Các tính năng bảo mật nâng cao

Android 14

每个 Android 版本中都包含数十种安全增强功能，以保护用户。以下是 Android 14 中提供的一些主要安全增强功能：

• Android 10 中引入的硬件辅助 AddressSanitizer (HWASan) 是一款类似于 AddressSanitizer 的内存错误检测工具。Android 14 对 HWASan 进行了重大改进。如需了解它如何帮助防止 bug 进入 Android 版本，请访问 HWAddressSanitizer
• 在 Android 14 中，从与第三方共享位置数据的应用开始，系统运行时权限对话框现在包含一个可点击的部分，用于突出显示应用的数据分享做法，包括诸如以下信息：应用为什么可能会决定与第三方分享数据。
• Android 12 引入了在调制解调器级别停用 2G 支持的选项，以保护用户免受 2G 的过时安全模型固有的安全风险的影响。认识到停用 2G 对企业客户的重要性后，Android 14 在 Android Enterprise 中启用了此安全功能，以便 IT 管理员能够限制受管设备降级到 2G 连接。
• 开始支持拒绝未加密的移动网络连接，确保电路交换语音和短信流量始终会加密，并可防范被动无线拦截。详细了解 Android 的移动网络连接强化计划。
• 新增了对多个 IMEI 的支持
• 从 Android 14 开始，AES-HCTR2 是采用加速加密指令的设备的首选文件名加密模式。
• 移动网络连接
• 在 Android 安全中心添加了相关文档
• 如果您的应用以 Android 14 为目标平台并使用动态代码加载 (DCL) 功能，则必须将所有动态加载的文件标记为只读。否则，系统会抛出异常。我们建议应用尽可能避免动态加载代码，因为这样做会大大增加应用因代码注入或代码篡改而遭到入侵的风险。

请查看完整的 AOSP 版本说明以及 Android 开发者功能和变更列表。

Android 13

每个 Android 版本中都包含数十种用于保护用户的安全增强功能。以下是 Android 13 中提供的一些主要安全增强功能：

• Android 13 添加了对多文档呈现的支持。 通过这个新的 Presentation Session 接口，应用可以执行多文档呈现，而现有 API 无法做到这一点。如需了解详情，请参阅身份凭据
• 在 Android 13 中，当且仅当源自外部应用的 intent 与其声明的 intent 过滤器元素匹配时，这些 intent 才会传送到导出的组件。
• Open Mobile API (OMAPI) 是一种标准 API，用于与设备的安全元件进行通信。在 Android 13 之前，只有应用和框架模块可以访问此接口。通过将其转换为供应商稳定版接口，HAL 模块还能够通过 OMAPI 服务与安全元件进行通信。 如需了解详情，请参阅 OMAPI 供应商稳定版接口。
• 从 Android 13-QPR 开始，共享 UID 被废弃。 使用 Android 13 或更高版本的用户应在其清单中添加 `android:sharedUserMaxSdkVersion="32"` 行。此条目可防止新用户获取共享 UID。如需详细了解 UID，请参阅应用签名。
• Android 13 添加了对密钥库对称加密基元的支持，例如支持 AES（高级加密标准）、HMAC（密钥哈希消息认证码）以及非对称加密算法（包括椭圆曲线加密、RSA2048、RSA4096 和曲线 25519 加密）
• Android 13（API 级别 33）及更高版本支持用于从应用发送非豁免通知的运行时权限。这可让用户控制他们会看到哪些权限通知。
• 针对请求访问所有设备日志的应用，添加了在每次使用时显示提示的功能，以便用户允许或拒绝授予访问权限。
• 推出了 Android 虚拟化框架 (AVF)，它使用标准化 API 将不同的 Hypervisor 整合到一个框架下。 它提供安全、私密的执行环境，以便执行通过 Hypervisor 隔离的工作负载。
• 引入了 APK 签名方案 v3.1 所有使用 apksigner 的新密钥轮替都将默认使用 v3.1 签名方案，以便将 Android 13 及更高版本作为轮替目标。

请查看完整的 AOSP 版本说明以及 Android 开发者功能和变更列表。

Android 12

Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 12:

• Android 12 introduces the BiometricManager.Strings API, which provides localized strings for apps that use BiometricPrompt for authentication. These strings are intended to be device-aware and provide more specificity about which authentication types might be used. Android 12 also includes support for under-display fingerprint sensors
• Support added for under-display fingerprint sensors
• Introduction of the Fingerprint Android Interface Definition Language (AIDL)
• Support for new Face AIDL
• Introduction of Rust as a language for platform development
• The option for users to grant access only to their approximate location added
• Added Privacy indicators on the status bar when an app is using the camera or microphone
• Android's Private Compute Core (PCC)
• Added an option to disable 2G support

Android 11

Every Android release includes dozens of security enhancements to protect users. For a list of some of the major security enhancements available in Android 11, see the Android Release Notes.

Android 10

Mỗi bản phát hành Android đều có hàng chục tính năng nâng cao bảo mật để bảo vệ người dùng. Android 10 có một số tính năng nâng cao về bảo mật và quyền riêng tư. Hãy xem ghi chú phát hành Android 10 để biết danh sách đầy đủ các thay đổi trong Android 10.

