Ulepszenia zabezpieczeń

每个 Android 版本中都包含数十种用于保护用户的安全增强功能。以下是 Android 13 中提供的一些主要安全增强功能：

• Android 13 添加了对多文档呈现的支持。 通过这个新的 Presentation Session 接口，应用可以执行多文档呈现，而现有 API 无法做到这一点。如需了解详情，请参阅身份凭据
• 在 Android 13 中，当且仅当源自外部应用的 intent 与其声明的 intent 过滤器元素匹配时，这些 intent 才会传送到导出的组件。
• Open Mobile API (OMAPI) 是一种标准 API，用于与设备的安全元件进行通信。在 Android 13 之前，只有应用和框架模块可以访问此接口。通过将其转换为供应商稳定版接口，HAL 模块还能够通过 OMAPI 服务与安全元件进行通信。 如需了解详情，请参阅 OMAPI 供应商稳定版接口。
• 从 Android 13-QPR 开始，共享 UID 被废弃。 使用 Android 13 或更高版本的用户应在其清单中添加 `android:sharedUserMaxSdkVersion="32"` 行。此条目可防止新用户获取共享 UID。如需详细了解 UID，请参阅应用签名。
• Android 13 添加了对密钥库对称加密基元的支持，例如支持 AES（高级加密标准）、HMAC（密钥哈希消息认证码）以及非对称加密算法（包括椭圆曲线加密、RSA2048、RSA4096 和曲线 25519 加密）
• Android 13（API 级别 33）及更高版本支持用于从应用发送非豁免通知的运行时权限。这可让用户控制他们会看到哪些权限通知。
• 针对请求访问所有设备日志的应用，添加了在每次使用时显示提示的功能，以便用户允许或拒绝授予访问权限。
• 推出了 Android 虚拟化框架 (AVF)，它使用标准化 API 将不同的 Hypervisor 整合到一个框架下。 它提供安全、私密的执行环境，以便执行通过 Hypervisor 隔离的工作负载。
• 引入了 APK 签名方案 v3.1 所有使用 apksigner 的新密钥轮替都将默认使用 v3.1 签名方案，以便将 Android 13 及更高版本作为轮替目标。

请查看完整的 AOSP 版本说明以及 Android 开发者功能和变更列表。

Każda wersja Androida zawiera dziesiątki ulepszeń zabezpieczeń, które chronią użytkowników. Oto niektóre z głównych ulepszeń zabezpieczeń w Androidzie 12:

• Android 12 wprowadza interfejs BiometricManager.Strings API, który udostępnia zlokalizowane ciągi znaków dla aplikacji korzystających z interfejsu BiometricPrompt do uwierzytelniania. Te ciągi znaków są przeznaczone do urządzeń i dostarczają więcej informacji o tym, które typy uwierzytelniania mogą być używane. Android 12 obsługuje też czytniki linii papilarnych pod wyświetlaczem.
• Dodano obsługę czytników linii papilarnych pod wyświetlaczem
• Wprowadzenie odcisków cyfrowych w języku definiowania interfejsu Androida (AIDL)
• Obsługa nowych Face AIDL
• wprowadzenie Rust jako języka do tworzenia platform;
• Dodano opcję umożliwiającą użytkownikom przyznawanie dostępu tylko do przybliżonej lokalizacji.
• Dodano wskaźniki prywatności na pasku stanu, gdy aplikacja korzysta z aparatu lub mikrofonu
• Private Compute Core (PCC) w Androidzie
• Dodano opcję wyłączania obsługi sieci 2G.

每个 Android 版本中都包含数十项用于保护用户的安全增强功能。如需查看 Android 11 中提供的一些主要安全增强功能的列表，请参阅 Android 版本说明。

Każda wersja Androida zawiera dziesiątki ulepszeń zabezpieczeń, które chronią użytkowników. Android 10 zawiera kilka ulepszeń dotyczących bezpieczeństwa i prywatności. Pełną listę zmian w Androidzie 10 znajdziesz w informacjach o wersji Androida 10.

