ تطبيقك يبدأ الأنشطة نتيجة مباشرة لتفاعل المستخدم، من المرجّح ألا يتأثّر تطبيقك بهذه القيود.
لمزيد من المعلومات حول البديل المقترَح لبدء الأنشطة من الخلفية، اطّلِع على الدليل حول كيفية تنبيه المستخدمين بالأحداث الحساسة للوقت في تطبيقك.

البيانات الوصفية للكاميرا

يغيّر نظام التشغيل Android 10 نطاق المعلومات التي تعرضها الطريقة getCameraCharacteristics() تلقائيًا. وعلى وجه الخصوص، يجب أن يكون لدى تطبيقك إذن CAMERA للوصول إلى البيانات الوصفية التي قد تكون خاصة بالجهاز والتي يتم تضمينها في القيمة المعروضة من هذه الطريقة.
للاطّلاع على مزيد من المعلومات عن هذه التغييرات، اطّلِع على القسم المعنيّ بحقول الكاميرا التي تتطلّب الحصول على إذن.

بيانات الحافظة

لا يمكن لتطبيقك الوصول إلى بيانات الحافظة على نظام التشغيل Android 10 أو الإصدارات الأحدث ما لم يكن تطبيقك هو محرِّر أسلوب الإدخال (IME) التلقائي أو التطبيق الذي يحظى حاليًا بالتركيز.

الموقع الجغرافي للجهاز

لتقديم مزيد من التحكّم للمستخدمين في إمكانية وصول التطبيق إلى معلومات الموقع الجغرافي، يقدّم نظام التشغيل Android 10 إذن ACCESS_BACKGROUND_LOCATION.
على عكس إذنَي ACCESS_FINE_LOCATION وACCESS_COARSE_LOCATION ، لا يؤثر إذن ACCESS_BACKGROUND_LOCATION إلا في إمكانية وصول التطبيق إلى الموقع الجغرافي عندما يعمل في الخلفية. يُعتبر أنّ التطبيق يصل إلى بيانات الموقع الجغرافي في الخلفية ما لم يستوفِ أحد الشروط التالية:

• ظهور نشاط ينتمي إلى التطبيق
• يشغِّل التطبيق خدمة تعمل في المقدّمة تم تحديد نوع الخدمة لها على أنّه location.
  لتحديد نوع الخدمة التي تعمل في المقدّمة لإحدى الخدمات في تطبيقك، اضبط targetSdkVersion أو compileSdkVersion في تطبيقك على 29 أو إصدار أحدث. اطّلِع على مزيد من المعلومات حول كيفية مواصلة خدمات المقدّمة الإجراءات التي يبدأها المستخدم والتي تتطلّب الوصول إلى الموقع الجغرافي.

وحدة تخزين خارجية

تحصل التطبيقات التي تستهدف الإصدار 10 من نظام التشغيل Android والإصدارات الأحدث تلقائيًا على إذن الوصول المحدود إلى مساحة التخزين الخارجية أو التخزين المحدود. يمكن لهذه التطبيقات الاطّلاع على الأنواع التالية من الملفات في جهاز تخزين خارجي بدون الحاجة إلى طلب أي أذونات من المستخدمين ذات صلة بمساحة التخزين:

• الملفات في الدليل الخاص بالتطبيق، والتي يمكن الوصول إليها باستخدام getExternalFilesDir()
• الصور والفيديوهات والمقاطع الصوتية التي أنشأها التطبيق من مخزّن الوسائط

للاطّلاع على مزيد من المعلومات عن مساحة التخزين ذات النطاق المحدّد، بالإضافة إلى كيفية مشاركة الملفات المحفوظة على أجهزة التخزين الخارجية والوصول إليها وتعديلها، يمكنك الاطّلاع على الأدلة حول كيفية إدارة الملفات في مساحة التخزين الخارجية والوصول إلىملفّات الوسائط تعديلها.