Bảo mật

BoundsSanitizer

Android 10 triển khai BoundsSanitizer (BoundSan) trong Bluetooth và bộ mã hoá và giải mã. BoundSan sử dụng trình dọn dẹp giới hạn của UBSan. Phương pháp giảm thiểu này được bật ở cấp mô-đun. Tính năng này giúp bảo mật các thành phần quan trọng của Android và không được tắt. BoundSan được bật trong các bộ mã hoá và giải mã sau:

• libFLAC
• libavcdec
• libavcenc
• libhevcdec
• libmpeg2
• libopus
• libvpx
• libspeexresampler
• libvorbisidec
• libaac
• libxaac

Bộ nhớ chỉ thực thi

Theo mặc định, các phần mã thực thi cho tệp nhị phân hệ thống AArch64 được đánh dấu là chỉ thực thi (không đọc được) để giảm thiểu việc tăng cường bảo mật trước các cuộc tấn công tái sử dụng mã đúng thời điểm. Mã kết hợp dữ liệu và mã với nhau và mã kiểm tra có chủ đích các phần này (mà không cần ánh xạ lại các phân đoạn bộ nhớ ở chế độ có thể đọc trước tiên) không còn hoạt động nữa. Các ứng dụng có SDK mục tiêu là Android 10 (API cấp 29 trở lên) sẽ bị ảnh hưởng nếu ứng dụng đó cố gắng đọc các phần mã của thư viện hệ thống đã bật bộ nhớ chỉ thực thi (XOM) trong bộ nhớ mà không đánh dấu trước phần đó là có thể đọc được.

Quyền truy cập mở rộng

Tác nhân tin cậy, cơ chế cơ bản mà các cơ chế xác thực cấp ba (chẳng hạn như Smart Lock) sử dụng, chỉ có thể kéo dài thời gian mở khoá trong Android 10. Các tác nhân tin cậy không thể mở khoá thiết bị bị khoá nữa và chỉ có thể giữ cho thiết bị mở khoá trong tối đa 4 giờ.

Xác thực khuôn mặt

Tính năng xác thực bằng khuôn mặt cho phép người dùng mở khoá thiết bị chỉ bằng cách nhìn vào mặt trước của thiết bị. Android 10 hỗ trợ thêm một ngăn xếp xác thực khuôn mặt mới có thể xử lý khung hình máy ảnh một cách an toàn, bảo vệ tính bảo mật và quyền riêng tư trong quá trình xác thực khuôn mặt trên phần cứng được hỗ trợ. Android 10 cũng cung cấp một cách dễ dàng để triển khai các biện pháp bảo mật nhằm cho phép tích hợp ứng dụng cho các giao dịch như ngân hàng trực tuyến hoặc các dịch vụ khác.

Xoá dữ liệu tràn số nguyên

Android 10 bật tính năng Xoá lỗi tràn số nguyên (IntSan) trong bộ mã hoá và giải mã phần mềm. Đảm bảo hiệu suất phát ở mức chấp nhận được đối với mọi bộ mã hoá và giải mã không được hỗ trợ trong phần cứng của thiết bị. IntSan được bật trong các bộ mã hoá và giải mã sau:

• libFLAC
• libavcdec
• libavcenc
• libhevcdec
• libmpeg2
• libopus
• libvpx
• libspeexresampler
• libvorbisidec

Thành phần hệ thống mô-đun

Android 10 mô-đun hoá một số thành phần hệ thống Android và cho phép cập nhật các thành phần đó bên ngoài chu kỳ phát hành Android thông thường. Một số mô-đun bao gồm:

• Android Runtime
• Conscrypt
• Trình phân giải DNS
• DocumentsUI
• ExtServices
• Nội dung đa phương tiện
• ModuleMetadata
• Networking
• PermissionController
• Dữ liệu về múi giờ

OEMCrypto

Android 10 sử dụng OEMCrypto API phiên bản 15.

Scudo

Scudo là một trình phân bổ bộ nhớ động ở chế độ người dùng được thiết kế để có khả năng chống chịu tốt hơn trước các lỗ hổng liên quan đến vùng nhớ khối xếp. Thư viện này cung cấp các nguyên hàm phân bổ và giải phóng C tiêu chuẩn, cũng như các nguyên hàm C++.

ShadowCallStack

ShadowCallStack (SCS) là chế độ thiết bị đo lường LLVM giúp bảo vệ khỏi việc ghi đè địa chỉ trả về (như tràn bộ đệm ngăn xếp) bằng cách lưu địa chỉ trả về của một hàm vào một bản sao ShadowCallStack được phân bổ riêng trong prolog hàm của các hàm không phải lá và tải địa chỉ trả về từ bản sao ShadowCallStack trong epilog hàm.

WPA3 và Wi-Fi Enhanced Open

Android 10 hỗ trợ thêm các tiêu chuẩn bảo mật Wi-Fi Protected Access 3 (WPA3) và Wi-Fi Enhanced Open để tăng cường quyền riêng tư và khả năng chống lại các cuộc tấn công đã biết.