Bezpieczeństwo

BoundsSanitizer

Android 10 wdraża BoundsSanitizer (BoundSan) w Bluetooth i kodeki. BoundSan korzysta z oczyszczacza granic UBSan. Ta metoda zapobiegania jest włączona na poziomie modułu. Pomaga chronić ważne komponenty Androida i nie należy go wyłączać. BoundSan jest włączony w tych kodekach:

• libFLAC
• libavcdec
• libavcenc
• libhevcdec
• libmpeg2
• libopus
• libvpx
• libspeexresampler
• libvorbisidec
• libaac
• libxaac

Pamięć tylko do wykonywania

Domyślnie sekcje kodu wykonywalnego w binarnych plikach systemowych AArch64 są oznaczone jako tylko do wykonania (nieczytelne) w celu wzmocnienia zabezpieczeń przed atakami polegającymi na ponownym wykorzystaniu kodu. Kod, który łączy dane i kod oraz celowo sprawdza te sekcje (bez wcześniejszego ponownego mapowania segmentów pamięci jako możliwych do odczytu), nie działa już prawidłowo. Aplikacje z docelowym pakietem SDK Androida 10 (poziom interfejsu API 29 lub wyższy) są dotknięte, jeśli próbują odczytać sekcje kodu w bibliotekach systemowych z obsługą tylko do wykonania (XOM) w pamięci, bez wcześniejszego oznaczenia ich jako odczytywalnych.

Rozszerzony dostęp

Agenty zaufania, czyli mechanizmy używane przez mechanizmy uwierzytelniania na poziomie trzecim, takie jak Smart Lock, mogą przedłużać blokadę tylko w Androidzie 10. Agenty zaufania nie mogą już odblokowywać zablokowanych urządzeń, ale mogą utrzymywać je w stanie odblokowanym przez maksymalnie 4 godziny.

Uwierzytelnianie twarzą

Uwierzytelnianie za pomocą twarzy pozwala użytkownikom odblokowywać urządzenie, po prostu patrząc na jego przód. Android 10 obsługuje nowy moduł uwierzytelniania twarzy, który może bezpiecznie przetwarzać klatki z kamery, zapewniając bezpieczeństwo i prywatność podczas uwierzytelniania twarzy na obsługiwanym sprzęcie. Android 10 umożliwia też łatwe wdrażanie zgodnych z wymaganiami bezpieczeństwa implementacji, które umożliwiają integrację aplikacji z transakcjami, takimi jak bankowość internetowa czy inne usługi.

Sanityzacja w przypadku przepełnienia liczb całkowitych

Android 10 włącza oczyszczanie w przypadku przepełnienia liczb całkowitych (IntSan) w kodekach programowych. Upewnij się, że wydajność odtwarzania jest akceptowalna w przypadku kodeków, które nie są obsługiwane przez sprzęt urządzenia. Funkcja IntSan jest włączona w tych kodeki:

• libFLAC
• libavcdec
• libavcenc
• libhevcdec
• libmpeg2
• libopus
• libvpx
• libspeexresampler
• libvorbisidec

Moduły systemu

Android 10 modułuje niektóre komponenty systemu Androida i umożliwia ich aktualizowanie poza normalnym cyklem aktualizacji Androida. Przykładowe moduły:

• Android Runtime
• Conscrypt
• DNS Resolver
• DocumentsUI
• ExtServices
• Media
• ModuleMetadata
• Networking
• PermissionController
• Time Zone Data

OEMCrypto

Android 10 używa interfejsu OEMCrypto API w wersji 15.

Scudo

Scudo to dynamiczny mechanizm alokacji pamięci w trybie użytkownika, który ma zwiększoną odporność na luki związane z koszem. Zawiera ona standardowe prymity alokacji i dealokwacji w języku C, a także prymity C++.

ShadowCallStack

ShadowCallStack (SCS) to tryb instrumentacji LLVM, który chroni przed nadpisaniem adresu zwracanego (np. przez przepełnienie bufora stosu) przez zapisanie adresu zwracanego funkcji do osobnego wystąpienia ShadowCallStack w prologu funkcji niebędącej funkcją liścia i wczytanie adresu zwracanego z wystąpienia ShadowCallStack w epilogu funkcji.

WPA3 i Enhanced Open w sieci Wi-Fi

Android 10 obsługuje standardy zabezpieczeń Wi-Fi Protected Access 3 (WPA3) i Wi-Fi Enhanced Open, aby zapewnić lepszą ochronę prywatności i odporność na znane ataki.