اختيار عنوان MAC بشكل عشوائي

على الأجهزة التي تعمل بالإصدار 10 من نظام التشغيل Android أو إصدار أحدث، يُرسِل النظام عناوين MAC بشكل عشوائي تلقائيًا.
إذا كان تطبيقك يعالج حالة استخدام متعلّقة بالمؤسسات، يوفّر السطح المتعلّق بالتطبيق واجهات برمجة تطبيقات لإجراء عدّة عمليات مرتبطة بعناوين MAC:

• الحصول على عنوان MAC عشوائي: يمكن لتطبيقات مالكي الأجهزة وتطبيقات مالكي الملفات الشخصية استرداد عنوان MAC العشوائي الذي تم تخصيصه لشبكة معيّنة من خلال الاتصال بالرقم getRandomizedMacAddress().
• الحصول على عنوان MAC الأصلي: يمكن لتطبيقات مالكو الأجهزة retrieving استرجاع عنوان MAC الأصلي للجهاز من خلال الاتصال بـ getWifiMacAddress(). وتكون هذه الطريقة مفيدة لتتبُّع أسطول من الأجهزة.

معرّفات الأجهزة غير القابلة لإعادة الضبط

بدءًا من Android 10، يجب أن تحصل التطبيقات على READ_PRIVILEGED_PHONE_STATE الإذن المميّز للوصول إلى معرّفات الجهاز التي لا يمكن إعادة ضبطها، والتي تشمل رقم IMEI و رقم التسلسل.

• Build
  • getSerial()
• TelephonyManager
  • getImei()
  • getDeviceId()
  • getMeid()
  • getSimSerialNumber()
  • getSubscriberId()

إذا لم يكن تطبيقك يملك الإذن وحاولت طلب معلومات عن المعرّفات غير القابلة لإعادة الضبط على أي حال، يختلف ردّ المنصة استنادًا إلى إصدار حزمة SDK المستهدَف:

• إذا كان تطبيقك يستهدف الإصدار 10 من نظام التشغيل Android أو إصدارًا أحدث، يحدث SecurityException.
• إذا كان تطبيقك يستهدف الإصدار 9 من نظام التشغيل Android (المستوى 28 من واجهة برمجة التطبيقات) أو إصدارًا أقدم، تُعرِض الطريقة null أو بيانات العنصر النائب إذا كان التطبيق يملك الإذن READ_PHONE_STATE. بخلاف ذلك، يحدث SecurityException.

التعرّف على النشاط البدني

يقدّم نظام التشغيل Android 10 إذن التشغيل android.permission.ACTIVITY_RECOGNITION للتطبيقات التي تحتاج إلى رصد عدد خطوات المستخدم أو تصنيف نشاطه البدني، مثل المشي أو ركوب الدراجة أو التنقل في مركبة. تم تصميم هذا القسم لإطلاع المستخدمين على كيفية استخدام بيانات أدوات استشعار الجهاز في "الإعدادات".
لا تقدّم بعض المكتبات ضمن "خدمات Google Play"، مثل Activity Recognition API وGoogle Fit API، نتائج ما لم يمنح المستخدم تطبيقك هذا الإذن.
عداد الخطوات وكاشف الخطوات هما فقط أداة الاستشعار المضمّنة على الجهاز التي تتطلّب منك الإفصاح عن هذا الإذن.
إذا كان تطبيقك يستهدف الإصدار 9 من نظام التشغيل Android (المستوى 28 لواجهة برمجة التطبيقات) أو إصدارًا أقل، منح النظام تلقائيًا إذن android.permission.ACTIVITY_RECOGNITION لتطبيقك، حسب الحاجة، إذا كان تطبيقك يستوفي كلًا مما يلي الشروط:

• يتضمّن ملف البيان الإذن com.google.android.gms.permission.ACTIVITY_RECOGNITION.
• لا يتضمّن ملف البيان الإذن android.permission.ACTIVITY_RECOGNITION.

إذا منح النظام التلقائي الإذن android.permission.ACTIVITY_RECOGNITION، يحتفظ تطبيقك بالإذن بعد تحديث تطبيقك لاستهداف Android 10. ومع ذلك، يمكن للمستخدم سحب هذا الإذن في أي وقت من خلال إعدادات النظام.

قيود نظام الملفات /proc/net

على الأجهزة التي تعمل بنظام التشغيل Android 10 أو إصدار أحدث، لا يمكن للتطبيقات الوصول إلى /proc/net، الذي يتضمّن معلومات عن حالة شبكة الجهاز. على التطبيقات التي تحتاج إلى الوصول إلى هذه المعلومات، مثل شبكات VPN، استخدام فئة NetworkStatsManager أو ConnectivityManager.