Quyền riêng tư

Quyền truy cập của ứng dụng khi nhắm đến Android 9 trở xuống

Nếu ứng dụng của bạn chạy trên Android 10 trở lên nhưng nhắm đến Android 9 (API cấp 28) trở xuống, thì nền tảng sẽ áp dụng hành vi sau:

• Nếu ứng dụng của bạn khai báo phần tử <uses-permission> cho ACCESS_FINE_LOCATION hoặc ACCESS_COARSE_LOCATION, hệ thống sẽ tự động thêm phần tử <uses-permission> cho ACCESS_BACKGROUND_LOCATION trong quá trình cài đặt.
• Nếu ứng dụng của bạn yêu cầu ACCESS_FINE_LOCATION hoặc ACCESS_COARSE_LOCATION, hệ thống sẽ tự động thêm ACCESS_BACKGROUND_LOCATION vào yêu cầu.

Hạn chế hoạt động ở chế độ nền

Kể từ Android 10, hệ thống sẽ đặt các quy tắc hạn chế khi bắt đầu hoạt động ở chế độ nền. Thay đổi về hành vi này giúp giảm thiểu sự gián đoạn cho người dùng và giúp người dùng kiểm soát nhiều hơn nội dung hiển thị trên màn hình. Miễn là ứng dụng của bạn bắt đầu các hoạt động do kết quả trực tiếp của hoạt động tương tác của người dùng, thì rất có thể ứng dụng của bạn sẽ không bị ảnh hưởng bởi các quy định hạn chế này.
Để tìm hiểu thêm về giải pháp thay thế được đề xuất cho việc bắt đầu các hoạt động ở chế độ nền, hãy xem hướng dẫn về cách cảnh báo người dùng về các sự kiện nhạy cảm về thời gian trong ứng dụng.

Siêu dữ liệu của máy ảnh

Android 10 thay đổi phạm vi thông tin mà phương thức getCameraCharacteristics() trả về theo mặc định. Cụ thể, ứng dụng của bạn phải có quyền CAMERA để truy cập vào siêu dữ liệu có thể dành riêng cho thiết bị có trong giá trị trả về của phương thức này.
Để tìm hiểu thêm về những thay đổi này, hãy xem phần về các trường máy ảnh cần có quyền.

Dữ liệu bảng nhớ tạm

Trừ phi ứng dụng của bạn là trình chỉnh sửa phương thức nhập (IME) mặc định hoặc là ứng dụng hiện đang có tiêu điểm, ứng dụng của bạn không thể truy cập vào dữ liệu bảng nhớ tạm trên Android 10 trở lên.

Vị trí thiết bị

Để hỗ trợ thêm quyền kiểm soát mà người dùng có đối với quyền truy cập của ứng dụng vào thông tin vị trí, Android 10 ra mắt quyền ACCESS_BACKGROUND_LOCATION.
Không giống như quyền ACCESS_FINE_LOCATION và ACCESS_COARSE_LOCATION, quyền ACCESS_BACKGROUND_LOCATION chỉ ảnh hưởng đến quyền truy cập của ứng dụng vào thông tin vị trí khi ứng dụng chạy ở chế độ nền. Một ứng dụng được coi là đang truy cập thông tin vị trí ở chế độ nền trừ phi đáp ứng một trong các điều kiện sau:

• Một hoạt động thuộc ứng dụng đang hiển thị.
• Ứng dụng đang chạy một dịch vụ trên nền trước đã khai báo loại dịch vụ trên nền trước là location.
  Để khai báo loại dịch vụ trên nền trước cho một dịch vụ trong ứng dụng, hãy đặt targetSdkVersion hoặc compileSdkVersion của ứng dụng thành 29 trở lên. Tìm hiểu thêm về cách các dịch vụ trên nền trước có thể tiếp tục các thao tác do người dùng khởi tạo cần quyền truy cập thông tin vị trí.

Bộ nhớ ngoài

Theo mặc định, các ứng dụng nhắm đến Android 10 trở lên được cấp quyền truy cập có giới hạn vào bộ nhớ ngoài hoặc bộ nhớ có giới hạn. Những ứng dụng như vậy có thể xem các loại tệp sau trong thiết bị bộ nhớ ngoài mà không cần yêu cầu người dùng cấp bất kỳ quyền nào liên quan đến bộ nhớ:

• Các tệp trong thư mục dành riêng cho ứng dụng, được truy cập bằng getExternalFilesDir().
• Ảnh, video và đoạn âm thanh mà ứng dụng tạo từ kho phương tiện.

Để tìm hiểu thêm về bộ nhớ có giới hạn, cũng như cách chia sẻ, truy cập và sửa đổi các tệp được lưu trên thiết bị bộ nhớ ngoài, hãy xem hướng dẫn về cách quản lý tệp trong bộ nhớ ngoài và truy cập và sửa đổi tệp phương tiện.