Prywatność

Dostęp aplikacji w przypadku kierowania na Androida 9 lub starszego

Jeśli Twoja aplikacja działa na Androidzie 10 lub nowszym, ale jest kierowana na Androida 9 (poziom interfejsu API 28) lub starszego, platforma działa w ten sposób:

• Jeśli Twoja aplikacja deklaruje element <uses-permission> dla ACCESS_FINE_LOCATION lub ACCESS_COARSE_LOCATION, system automatycznie dodaje element <uses-permission> dla ACCESS_BACKGROUND_LOCATION podczas instalacji.
• Jeśli Twoja aplikacja wysyła żądanie ACCESS_FINE_LOCATION lub ACCESS_COARSE_LOCATION, system automatycznie dodaje do żądania ACCESS_BACKGROUND_LOCATION.

Ograniczenia dotyczące aktywności w tle

Począwszy od Androida 10 system nakłada ograniczenia dotyczące uruchamiania działań w tle. Ta zmiana zachowania pomaga ograniczyć przerwy w działaniu aplikacji i daje użytkownikowi większą kontrolę nad tym, co wyświetla się na ekranie. Jeśli aplikacja uruchamia działania bezpośrednio w wyniku interakcji z użytkownikiem, prawdopodobnie nie podlega tym ograniczeniom.
Aby dowiedzieć się więcej o zalecanej alternatywie dla uruchamiania działań w tle, zapoznaj się z przewodnikiem dotyczącym powiadamiania użytkowników o wydarzeniach związanych z czasem w aplikacji.

Metadane aparatu

Android 10 zmienia zakres informacji zwracanych domyślnie przez metodę getCameraCharacteristics(). W szczególności aplikacja musi mieć uprawnienie CAMERA, aby uzyskać dostęp do metadanych, które mogą być związane z danym urządzeniem i znajdują się w wartości zwracanej przez tę metodę.
Więcej informacji o tych zmianach znajdziesz w sekcji Pola dotyczące aparatu, które wymagają uprawnień.

Dane ze schowka

Aplikacja nie może uzyskać dostępu do danych w schowku na Androidzie 10 lub nowszym, chyba że jest domyślnym edytorem metody wprowadzania (IME) lub jest aplikacją, która ma obecnie fokus.

Lokalizacja urządzenia

Aby umożliwić użytkownikom dodatkową kontrolę nad dostępem aplikacji do informacji o lokalizacji, w Androidzie 10 wprowadzono uprawnienie ACCESS_BACKGROUND_LOCATION.
W przeciwieństwie do uprawnień ACCESS_FINE_LOCATION i ACCESS_COARSE_LOCATION uprawnienie ACCESS_BACKGROUND_LOCATION wpływa tylko na dostęp aplikacji do lokalizacji, gdy działa ona w tle. Aplikacja jest uważana za aplikację, która ma dostęp do lokalizacji w tle, chyba że spełniony jest jeden z tych warunków:

• Aktywność należąca do aplikacji jest widoczna.
• Aplikacja uruchamia usługę na pierwszym planie, która ma zadeklarowany typ usługi na pierwszym planie location.
  Aby zadeklarować typ usługi na pierwszym planie w aplikacji, ustaw wartość atrybutu targetSdkVersion lub compileSdkVersion na 29 lub wyższą. Dowiedz się więcej o tym, jak usługi na pierwszym planie mogą kontynuować działania rozpoczęte przez użytkownika, które wymagają dostępu do lokalizacji.

Pamięć zewnętrzna

Domyślnie aplikacje kierowane na Androida 10 i nowsze mają ograniczony dostęp do zewnętrznej pamięci masowej lub ograniczony dostęp do miejsca na dane. Takie aplikacje mogą wyświetlać te typy plików na urządzeniu z pamięcią zewnętrzną bez konieczności żądania od użytkownika uprawnień związanych z pamięcią:

• Pliki w katalogu aplikacji, do którego dostęp uzyskuje się za pomocą getExternalFilesDir().
• Zdjęcia, filmy i klipy audio utworzone przez aplikację w sklepie z multimediami.

Aby dowiedzieć się więcej o ograniczonym miejscu na dane oraz o tym, jak udostępniać pliki zapisane na urządzeniach zewnętrznych, uzyskiwać do nich dostęp i je modyfikować, zapoznaj się z poradnikami Zarządzanie plikami w pamięci zewnętrznej i Uzyskiwanie dostępu do plików multimedialnych i ich modyfikowanie.

losowanie adresów MAC.