مجموعات الأذونات التي تمت إزالتها من واجهة المستخدم

اعتبارًا من Android 10، لا يمكن للتطبيقات البحث عن كيفية تجميع الأذونات في واجهة المستخدم.

إزالة التقارب في جهات الاتصال

بدءًا من Android 10، لم تعُد المنصة تتتبّع معلومات صلة جهات الاتصال. نتيجةً لذلك، إذا أجرى تطبيقك بحثًا في جهات اتصال المستخدم، لا يتم ترتيب النتائج حسب معدّل التفاعل.
يحتوي الدليل حول ContactsProvider على إشعار يصف الحقول والطُرق المحدّدة التي أصبحت قديمة على جميع الأجهزة بدءًا من Android 10.

تم حظر الوصول إلى محتوى الشاشة

لحماية محتوى شاشة المستخدمين، يمنع نظام Android 10 الوصول الصامت إلى محتوى شاشة الجهاز من خلال تغيير نطاق أذونات READ_FRAME_BUFFER وCAPTURE_VIDEO_OUTPUT و CAPTURE_SECURE_VIDEO_OUTPUT. اعتبارًا من الإصدار 10 من Android، يقتصر استخدام هذين الإذنَين على الوصول إلى التوقيع فقط.
يجب أن تستخدم التطبيقات التي تحتاج إلى الوصول إلى محتوى شاشة الجهاز واجهة برمجة التطبيقات MediaProjection ، التي تعرِض طلبًا يطلب من المستخدم تقديم موافقته.

الرقم التسلسلي لجهاز USB

إذا كان تطبيقك يستهدف الإصدار 10 من نظام التشغيل Android أو إصدارًا أحدث، لا يمكن لتطبيقك قراءة الرقم التسلسلي إلى أن يمنح المستخدم تطبيقك الإذن بالوصول إلى جهاز USB أو الملحق.
لمزيد من المعلومات حول استخدام أجهزة USB، اطّلِع على الدليل حول كيفية ضبط مضيفات USB.

Wi-Fi

لا يمكن للتطبيقات التي تستهدف الإصدار 10 من Android أو الإصدارات الأحدث تفعيل شبكة Wi-Fi أو إيقافها. تُرجع الطريقة WifiManager.setWifiEnabled() دائمًا القيمة false.
إذا كنت بحاجة إلى مطالبة المستخدمين بتفعيل شبكة Wi-Fi وإيقافها، استخدِم لوحة الإعدادات.

القيود المفروضة على الوصول المباشر إلى شبكات Wi-Fi التي تم ضبطها

لحماية خصوصية المستخدم، يقتصر الضبط اليدوي لقائمة شبكات Wi-Fi على تطبيقات النظام وعناصر التحكّم في سياسة الجهاز (DPC). يمكن أن يكون "مدير نقطة الاتصال" المعيّن هو مالك الجهاز أو مالك الملف الشخصي.
إذا كان تطبيقك يستهدف الإصدار 10 من نظام التشغيل Android أو إصدارًا أحدث، ولم يكن تطبيقًا للنظام أو DPC، لن تُظهر الطرق التالية بيانات مفيدة:

• تُرجع الطريقة getConfiguredNetworks() قائمة فارغة دائمًا.
• إنّ كل طريقة من طرق عمليات الشبكة التي تعرض قيمة عددية، مثل addNetwork() وupdateNetwork()، تعرِض دائمًا قيمة -1.
• إنّ كل عملية على الشبكة تُعرِض قيمة منطقية، وهي removeNetwork() reassociate() enableNetwork() disableNetwork() reconnect() disconnect()، تعرِض دائمًاfalse.

يتضمّن كل إصدار من Android عشرات التحسينات على الأمان لحماية المستخدمين. للحصول على قائمة ببعض التحسينات الرئيسية على الأمان المتاحة في الإصدار 9 من Android، يُرجى الاطّلاع على ملاحظات الإصدار من Android.

Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 8.0:

• Encryption. Added support to evict key in work profile.
• Verified Boot. Added Android Verified Boot (AVB). Verified Boot codebase supporting rollback protection for use in boot loaders added to AOSP. Recommend bootloader support for rollback protection for the HLOS. Recommend boot loaders can only be unlocked by user physically interacting with the device.
• Lock screen. Added support for using tamper-resistant hardware to verify lock screen credential.
• KeyStore. Required key attestation for all devices that ship with Android 8.0+. Added ID attestation support to improve Zero Touch Enrollment.
• Sandboxing. More tightly sandboxed many components using Project Treble's standard interface between framework and device-specific components. Applied seccomp filtering to all untrusted apps to reduce the kernel's attack surface. WebView is now run in an isolated process with very limited access to the rest of the system.
• Kernel hardening. Implemented hardened usercopy, PAN emulation, read-only after init, and KASLR.
• Userspace hardening. Implemented CFI for the media stack. App overlays can no longer cover system-critical windows and users have a way to dismiss them.
• Streaming OS update. Enabled updates on devices that are are low on disk space.
• Install unknown apps. Users must grant permission to install apps from a source that isn't a first-party app store.
• Privacy. Android ID (SSAID) has a different value for each app and each user on the device. For web browser apps, Widevine Client ID returns a different value for each app package name and web origin. net.hostname is now empty and the dhcp client no longer sends a hostname. android.os.Build.SERIAL has been replaced with the Build.SERIAL API which is protected behind a user-controlled permission. Improved MAC address randomization in some chipsets.

Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 7.0:

• File-based encryption. Encrypting at the file level, instead of encrypting the entire storage area as a single unit, better isolates and protects individual users and profiles (such as personal and work) on a device.
• Direct Boot. Enabled by file-based encryption, Direct Boot allows certain apps such as alarm clock and accessibility features to run when device is powered on but not unlocked.
• Verified Boot. Verified Boot is now strictly enforced to prevent compromised devices from booting; it supports error correction to improve reliability against non-malicious data corruption.
• SELinux. Updated SELinux configuration and increased seccomp coverage further locks down the Application Sandbox and reduces attack surface.
• Library load-order randomization and improved ASLR. Increased randomness makes some code-reuse attacks less reliable.
• Kernel hardening. Added additional memory protection for newer kernels by marking portions of kernel memory as read-only, restricting kernel access to userspace addresses and further reducing the existing attack surface.
• APK signature scheme v2. Introduced a whole-file signature scheme that improves verification speed and strengthens integrity guarantees.
• Trusted CA store. To make it easier for apps to control access to their secure network traffic, user-installed certificate authorities and those installed through Device Admin APIs are no longer trusted by default for apps targeting API Level 24+. Additionally, all new Android devices must ship with the same trusted CA store.
• Network Security Config. Configure network security and TLS through a declarative configuration file.

每个 Android 版本中都包含数十种用于保护用户的安全增强功能。以下是 Android 6.0 中提供的一些主要安全增强功能：

• 运行时权限：应用在运行时请求权限，而不是在安装时被授予权限。用户可以为 M 及更低版本的 Android 应用启用和停用权限。
• 验证启动：在执行系统软件之前，先对其进行一系列加密检查，以确保手机从引导加载程序到操作系统均处于正常状况。
• 硬件隔离安全措施：新的硬件抽象层 (HAL)，Fingerprint API、锁定屏幕、设备加密功能和客户端证书可以利用它来保护密钥免遭内核入侵和/或现场攻击。
• 指纹：现在，只需触摸一下，即可解锁设备。开发者还可以借助新的 API 来使用指纹锁定和解锁加密密钥。
• 加装 SD 卡：可将移动媒体设备加装到设备上，以便扩展可用存储空间来存放本地应用数据、照片、视频等内容，但仍受块级加密保护。
• 明文流量：开发者可以使用新的 StrictMode 来确保其应用不会使用明文。
• 系统加固：通过由 SELinux 强制执行的政策对系统进行加固。这可以实现更好的用户隔离和 IOCTL 过滤、降低可从设备/系统之外访问的服务面临的威胁、进一步强化 SELinux 域，以及高度限制对 /proc 的访问。
• USB 访问控制：必须由用户确认是否允许通过 USB 访问手机上的文件、存储空间或其他功能。现在，默认设置是“仅充电”，如果要访问存储空间，必须获得用户的明确许可。

5.0

Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 5.0:

• Encrypted by default. On devices that ship with L out-of-the-box, full disk encryption is enabled by default to improve protection of data on lost or stolen devices. Devices that update to L can be encrypted in Settings > Security .
• Improved full disk encryption. The user password is protected against brute-force attacks using scrypt and, where available, the key is bound to the hardware keystore to prevent off-device attacks. As always, the Android screen lock secret and the device encryption key are not sent off the device or exposed to any application.
• Android sandbox reinforced with SELinux . Android now requires SELinux in enforcing mode for all domains. SELinux is a mandatory access control (MAC) system in the Linux kernel used to augment the existing discretionary access control (DAC) security model. This new layer provides additional protection against potential security vulnerabilities.
• Smart Lock. Android now includes trustlets that provide more flexibility for unlocking devices. For example, trustlets can allow devices to be unlocked automatically when close to another trusted device (through NFC, Bluetooth) or being used by someone with a trusted face.
• Multi user, restricted profile, and guest modes for phones and tablets. Android now provides for multiple users on phones and includes a guest mode that can be used to provide easy temporary access to your device without granting access to your data and apps.
• Updates to WebView without OTA. WebView can now be updated independent of the framework and without a system OTA. This allows for faster response to potential security issues in WebView.
• Updated cryptography for HTTPS and TLS/SSL. TLSv1.2 and TLSv1.1 is now enabled, Forward Secrecy is now preferred, AES-GCM is now enabled, and weak cipher suites (MD5, 3DES, and export cipher suites) are now disabled. See https://developer.android.com/reference/javax/net/ssl/SSLSocket.html for more details.
• non-PIE linker support removed. Android now requires all dynamically linked executables to support PIE (position-independent executables). This enhances Android's address space layout randomization (ASLR) implementation.
• FORTIFY_SOURCE improvements. The following libc functions now implement FORTIFY_SOURCE protections: stpcpy(), stpncpy(), read(), recvfrom(), FD_CLR(), FD_SET(), and FD_ISSET(). This provides protection against memory-corruption vulnerabilities involving those functions.
• Security Fixes. Android 5.0 also includes fixes for Android-specific vulnerabilities. Information about these vulnerabilities has been provided to Open Handset Alliance members, and fixes are available in Android Open Source Project. To improve security, some devices with earlier versions of Android may also include these fixes.

每个 Android 版本中都包含数十项用于保护用户的安全增强功能。以下是 Android 4.4 中提供的一些安全增强功能：

• 通过 SELinux 得到增强的 Android 沙盒。 Android 现在以强制模式使用 SELinux。SELinux 是 Linux 内核中的强制访问控制 (MAC) 系统，用于增强基于自主访问控制 (DAC) 的现有安全模型。 这为防范潜在的安全漏洞提供了额外的保护屏障。
• 按用户应用 VPN。 在多用户设备上，现在按用户应用 VPN。 这样一来，用户就可以通过一个 VPN 路由所有网络流量，而不会影响使用同一设备的其他用户。
• AndroidKeyStore 中的 ECDSA 提供程序支持。 Android 现在有一个允许使用 ECDSA 和 DSA 算法的密钥库提供程序。
• 设备监测警告。 如果有任何可能允许监测加密网络流量的证书添加到设备证书库中，Android 都会向用户发出警告。
• FORTIFY_SOURCE。 Android 现在支持 FORTIFY_SOURCE 第 2 级，并且所有代码在编译时都会受到这些保护。FORTIFY_SOURCE 已得到增强，能够与 Clang 配合使用。
• 证书锁定。 Android 4.4 能够检测安全的 SSL/TLS 通信中是否使用了欺诈性 Google 证书，并且能够阻止这种行为。
• 安全修复程序。 Android 4.4 中还包含针对 Android 特有漏洞的修复程序。 有关这些漏洞的信息已提供给“开放手机联盟”(Open Handset Alliance) 成员，并且 Android 开源项目中提供了相应的修复程序。为了提高安全性，搭载更低版本 Android 的某些设备可能也会包含这些修复程序。

يتضمّن كل إصدار من Android عشرات التحسينات على الأمان لحماية المستخدمين. في ما يلي بعض تحسينات الأمان المتاحة في Android 4.3:

• بيئة Android المحصَّنة المعزّزة ببرنامج SELinux يعزّز هذا الإصدار وضع الحماية في Android باستخدام نظام التحكّم الإجباري في الوصول (MAC) في SELinux في نواة Linux. لا يمكن للمستخدمين والمطوّرين رؤية ميزة "تعزيز أمان SELinux"، وهي تضيف مزيدًا من الصلابة إلى نموذج أمان Android الحالي مع الحفاظ على التوافق مع التطبيقات الحالية. لضمان استمرار التوافق، يسمح هذا الإصدار باستخدام SELinux في وضع السماح. يسجِّل هذا الوضع أي انتهاكات للسياسة، ولكنّه لن يؤدي إلى إيقاف التطبيقات أو التأثير في سلوك النظام.
• لا تتوفّر برامج setuid أو setgid. تمت إضافة إمكانات أنظمة الملفات إلى ملفات نظام Android وتمت إزالة جميع برامج setuid أو setgid. يقلل ذلك من مساحة سطح الهجوم على الجذر واحتمالات حدوث ثغرات أمنية محتملة.
• مصادقة ADB: بدءًا من Android 4.2.2، تتم مصادقة اتصالات ADB باستخدام مفتاحَي تشفير RSA. ويؤدي ذلك إلى منع الاستخدام غير المصرَّح به ل IDE IDE عندما يكون لدى المهاجم إمكانية الوصول المادي إلى الجهاز.
• حظر Setuid من تطبيقات Android تم الآن تركيب القسم /system باستخدام ملف nosuid للعمليات التي تم إنشاؤها بواسطة zygote، ما يمنع تطبيقات Android من تنفيذ برامج setuid. ويؤدي ذلك إلى تقليل مساحة سطح الهجوم على الجذر واحتمالية حدوث ثغرات أمنية محتملة.
• تحديد الإمكانيات: يستخدم الآن zygote وADB في Android prctl(PR_CAPBSET_DROP) لإلغاء الإمكانات غير الضرورية قبل تنفيذ التطبيقات. ويمنع ذلك تطبيقات Android والتطبيقات التي يتم تشغيلها من الجلسة من الحصول على إمكانات مميّزة.
• موفِّر AndroidKeyStore: يتوفّر الآن في Android مقدّم خدمة ملف تخزين مفاتيح يسمح للتطبيقات بإنشاء مفاتيح استخدام حصرية. يزوّد هذا الإجراء التطبيقات بواجهة برمجة تطبيقات لإنشاء مفاتيح خاصة أو تخزينها لا يمكن استخدامها من قِبل تطبيقات أخرى.
• سلسلة المفاتيح isBoundKeyAlgorithm: توفّر Keychain API الآن طريقة (isBoundKeyType) تسمح للتطبيقات بتأكيد أنّ المفاتيح على مستوى النظام مرتبطة بنقطة ثقة للأجهزة. يوفر ذلك مكانًا لإنشاء مفاتيح خاصة أو تخزينها لا يمكن تصديرها خارج الجهاز، حتى في حال اختراق الجذر.
• NO_NEW_PRIVS: يستخدم نظام Android الآن prctl(PR_SET_NO_NEW_PRIVS) لحظر إضافة امتيازات جديدة قبل تنفيذ رمز التطبيق. ويؤدي ذلك إلى منع تطبيقات Android من تنفيذ عمليات يمكنها تصعيد الأذونات من خلال execve. (يتطلب ذلك استخدام الإصدار 3.5 من نواة Linux أو إصدار أحدث).
• FORTIFY_SOURCE التحسينات تم تفعيل FORTIFY_SOURCE على Android x86 وMIPS وتم تحسين المكالمات عبر strchr() وstrrchr() وstrlen() umask(). يمكن أن يرصد هذا الفحص الثغرات المحتملة المتعلّقة بتلف الذاكرة أو الثوابت المكوّنة من سلاسل ملفتة لم يتم إنهائها.
• وسائل الحماية من نقل البيانات تم تفعيل عمليات إعادة التعيين للقراءة فقط (relro) لملفَّي تنفيذ مرتبطَين بشكل ثابت وإزالة جميع عمليات إعادة تعيين النصوص في رمز Android البرمجي. ويوفر ذلك دفاعًا شاملاً ضد الثغرات المحتملة المتعلّقة بتلف الذاكرة.
• تحسين EntropyMixer: يكتب EntropyMixer الآن معلومات الالتباس عند إيقاف التشغيل أو إعادة التشغيل، بالإضافة إلى عمليات الخلط الدورية. يتيح ذلك الاحتفاظ بكل محتوى التشويش الذي تم إنشاؤه أثناء تشغيل الأجهزة، وهو مفيد بشكل خاص للأجهزة التي تتم إعادة تشغيلها فورًا بعد الإعداد.
• إصلاحات الأمان: يتضمّن Android 4.3 أيضًا إصلاحات لثغرات أمنية تتعلّق بنظام Android. تم تقديم معلومات عن هذه الثغرات الأمنية لأعضاء تحالف Open Handset Alliance، وتتوفّر الإصلاحات في "المشروع المفتوح المصدر لنظام Android". لتحسين مستوى الأمان، قد تتضمّن أيضًا بعض الأجهزة التي تعمل بإصدارات أقدم من Android هذه الإصلاحات.