Gán địa chỉ MAC ngẫu nhiên

Trên các thiết bị chạy Android 10 trở lên, hệ thống sẽ truyền địa chỉ MAC ngẫu nhiên theo mặc định.
Nếu ứng dụng của bạn xử lý một trường hợp sử dụng dành cho doanh nghiệp, thì nền tảng sẽ cung cấp API cho một số thao tác liên quan đến địa chỉ MAC:

• Nhận địa chỉ MAC ngẫu nhiên: Ứng dụng của chủ sở hữu thiết bị và ứng dụng của chủ sở hữu hồ sơ có thể truy xuất địa chỉ MAC ngẫu nhiên được chỉ định cho một mạng cụ thể bằng cách gọi getRandomizedMacAddress().
• Nhận địa chỉ MAC thực tế, ban đầu: Ứng dụng của chủ sở hữu thiết bị có thể truy xuất địa chỉ MAC phần cứng thực tế của thiết bị bằng cách gọi getWifiMacAddress(). Phương thức này rất hữu ích trong việc theo dõi các nhóm thiết bị.

Giá trị nhận dạng thiết bị không thể đặt lại

Kể từ Android 10, ứng dụng phải có quyền đặc quyền READ_PRIVILEGED_PHONE_STATE để truy cập vào giá trị nhận dạng không thể đặt lại của thiết bị, bao gồm cả IMEI và số sê-ri.

• Build
  • getSerial()
• TelephonyManager
  • getImei()
  • getDeviceId()
  • getMeid()
  • getSimSerialNumber()
  • getSubscriberId()

Nếu ứng dụng của bạn không có quyền này và bạn vẫn cố gắng yêu cầu thông tin về giá trị nhận dạng không thể đặt lại, thì phản hồi của nền tảng sẽ khác nhau tuỳ theo phiên bản SDK mục tiêu:

• Nếu ứng dụng của bạn nhắm đến Android 10 trở lên, thì SecurityException sẽ xảy ra.
• Nếu ứng dụng của bạn nhắm đến Android 9 (API cấp 28) trở xuống, phương thức này sẽ trả về null hoặc dữ liệu phần giữ chỗ nếu ứng dụng có quyền READ_PHONE_STATE. Nếu không, SecurityException sẽ xảy ra.

Nhận dạng hoạt động thể chất

Android 10 ra mắt quyền khi bắt đầu chạy android.permission.ACTIVITY_RECOGNITION cho các ứng dụng cần phát hiện số bước của người dùng hoặc phân loại hoạt động thể chất của người dùng, chẳng hạn như đi bộ, đi xe đạp hoặc di chuyển bằng xe. Mục đích của tính năng này là giúp người dùng biết cách dữ liệu cảm biến thiết bị được sử dụng trong phần Cài đặt.
Một số thư viện trong Dịch vụ Google Play, chẳng hạn như API Nhận dạng hoạt động và API Google Fit, sẽ không cung cấp kết quả trừ khi người dùng đã cấp cho ứng dụng của bạn quyền này.
Chỉ có các cảm biến tích hợp trên thiết bị yêu cầu bạn khai báo quyền này là cảm biến đếm bước và trình phát hiện bước.
Nếu ứng dụng của bạn nhắm đến Android 9 (API cấp 28) trở xuống, thì hệ thống sẽ tự động cấp quyền android.permission.ACTIVITY_RECOGNITION cho ứng dụng của bạn (nếu cần) nếu ứng dụng của bạn đáp ứng từng điều kiện sau:

• Tệp kê khai bao gồm quyền com.google.android.gms.permission.ACTIVITY_RECOGNITION.
• Tệp kê khai không bao gồm quyền android.permission.ACTIVITY_RECOGNITION.

Nếu hệ thống tự động cấp quyền android.permission.ACTIVITY_RECOGNITION, thì ứng dụng của bạn sẽ giữ lại quyền này sau khi bạn cập nhật ứng dụng để nhắm đến Android 10. Tuy nhiên, người dùng có thể thu hồi quyền này bất cứ lúc nào trong phần cài đặt hệ thống.

Các hạn chế về hệ thống tệp /proc/net

Trên các thiết bị chạy Android 10 trở lên, ứng dụng không thể truy cập vào /proc/net, trong đó có thông tin về trạng thái mạng của thiết bị. Các ứng dụng cần quyền truy cập vào thông tin này, chẳng hạn như VPN, nên sử dụng lớp NetworkStatsManager hoặc ConnectivityManager.

Xoá nhóm quyền khỏi giao diện người dùng

Kể từ Android 10, các ứng dụng không thể tra cứu cách nhóm các quyền trong giao diện người dùng.

Xoá mối quan hệ tương đồng của người liên hệ

Kể từ Android 10, nền tảng này không theo dõi thông tin về mối quan hệ tương đồng của người liên hệ. Do đó, nếu ứng dụng của bạn tìm kiếm trên danh bạ của người dùng, thì kết quả sẽ không được sắp xếp theo tần suất tương tác.
Hướng dẫn về ContactsProvider có một thông báo mô tả các trường và phương thức cụ thể đã lỗi thời trên tất cả thiết bị bắt đầu từ Android 10.

Hạn chế quyền truy cập vào nội dung trên màn hình

Để bảo vệ nội dung trên màn hình của người dùng, Android 10 ngăn chặn việc truy cập thầm vào nội dung trên màn hình của thiết bị bằng cách thay đổi phạm vi của các quyền READ_FRAME_BUFFER, CAPTURE_VIDEO_OUTPUT và CAPTURE_SECURE_VIDEO_OUTPUT. Kể từ Android 10, các quyền này chỉ có quyền truy cập chữ ký.
Các ứng dụng cần truy cập vào nội dung trên màn hình của thiết bị phải sử dụng API MediaProjection. API này sẽ hiển thị lời nhắc yêu cầu người dùng đồng ý.