Na urządzeniach z Androidem 10 lub nowszym system domyślnie przesyła losowe adresy MAC.
Jeśli Twoja aplikacja obsługuje użytkowanie na potrzeby przedsiębiorstw, platforma udostępnia interfejsy API do wykonywania kilku operacji związanych z adresami MAC:

• Uzyskiwanie losowego adresu MAC: aplikacje właściciela urządzenia i aplikacje właściciela profilu mogą pobrać losowy adres MAC przypisany do konkretnej sieci, wywołując funkcję getRandomizedMacAddress().
• Uzyskiwanie rzeczywistego fabrycznego adresu MAC: aplikacje właściciela urządzenia mogą pobrać rzeczywisty adres MAC sprzętu, wywołując funkcję getWifiMacAddress(). Ta metoda jest przydatna do śledzenia flot urządzeń.

Niemożliwe do zresetowania identyfikatory urządzeń

Od Androida 10 aplikacje muszą mieć uprawnienia READ_PRIVILEGED_PHONE_STATE, aby uzyskać dostęp do niezerujących się identyfikatorów urządzenia, w tym numerów IMEI i numerów seryjnych.

• Build
  • getSerial()
• TelephonyManager
  • getImei()
  • getDeviceId()
  • getMeid()
  • getSimSerialNumber()
  • getSubscriberId()

Jeśli Twoja aplikacja nie ma uprawnień, a i tak próbujesz uzyskać informacje o identyfikatorach, których nie można zresetować, odpowiedź platformy będzie się różnić w zależności od wersji docelowego pakietu SDK:

• Jeśli Twoja aplikacja jest kierowana na Androida 10 lub nowszego, wystąpi błąd SecurityException.
• Jeśli Twoja aplikacja jest kierowana na Androida 9 (poziom API 28) lub niższego, zwraca ona wartość null lub dane zastępcze, jeśli aplikacja ma uprawnienie READ_PHONE_STATE. W przeciwnym razie wystąpi błąd SecurityException.

Rozpoznawanie aktywności fizycznej

Android 10 wprowadza uprawnienie android.permission.ACTIVITY_RECOGNITION w czasie działania aplikacji, które muszą wykrywać liczbę kroków użytkownika lub klasyfikować jego aktywność fizyczną, np. chodzenie, jazdę na rowerze lub poruszanie się w pojazdach. Ma to na celu umożliwienie użytkownikom sprawdzenia, jak dane z czujników urządzenia są używane w Ustawieniach.
Niektóre biblioteki w usługach Google Play, takie jak Activity Recognition API i Google Fit API, nie dostarczają wyników, chyba że użytkownik przyznał Twojej aplikacji odpowiednie uprawnienia.
Na urządzeniu są tylko 2 wbudowane czujniki, które wymagają zadeklarowania tego uprawnienia: licznik kroków i wykrywacz kroków.
Jeśli Twoja aplikacja jest kierowana na Androida 9 (poziom interfejsu API 28) lub niższego, system automatycznie przyznaje jej uprawnienie android.permission.ACTIVITY_RECOGNITION, jeśli spełnia ona wszystkie te warunki:

• Plik manifestu zawiera uprawnienia com.google.android.gms.permission.ACTIVITY_RECOGNITION.
• Plik manifestu nie zawiera uprawnień android.permission.ACTIVITY_RECOGNITION.

Jeśli system-auto przyzna uprawnienia android.permission.ACTIVITY_RECOGNITION, aplikacja zachowa te uprawnienia po zaktualizowaniu jej do wersji na Androida 10. Użytkownik może jednak w każdej chwili cofnąć to uprawnienie w ustawieniach systemu.

Ograniczenia dotyczące systemu plików /proc/net

Na urządzeniach z Androidem 10 lub nowszym aplikacje nie mają dostępu do /proc/net, co obejmuje informacje o stanie sieci urządzenia. Aplikacje, które potrzebują dostępu do tych informacji, takie jak VPN, powinny używać klasy NetworkStatsManager lub ConnectivityManager.

Grupy uprawnień zostały usunięte z interfejsu

Od Androida 10 aplikacje nie mogą sprawdzać, jak uprawnienia są grupowane w interfejsie.

Usuwanie podobieństwa kontaktów

Od Androida 10 platforma nie śledzi informacji o powiązaniach kontaktów. Dlatego jeśli Twoja aplikacja wyszukuje kontakty użytkownika, wyniki nie są sortowane według częstotliwości interakcji.
W przewodniku ContactsProvider znajduje się powiadomienie z informacjami o określonych polach i metodach, które są przestarzałe na wszystkich urządzeniach od Androida 10.