Android provides a multi-layered security model described in the Android Security Overview. Each update to Android includes dozens of security enhancements to protect users. The following are some of the security enhancements introduced in Android 4.2:

• App verification: Users can choose to enable Verify Apps and have apps screened by an app verifier, prior to installation. App verification can alert the user if they try to install an app that might be harmful; if an app is especially bad, it can block installation.
• More control of premium SMS: Android provides a notification if an app attempts to send SMS to a short code that uses premium services that might cause additional charges. The user can choose whether to allow the app to send the message or block it.
• Always-on VPN: VPN can be configured so that apps won't have access to the network until a VPN connection is established. This prevents apps from sending data across other networks.
• Certificate pinning: The Android core libraries now support certificate pinning. Pinned domains receive a certificate validation failure if the certificate doesn't chain to a set of expected certificates. This protects against possible compromise of certificate authorities.
• Improved display of Android permissions: Permissions are organized into groups that are more easily understood by users. During review of the permissions, the user can click on the permission to see more detailed information about the permission.
• installd hardening: The installd daemon does not run as the root user, reducing potential attack surface for root privilege escalation.
• init script hardening: init scripts now apply O_NOFOLLOW semantics to prevent symlink related attacks.
• FORTIFY_SOURCE: Android now implements FORTIFY_SOURCE. This is used by system libraries and apps to prevent memory corruption.
• ContentProvider default configuration: Apps that target API level 17 have export set to false by default for each Content Provider, reducing default attack surface for apps.
• Cryptography: Modified the default implementations of SecureRandom and Cipher.RSA to use OpenSSL. Added SSL Socket support for TLSv1.1 and TLSv1.2 using OpenSSL 1.0.1
• Security fixes: Upgraded open source libraries with security fixes include WebKit, libpng, OpenSSL, and LibXML. Android 4.2 also includes fixes for Android-specific vulnerabilities. Information about these vulnerabilities has been provided to Open Handset Alliance members and fixes are available in Android Open Source Project. To improve security, some devices with earlier versions of Android may also include these fixes.

Android 提供了一个多层安全模型，Android 安全性概述中对该模型进行了介绍。每个 Android 更新版本中都包含数十项用于保护用户的安全增强功能。以下是 Android 1.5 至 4.1 版中引入的一些安全增强功能：

Android 1.5

• ProPolice：旨在防止堆栈缓冲区溢出 (-fstack-protector)
• safe_iop：旨在减少整数溢出
• OpenBSD dlmalloc 的扩展程序：旨在防范 double free() 漏洞和连续块攻击。连续块攻击是利用堆损坏的常见攻击方式。
• OpenBSD calloc：旨在防止在内存分配期间发生整数溢出

Android 2.3

• 格式化字符串漏洞防护功能 (-Wformat-security -Werror=format-security)
• 基于硬件的 No eXecute (NX)：旨在防止在堆栈和堆上执行代码
• Linux mmap_min_addr：旨在降低空指针解引用提权风险（在 Android 4.1 中得到了进一步增强）

Android 4.0

地址空间布局随机化 (ASLR)：旨在随机排列内存中的关键位置

Android 4.1

• PIE（位置无关可执行文件）支持
• 只读重定位/立即绑定 (-Wl,-z,relro -Wl,-z,now)
• 启用了 dmesg_restrict（避免内核地址泄露）
• 启用了 kptr_restrict（避免内核地址泄露）