Số sê-ri của thiết bị USB

Nếu ứng dụng của bạn nhắm đến Android 10 trở lên, thì ứng dụng của bạn không thể đọc số sê-ri cho đến khi người dùng cấp cho ứng dụng quyền truy cập vào thiết bị hoặc phụ kiện USB.
Để tìm hiểu thêm về cách làm việc với thiết bị USB, hãy xem hướng dẫn về cách định cấu hình máy chủ USB.

Wi-Fi

Các ứng dụng nhắm đến Android 10 trở lên không thể bật hoặc tắt Wi-Fi. Phương thức WifiManager.setWifiEnabled() luôn trả về false.
Nếu bạn cần nhắc người dùng bật và tắt Wi-Fi, hãy sử dụng bảng điều khiển cài đặt.

Hạn chế quyền truy cập trực tiếp vào các mạng Wi-Fi đã định cấu hình

Để bảo vệ quyền riêng tư của người dùng, việc định cấu hình thủ công danh sách mạng Wi-Fi chỉ được phép đối với các ứng dụng hệ thống và trình điều khiển chính sách thiết bị (DPC). Một DPC nhất định có thể là chủ sở hữu thiết bị hoặc chủ sở hữu hồ sơ.
Nếu ứng dụng của bạn nhắm đến Android 10 trở lên và không phải là ứng dụng hệ thống hoặc DPC, thì các phương thức sau sẽ không trả về dữ liệu hữu ích:

• Phương thức getConfiguredNetworks() luôn trả về một danh sách trống.
• Mỗi phương thức thao tác mạng trả về một giá trị số nguyên – addNetwork() và updateNetwork() – luôn trả về -1.
• Mỗi thao tác mạng trả về một giá trị boolean – removeNetwork(), reassociate(), enableNetwork(), disableNetwork(), reconnect() và disconnect() – luôn trả về false.

Android 9

每个 Android 版本中都包含数十项用于保护用户的安全增强功能。如需 Android 9 中提供的一些主要安全增强功能的列表，请参阅 Android 版本说明。

Android 8

Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 8.0:

• Encryption. Added support to evict key in work profile.
• Verified Boot. Added Android Verified Boot (AVB). Verified Boot codebase supporting rollback protection for use in boot loaders added to AOSP. Recommend bootloader support for rollback protection for the HLOS. Recommend boot loaders can only be unlocked by user physically interacting with the device.
• Lock screen. Added support for using tamper-resistant hardware to verify lock screen credential.
• KeyStore. Required key attestation for all devices that ship with Android 8.0+. Added ID attestation support to improve Zero Touch Enrollment.
• Sandboxing. More tightly sandboxed many components using Project Treble's standard interface between framework and device-specific components. Applied seccomp filtering to all untrusted apps to reduce the kernel's attack surface. WebView is now run in an isolated process with very limited access to the rest of the system.
• Kernel hardening. Implemented hardened usercopy, PAN emulation, read-only after init, and KASLR.
• Userspace hardening. Implemented CFI for the media stack. App overlays can no longer cover system-critical windows and users have a way to dismiss them.
• Streaming OS update. Enabled updates on devices that are are low on disk space.
• Install unknown apps. Users must grant permission to install apps from a source that isn't a first-party app store.
• Privacy. Android ID (SSAID) has a different value for each app and each user on the device. For web browser apps, Widevine Client ID returns a different value for each app package name and web origin. net.hostname is now empty and the dhcp client no longer sends a hostname. android.os.Build.SERIAL has been replaced with the Build.SERIAL API which is protected behind a user-controlled permission. Improved MAC address randomization in some chipsets.

Android 7

每个 Android 版本中都包含数十项用于保护用户的安全增强功能。以下是 Android 7.0 中提供的一些主要安全增强功能：

• 文件级加密：在文件级进行加密，而不是将整个存储区域作为单个单元进行加密。这种加密方式可以更好地隔离和保护设备上的不同用户和资料（例如个人资料和工作资料）。
• 直接启动：通过文件级加密实现，允许特定应用（例如，闹钟和无障碍功能）在设备已开机但未解锁的情况下运行。
• 验证启动：现在，验证启动会被严格强制执行，从而使遭到入侵的设备无法启动；验证启动支持纠错功能，有助于更可靠地防范非恶意数据损坏。
• SELinux。更新后的 SELinux 配置和更高的 Seccomp 覆盖率有助于进一步锁定应用沙盒并减小受攻击面。
• 库加载顺序随机化和改进的 ASLR。 增大随机性降低了某些代码重用攻击的有效性。
• 内核加固：通过将内核内存的各个分区标记为只读，限制内核对用户空间地址的访问，并进一步减小现有的受攻击面，为更高版本的内核添加额外的内存保护。
• APK 签名方案 v2：引入了一种全文件签名方案，该方案有助于加快验证速度并增强完整性保证。
• 可信 CA 存储区。为了使应用更容易控制对其安全网络流量的访问，对于 API 级别为 24 及以上的应用，由用户安装的证书颁发机构以及通过 Device Admin API 安装的证书颁发机构在默认情况下不再受信任。此外，所有新的 Android 设备必须搭载相同的可信 CA 存储区。
• 网络安全配置。通过声明式配置文件来配置网络安全设置和传输层安全协议 (TLS)。