Ograniczony dostęp do zawartości ekranu

Aby chronić zawartość ekranu użytkowników, Android 10 uniemożliwia niejawny dostęp do zawartości ekranu urządzenia przez zmianę zakresu uprawnień READ_FRAME_BUFFER, CAPTURE_VIDEO_OUTPUT i CAPTURE_SECURE_VIDEO_OUTPUT. Od Androida 10 te uprawnienia są dostępne tylko z dostępem do podpisu.
Aplikacje, które muszą uzyskać dostęp do treści na ekranie urządzenia, powinny używać interfejsu API MediaProjection, który wyświetla prośbę o zgodę użytkownika.

Numer seryjny urządzenia USB

Jeśli Twoja aplikacja jest przeznaczona na Androida 10 lub nowszego, nie może odczytać numeru seryjnego, dopóki użytkownik nie przyzna jej uprawnień dostępu do urządzenia USB lub akcesorium.
Aby dowiedzieć się więcej o pracy z urządzeniami USB, zapoznaj się z przewodnikiem konfigurowania hostów USB.

Wi-Fi

Aplikacje kierowane na Androida 10 lub nowszego nie mogą włączać ani wyłączać Wi-Fi. Metoda WifiManager.setWifiEnabled() zawsze zwraca false.
Jeśli chcesz, aby użytkownicy mogli włączać i wyłączać Wi-Fi, użyj panelu ustawień.

Ograniczenia dostępu bezpośredniego do skonfigurowanych sieci Wi-Fi

Aby chronić prywatność użytkowników, ręczna konfiguracja listy sieci Wi-Fi jest ograniczona do aplikacji systemowych i sterowników zasad urządzeń (DPC). Dany DPC może być właścicielem urządzenia lub właścicielem profilu.
Jeśli Twoja aplikacja jest kierowana na Androida 10 lub nowszego i nie jest aplikacją systemową ani DPC, poniższe metody nie zwracają przydatnych danych:

• Metoda getConfiguredNetworks()zawsze zwraca pustą listę.
• Każda metoda operacji sieci, która zwraca wartość całkowitą (addNetwork() i updateNetwork()), zawsze zwraca -1.
• Każda operacja sieci, która zwraca wartość logiczną (removeNetwork(), reassociate(), enableNetwork(), disableNetwork(), reconnect() i disconnect()), zwraca zawsze wartość false.

Każda wersja Androida zawiera dziesiątki ulepszeń zabezpieczeń, które chronią użytkowników. Listę najważniejszych ulepszeń zabezpieczeń dostępnych w Androidzie 9 znajdziesz w informacjach o wersji Androida.

Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 8.0:

• Encryption. Added support to evict key in work profile.
• Verified Boot. Added Android Verified Boot (AVB). Verified Boot codebase supporting rollback protection for use in boot loaders added to AOSP. Recommend bootloader support for rollback protection for the HLOS. Recommend boot loaders can only be unlocked by user physically interacting with the device.
• Lock screen. Added support for using tamper-resistant hardware to verify lock screen credential.
• KeyStore. Required key attestation for all devices that ship with Android 8.0+. Added ID attestation support to improve Zero Touch Enrollment.
• Sandboxing. More tightly sandboxed many components using Project Treble's standard interface between framework and device-specific components. Applied seccomp filtering to all untrusted apps to reduce the kernel's attack surface. WebView is now run in an isolated process with very limited access to the rest of the system.
• Kernel hardening. Implemented hardened usercopy, PAN emulation, read-only after init, and KASLR.
• Userspace hardening. Implemented CFI for the media stack. App overlays can no longer cover system-critical windows and users have a way to dismiss them.
• Streaming OS update. Enabled updates on devices that are are low on disk space.
• Install unknown apps. Users must grant permission to install apps from a source that isn't a first-party app store.
• Privacy. Android ID (SSAID) has a different value for each app and each user on the device. For web browser apps, Widevine Client ID returns a different value for each app package name and web origin. net.hostname is now empty and the dhcp client no longer sends a hostname. android.os.Build.SERIAL has been replaced with the Build.SERIAL API which is protected behind a user-controlled permission. Improved MAC address randomization in some chipsets.