Android 6

每个 Android 版本中都包含数十种用于保护用户的安全增强功能。以下是 Android 6.0 中提供的一些主要安全增强功能：

• 运行时权限：应用在运行时请求权限，而不是在安装时被授予权限。用户可以为 M 及更低版本的 Android 应用启用和停用权限。
• 验证启动：在执行系统软件之前，先对其进行一系列加密检查，以确保手机从引导加载程序到操作系统均处于正常状况。
• 硬件隔离安全措施：新的硬件抽象层 (HAL)，Fingerprint API、锁定屏幕、设备加密功能和客户端证书可以利用它来保护密钥免遭内核入侵和/或现场攻击。
• 指纹：现在，只需触摸一下，即可解锁设备。开发者还可以借助新的 API 来使用指纹锁定和解锁加密密钥。
• 加装 SD 卡：可将移动媒体设备加装到设备上，以便扩展可用存储空间来存放本地应用数据、照片、视频等内容，但仍受块级加密保护。
• 明文流量：开发者可以使用新的 StrictMode 来确保其应用不会使用明文。
• 系统加固：通过由 SELinux 强制执行的政策对系统进行加固。这可以实现更好的用户隔离和 IOCTL 过滤、降低可从设备/系统之外访问的服务面临的威胁、进一步强化 SELinux 域，以及高度限制对 /proc 的访问。
• USB 访问控制：必须由用户确认是否允许通过 USB 访问手机上的文件、存储空间或其他功能。现在，默认设置是“仅充电”，如果要访问存储空间，必须获得用户的明确许可。

Android 5

5

每个 Android 版本中都包含数十项用于保护用户的安全增强功能。以下是 Android 5.0 中提供的一些主要安全增强功能：

• 默认加密。在以开箱即用的方式搭载 L 的设备上，会默认启用全盘加密功能，以便更好地保护丢失设备或被盗设备上的数据。对于更新到 L 的设备，可以在设置 > 安全性部分进行加密。
• 经过改进的全盘加密功能。使用 scrypt 保护用户密码免遭暴力破解攻击；在可能的情况下，该密钥会绑定到硬件密钥库，以防范来自设备外的攻击。 和以往一样，Android 屏幕锁定密钥和设备加密密钥不会被发送到设备以外，也不会提供给任何应用。
• 通过 SELinux 得到增强的 Android 沙盒。对于所有域，Android 现在都要求 SELinux 处于强制模式。SELinux 是 Linux 内核中的强制访问控制 (MAC) 系统，用于增强现有的自主访问控制 (DAC) 安全模型。这个新的安全层为防范潜在的安全漏洞提供了额外的保护屏障。
• Smart Lock。Android 现在包含一些 Trustlet，它们可以提供更灵活的设备解锁方式。 例如，Trustlet 可让设备在靠近其他可信设备时自动解锁（通过 NFC、蓝牙），或让设备在用户拥有可信面孔时自动解锁。
• 面向手机和平板电脑的多用户功能、受限个人资料和访客模式。Android 现在为手机提供了多用户功能，并包含一个访客模式。利用访客模式，您可以让访客轻松地临时使用您的设备，而不向他们授予对您的数据和应用的访问权限。
• 不使用 OTA 的 WebView 更新方式。现在可以独立于框架对 WebView 进行更新，而且无需采用系统 OTA 方式。 这有助于更快速地应对 WebView 中的潜在安全问题。
• 经过更新的 HTTPS 和 TLS/SSL 加密功能。现在启用了 TLSv1.2 和 TLSv1.1，首选是正向加密，启用了 AES-GCM，停用了弱加密套件（MD5、3DES 和导出密码套件）。如需了解详情，请访问 https://developer.android.com/reference/javax/net/ssl/SSLSocket.html。
• 移除了非 PIE 链接器支持。Android 现在要求所有动态链接的可执行文件都要支持 PIE（位置无关可执行文件）。这有助于增强 Android 的地址空间布局随机化 (ASLR) 实现。
• FORTIFY_SOURCE 改进。以下 libc 函数现在实现了 FORTIFY_SOURCE 保护功能：stpcpy()、stpncpy()、read()、recvfrom()、FD_CLR()、FD_SET() 和 FD_ISSET()。这有助于防范涉及这些函数的内存损坏漏洞。
• 安全修复程序。Android 5.0 中还包含针对 Android 特有漏洞的修复程序。有关这些漏洞的信息已提供给“开放手机联盟”(Open Handset Alliance) 成员，并且 Android 开放源代码项目中提供了相应的修复程序。为了提高安全性，部分搭载更低版本 Android 系统的设备可能也会包含这些修复程序。