每个 Android 版本中都包含数十项用于保护用户的安全增强功能。以下是 Android 7.0 中提供的一些主要安全增强功能：

• 文件级加密：在文件级进行加密，而不是将整个存储区域作为单个单元进行加密。这种加密方式可以更好地隔离和保护设备上的不同用户和资料（例如个人资料和工作资料）。
• 直接启动：通过文件级加密实现，允许特定应用（例如，闹钟和无障碍功能）在设备已开机但未解锁的情况下运行。
• 验证启动：现在，验证启动会被严格强制执行，从而使遭到入侵的设备无法启动；验证启动支持纠错功能，有助于更可靠地防范非恶意数据损坏。
• SELinux。更新后的 SELinux 配置和更高的 Seccomp 覆盖率有助于进一步锁定应用沙盒并减小受攻击面。
• 库加载顺序随机化和改进的 ASLR。 增大随机性降低了某些代码重用攻击的有效性。
• 内核加固：通过将内核内存的各个分区标记为只读，限制内核对用户空间地址的访问，并进一步减小现有的受攻击面，为更高版本的内核添加额外的内存保护。
• APK 签名方案 v2：引入了一种全文件签名方案，该方案有助于加快验证速度并增强完整性保证。
• 可信 CA 存储区。为了使应用更容易控制对其安全网络流量的访问，对于 API 级别为 24 及以上的应用，由用户安装的证书颁发机构以及通过 Device Admin API 安装的证书颁发机构在默认情况下不再受信任。此外，所有新的 Android 设备必须搭载相同的可信 CA 存储区。
• 网络安全配置。通过声明式配置文件来配置网络安全设置和传输层安全协议 (TLS)。

Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 6.0:

• Runtime Permissions. Apps request permissions at runtime instead of being granted at App install time. Users can toggle permissions on and off for both M and pre-M apps.
• Verified Boot. A set of cryptographic checks of system software are conducted prior to execution to ensure the phone is healthy from the bootloader all the way up to the operating system.
• Hardware-Isolated Security. New Hardware Abstraction Layer (HAL) used by Fingerprint API, Lockscreen, Device Encryption, and Client Certificates to protect keys against kernel compromise and/or local physical attacks
• Fingerprints. Devices can now be unlocked with just a touch. Developers can also take advantage of new APIs to use fingerprints to lock and unlock encryption keys.
• SD Card Adoption. Removable media can be adopted to a device and expand available storage for app local data, photos, videos, etc., but still be protected by block-level encryption.
• Clear Text Traffic. Developers can use a new StrictMode to make sure their app doesn't use cleartext.
• System Hardening. Hardening of the system via policies enforced by SELinux. This offers better isolation between users, IOCTL filtering, reduce threat of exposed services, further tightening of SELinux domains, and extremely limited /proc access.
• USB Access Control: Users must confirm to allow USB access to files, storage, or other functionality on the phone. Default is now charge only with access to storage requiring explicit approval from the user.

5,0

Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 5.0:

• Encrypted by default. On devices that ship with L out-of-the-box, full disk encryption is enabled by default to improve protection of data on lost or stolen devices. Devices that update to L can be encrypted in Settings > Security .
• Improved full disk encryption. The user password is protected against brute-force attacks using scrypt and, where available, the key is bound to the hardware keystore to prevent off-device attacks. As always, the Android screen lock secret and the device encryption key are not sent off the device or exposed to any application.
• Android sandbox reinforced with SELinux . Android now requires SELinux in enforcing mode for all domains. SELinux is a mandatory access control (MAC) system in the Linux kernel used to augment the existing discretionary access control (DAC) security model. This new layer provides additional protection against potential security vulnerabilities.
• Smart Lock. Android now includes trustlets that provide more flexibility for unlocking devices. For example, trustlets can allow devices to be unlocked automatically when close to another trusted device (through NFC, Bluetooth) or being used by someone with a trusted face.
• Multi user, restricted profile, and guest modes for phones and tablets. Android now provides for multiple users on phones and includes a guest mode that can be used to provide easy temporary access to your device without granting access to your data and apps.
• Updates to WebView without OTA. WebView can now be updated independent of the framework and without a system OTA. This allows for faster response to potential security issues in WebView.
• Updated cryptography for HTTPS and TLS/SSL. TLSv1.2 and TLSv1.1 is now enabled, Forward Secrecy is now preferred, AES-GCM is now enabled, and weak cipher suites (MD5, 3DES, and export cipher suites) are now disabled. See https://developer.android.com/reference/javax/net/ssl/SSLSocket.html for more details.
• non-PIE linker support removed. Android now requires all dynamically linked executables to support PIE (position-independent executables). This enhances Android's address space layout randomization (ASLR) implementation.
• FORTIFY_SOURCE improvements. The following libc functions now implement FORTIFY_SOURCE protections: stpcpy(), stpncpy(), read(), recvfrom(), FD_CLR(), FD_SET(), and FD_ISSET(). This provides protection against memory-corruption vulnerabilities involving those functions.
• Security Fixes. Android 5.0 also includes fixes for Android-specific vulnerabilities. Information about these vulnerabilities has been provided to Open Handset Alliance members, and fixes are available in Android Open Source Project. To improve security, some devices with earlier versions of Android may also include these fixes.