Android 4 trở xuống

每个 Android 版本中都包含数十项用于保护用户的安全增强功能。以下是 Android 4.4 中提供的一些安全增强功能：

• 通过 SELinux 得到增强的 Android 沙盒。 Android 现在以强制模式使用 SELinux。SELinux 是 Linux 内核中的强制访问控制 (MAC) 系统，用于增强基于自主访问控制 (DAC) 的现有安全模型。 这为防范潜在的安全漏洞提供了额外的保护屏障。
• 按用户应用 VPN。 在多用户设备上，现在按用户应用 VPN。 这样一来，用户就可以通过一个 VPN 路由所有网络流量，而不会影响使用同一设备的其他用户。
• AndroidKeyStore 中的 ECDSA 提供程序支持。 Android 现在有一个允许使用 ECDSA 和 DSA 算法的密钥库提供程序。
• 设备监测警告。 如果有任何可能允许监测加密网络流量的证书添加到设备证书库中，Android 都会向用户发出警告。
• FORTIFY_SOURCE。 Android 现在支持 FORTIFY_SOURCE 第 2 级，并且所有代码在编译时都会受到这些保护。FORTIFY_SOURCE 已得到增强，能够与 Clang 配合使用。
• 证书锁定。 Android 4.4 能够检测安全的 SSL/TLS 通信中是否使用了欺诈性 Google 证书，并且能够阻止这种行为。
• 安全修复程序。 Android 4.4 中还包含针对 Android 特有漏洞的修复程序。 有关这些漏洞的信息已提供给“开放手机联盟”(Open Handset Alliance) 成员，并且 Android 开源项目中提供了相应的修复程序。为了提高安全性，搭载更低版本 Android 的某些设备可能也会包含这些修复程序。

Mỗi bản phát hành Android đều có hàng chục tính năng nâng cao bảo mật để bảo vệ người dùng. Sau đây là một số điểm cải tiến về bảo mật có trong Android 4.3:

• Hộp cát Android được tăng cường bằng SELinux. Bản phát hành này tăng cường hộp cát Android bằng cách sử dụng hệ thống kiểm soát quyền truy cập bắt buộc (MAC) SELinux trong hạt nhân Linux. Người dùng và nhà phát triển không thể nhìn thấy tính năng tăng cường SELinux, đồng thời tính năng này giúp tăng cường độ mạnh mẽ cho mô hình bảo mật Android hiện có trong khi vẫn duy trì khả năng tương thích với các ứng dụng hiện có. Để đảm bảo khả năng tương thích liên tục, bản phát hành này cho phép sử dụng SELinux ở chế độ cho phép. Chế độ này ghi lại mọi lỗi vi phạm chính sách, nhưng sẽ không làm hỏng ứng dụng hoặc ảnh hưởng đến hành vi của hệ thống.
• Không có chương trình setuid hoặc setgid. Thêm tính năng hỗ trợ cho các chức năng hệ thống tệp vào các tệp hệ thống Android và xoá tất cả các chương trình setuid hoặc setgid. Điều này giúp giảm bề mặt tấn công gốc và khả năng xảy ra các lỗ hổng bảo mật tiềm ẩn.
• Xác thực ADB. Kể từ Android 4.2.2, các kết nối với ADB sẽ được xác thực bằng một cặp khoá RSA. Điều này ngăn chặn việc sử dụng trái phép ADB khi kẻ tấn công có quyền truy cập vật lý vào thiết bị.
• Hạn chế Setuid từ Ứng dụng Android. Phân vùng /system hiện được gắn nosuid cho các quy trình do zygote tạo ra, ngăn các ứng dụng Android thực thi các chương trình setuid. Điều này giúp giảm bề mặt tấn công gốc và khả năng xảy ra các lỗ hổng bảo mật tiềm ẩn.
• Giới hạn chức năng. Android zygote và ADB hiện sử dụng prctl(PR_CAPBSET_DROP) để loại bỏ các chức năng không cần thiết trước khi thực thi ứng dụng. Điều này ngăn các ứng dụng Android và ứng dụng được chạy từ shell có được các chức năng đặc quyền.
• Trình cung cấp AndroidKeyStore. Android hiện có một trình cung cấp kho khoá cho phép các ứng dụng tạo khoá sử dụng độc quyền. Điều này cung cấp cho các ứng dụng một API để tạo hoặc lưu trữ các khoá riêng tư mà các ứng dụng khác không thể sử dụng.
• KeyChain isBoundKeyAlgorithm. Keychain API hiện cung cấp một phương thức (isBoundKeyType) cho phép các ứng dụng xác nhận rằng các khoá trên toàn hệ thống được liên kết với một gốc phần cứng đáng tin cậy cho thiết bị. Điều này cung cấp một nơi để tạo hoặc lưu trữ các khoá riêng tư không thể xuất ra khỏi thiết bị, ngay cả trong trường hợp bị xâm phạm quyền truy cập gốc.
• NO_NEW_PRIVS. Android zygote hiện sử dụng prctl(PR_SET_NO_NEW_PRIVS) để chặn việc thêm các đặc quyền mới trước khi thực thi mã ứng dụng. Điều này ngăn các ứng dụng Android thực hiện các thao tác có thể nâng cao đặc quyền thông qua execve. (Điều này yêu cầu nhân Linux phiên bản 3.5 trở lên).
• Các tính năng nâng cao FORTIFY_SOURCE. Bật FORTIFY_SOURCE trên Android x86 và MIPS cũng như tăng cường các lệnh gọi strchr(), strrchr(), strlen() và umask(). Việc này có thể phát hiện các lỗ hổng hỏng bộ nhớ tiềm ẩn hoặc hằng số chuỗi chưa kết thúc.
• Biện pháp bảo vệ khi di chuyển. Bật tính năng di chuyển chỉ có thể đọc (relro) cho các tệp thực thi được liên kết tĩnh và xoá tất cả các lượt di chuyển văn bản trong mã Android. Điều này giúp bảo vệ theo chiều sâu trước các lỗ hổng tiềm ẩn về hỏng bộ nhớ.
• Cải thiện EntropyMixer. EntropyMixer hiện ghi entropy khi tắt hoặc khởi động lại, ngoài việc trộn định kỳ. Điều này cho phép giữ lại tất cả entropy được tạo ra khi thiết bị đang bật nguồn và đặc biệt hữu ích cho các thiết bị được khởi động lại ngay sau khi cấp phép.
• Bản sửa lỗi bảo mật. Android 4.3 cũng bao gồm các bản sửa lỗi cho các lỗ hổng dành riêng cho Android. Thông tin về các lỗ hổng này đã được cung cấp cho các thành viên của Open Handset Alliance và các bản sửa lỗi có trong Dự án nguồn mở Android. Để cải thiện tính bảo mật, một số thiết bị chạy các phiên bản Android cũ hơn cũng có thể bao gồm các bản sửa lỗi này.

Android 提供了一个多层安全模型，Android 安全性概述中对该模型进行了介绍。每个 Android 更新版本中都包含数十项用于保护用户的安全增强功能。 以下是 Android 4.2 中引入的一些安全增强功能：

• 应用验证：用户可以选择启用“验证应用”，并且可以选择在安装应用之前由应用验证程序对应用进行筛查。如果用户尝试安装的应用可能有害，应用验证功能可以提醒用户；如果应用的危害性非常大，应用验证功能可以阻止安装。
• 加强对付费短信的控制：如果有应用尝试向使用付费服务的短号码发送短信（可能会产生额外的费用），Android 将会通知用户。用户可以选择是允许还是阻止该应用发送短信。
• 始终开启的 VPN：可以配置 VPN，以确保在建立 VPN 连接之前应用无法访问网络。这有助于防止应用跨其他网络发送数据。
• 证书锁定：Android 的核心库现在支持证书锁定。如果证书未关联到一组应关联的证书，锁定的域将会收到证书验证失败消息。这有助于保护证书授权机构免遭可能的入侵。
• 改进后的 Android 权限显示方式：权限划分到了多个对用户来说更清晰明了的组中。在审核权限时，用户可以点击权限来查看关于相应权限的更多详细信息。
• installd 安全强化：installd 守护程序不会以 root 用户身份运行，这样可以缩小 root 提权攻击的潜在攻击面。
• init 脚本安全强化：init 脚本现在会应用 O_NOFOLLOW 语义来防范与符号链接相关的攻击。
• FORTIFY_SOURCE：Android 现在会实现 FORTIFY_SOURCE，以供系统库和应用用于防范内存损坏。
• ContentProvider 默认配置：默认情况下，对于每个 content provider，以 API 级别 17 为目标的应用都会将 export 设为 false，以缩小应用的默认受攻击面。
• 加密：修改了 SecureRandom 和 Cipher.RSA 的默认实现，以便使用 OpenSSL。为使用 OpenSSL 1.0.1 的 TLSv1.1 和 TLSv1.2 添加了安全套接字支持
• 安全漏洞修复程序：升级了开放源代码库，在其中新增了一些安全漏洞修复程序，其中包括 WebKit、libpng、OpenSSL 和 LibXML。Android 4.2 中还包含针对 Android 特有漏洞的修复程序。有关这些漏洞的信息已提供给“开放手机联盟”(Open Handset Alliance) 成员，并且 Android 开放源代码项目中提供了相应的修复程序。为了提高安全性，部分搭载更低版本 Android 系统的设备可能也会包含这些修复程序。

Android provides a multi-layered security model described in the Android Security Overview. Each update to Android includes dozens of security enhancements to protect users. The following are some of the security enhancements introduced in Android versions 1.5 through 4.1:

Android 1.5

• ProPolice to prevent stack buffer overruns (-fstack-protector)
• safe_iop to reduce integer overflows
• Extensions to OpenBSD dlmalloc to prevent double free() vulnerabilities and to prevent chunk consolidation attacks. Chunk consolidation attacks are a common way to exploit heap corruption.
• OpenBSD calloc to prevent integer overflows during memory allocation

Android 2.3

• Format string vulnerability protections (-Wformat-security -Werror=format-security)
• Hardware-based No eXecute (NX) to prevent code execution on the stack and heap
• Linux mmap_min_addr to mitigate null pointer dereference privilege escalation (further enhanced in Android 4.1)

Android 4.0

Address Space Layout Randomization (ASLR) to randomize key locations in memory

Android 4.1

• PIE (Position Independent Executable) support
• Read-only relocations / immediate binding (-Wl,-z,relro -Wl,-z,now)
• dmesg_restrict enabled (avoid leaking kernel addresses)
• kptr_restrict enabled (avoid leaking kernel addresses)