Każda wersja Androida zawiera dziesiątki ulepszeń zabezpieczeń, które chronią użytkowników. Oto niektóre z ulepszeń zabezpieczeń dostępnych w Androidzie 4.4:

• Piaskownicę Androida wzmocniono za pomocą SELinux. Android używa teraz SELinux w trybie wymuszania. SELinux to system kontroli dostępu (MAC) w jądrze Linuksa, który uzupełnia istniejący model zabezpieczeń oparty na kontroli dostępu dyskrecjonalnym (DAC). Zapewnia to dodatkową ochronę przed potencjalnymi lukami w zabezpieczeniach.
• VPN na użytkownika. Na urządzeniach wieloużytkownikowych sieci VPN są teraz stosowane osobno dla każdego użytkownika. Dzięki temu użytkownik może kierować cały ruch sieciowy przez sieć VPN, nie wpływając na innych użytkowników na urządzeniu.
• Obsługa dostawcy ECDSA w AndroidKeyStore Android ma teraz dostawcę magazynu kluczy, który umożliwia korzystanie z algorytmów ECDSA i DSA.
• Ostrzeżenia dotyczące monitorowania urządzenia Android wyświetla użytkownikom ostrzeżenie, jeśli do magazynu certyfikatów urządzenia dodano certyfikat, który umożliwia monitorowanie szyfrowanego ruchu w sieci.
• FORTIFY_SOURCE. Android obsługuje teraz poziom 2 FORTIFY_SOURCE, a cały kod jest kompilowany z tymi zabezpieczeniami. FORTIFY_SOURCE został ulepszony, aby działał z clang.
• Przypinanie certyfikatu Android 4.4 wykrywa i zapobiega używaniu fałszywych certyfikatów Google w bezpiecznej komunikacji SSL/TLS.
• Poprawki zabezpieczeń Android 4.4 zawiera też poprawki dotyczące luk w zabezpieczeniach specyficznych dla tego systemu. Informacje o tych lukach zostały przekazane członkom Open Handset Alliance, a poprawki są dostępne w ramach Projektu Android Open Source. Aby zwiększyć bezpieczeństwo, niektóre urządzenia z wcześniejszymi wersjami Androida mogą również zawierać te poprawki.

Every Android release includes dozens of security enhancements to protect users. The following are some of the security enhancements available in Android 4.3:

• Android sandbox reinforced with SELinux. This release strengthens the Android sandbox using the SELinux mandatory access control system (MAC) in the Linux kernel. SELinux reinforcement is invisible to users and developers, and adds robustness to the existing Android security model while maintaining compatibility with existing apps. To ensure continued compatibility this release allows the use of SELinux in a permissive mode. This mode logs any policy violations, but will not break apps or affect system behavior.
• No setuid or setgid programs. Added support for filesystem capabilities to Android system files and removed all setuid or setgid programs. This reduces root attack surface and the likelihood of potential security vulnerabilities.
• ADB authentication. Starting in Android 4.2.2, connections to ADB are authenticated with an RSA keypair. This prevents unauthorized use of ADB where the attacker has physical access to a device.
• Restrict Setuid from Android Apps. The /system partition is now mounted nosuid for zygote-spawned processes, preventing Android apps from executing setuid programs. This reduces root attack surface and the likelihood of potential security vulnerabilities.
• Capability bounding. Android zygote and ADB now use prctl(PR_CAPBSET_DROP) to drop unnecessary capabilities prior to executing apps. This prevents Android apps and apps launched from the shell from acquiring privileged capabilities.
• AndroidKeyStore Provider. Android now has a keystore provider that allows apps to create exclusive use keys. This provides apps with an API to create or store private keys that cannot be used by other apps.
• KeyChain isBoundKeyAlgorithm. Keychain API now provides a method (isBoundKeyType) that allows apps to confirm that system-wide keys are bound to a hardware root of trust for the device. This provides a place to create or store private keys that can't be exported off the device, even in the event of a root compromise.
• NO_NEW_PRIVS. Android zygote now uses prctl(PR_SET_NO_NEW_PRIVS) to block addition of new privileges prior to execution app code. This prevents Android apps from performing operations that can elevate privileges through execve. (This requires Linux kernel version 3.5 or greater).
• FORTIFY_SOURCE enhancements. Enabled FORTIFY_SOURCE on Android x86 and MIPS and fortified strchr(), strrchr(), strlen(), and umask() calls. This can detect potential memory corruption vulnerabilities or unterminated string constants.
• Relocation protections. Enabled read only relocations (relro) for statically linked executables and removed all text relocations in Android code. This provides defense in depth against potential memory corruption vulnerabilities.
• Improved EntropyMixer. EntropyMixer now writes entropy at shutdown or reboot, in addition to periodic mixing. This allows retention of all entropy generated while devices are powered on, and is especially useful for devices that are rebooted immediately after provisioning.
• Security fixes. Android 4.3 also includes fixes for Android-specific vulnerabilities. Information about these vulnerabilities has been provided to Open Handset Alliance members and fixes are available in Android Open Source Project. To improve security, some devices with earlier versions of Android may also include these fixes.

Android zapewnia wielowarstwowy model zabezpieczeń opisany w artykule Omówienie zabezpieczeń w Androidzie. Każda aktualizacja Androida zawiera dziesiątki ulepszeń zabezpieczeń, które chronią użytkowników. Oto niektóre z ulepszeń zabezpieczeń wprowadzonych w Androidzie 4.2:

• Weryfikacja aplikacji: użytkownicy mogą włączyć Weryfikację aplikacji i poprosić o przeskanowanie aplikacji przez weryfikatora przed instalacją. Weryfikacja aplikacji może ostrzec użytkownika, jeśli spróbuje zainstalować aplikację, która może być szkodliwa. Jeśli aplikacja jest szczególnie niebezpieczna, może zablokować jej instalację.
• Więcej kontroli nad SMS-ami specjalnymi: Android wyświetla powiadomienie, jeśli aplikacja próbuje wysłać SMS-a na krótki numer, który korzysta z usług premium, które mogą powodować dodatkowe opłaty. Użytkownik może zezwolić aplikacji na wysłanie wiadomości lub ją zablokować.
• Stały VPN: sieć VPN można skonfigurować tak, aby aplikacje nie miały dostępu do sieci, dopóki nie zostanie nawiązane połączenie VPN. Zapobiega to wysyłaniu danych przez inne sieci.
• Przypinanie certyfikatu: podstawowe biblioteki Androida obsługują teraz przypinanie certyfikatu. W przypadku zablokowanych domen certyfikat zostanie uznany za nieprawidłowy, jeśli nie będzie należeć do zestawu oczekiwanych certyfikatów. Zabezpiecza to przed możliwym naruszeniem bezpieczeństwa urzędów certyfikacji.
• Ulepszony wyświetlacz uprawnień Androida: uprawnienia są uporządkowane w grupy, które są łatwiejsze do zrozumienia dla użytkowników. Podczas sprawdzania uprawnień użytkownik może kliknąć uprawnienie, aby wyświetlić więcej informacji na jego temat.
• Zabezpieczenia installd: demon installd nie działa jako użytkownik root, co zmniejsza potencjalną powierzchnię ataku dla eskalacji uprawnień root.
• Zabezpieczenie skryptu init: skrypty init stosują teraz semantykę O_NOFOLLOW, aby zapobiegać atakom związanym z linkami symbolicznymi.
• FORTIFY_SOURCE: Android obecnie implementuje FORTIFY_SOURCE. Jest on używany przez biblioteki systemowe i aplikacje w celu zapobiegania uszkodzeniom pamięci.
• Domyślna konfiguracja ContentProvider: w przypadku aplikacji kierowanych na poziom interfejsu API 17 wartość export jest domyślnie ustawiona na false w przypadku każdego ContentProvider, co zmniejsza domyślną powierzchnię ataku dla aplikacji.
• Szyfrowanie: zmodyfikowano domyślne implementacje SecureRandom i Cipher.RSA, aby używały OpenSSL. Dodano obsługę SSL Socket dla TLSv1.1 i TLSv1.2 przy użyciu OpenSSL 1.0.1
• Poprawki zabezpieczeń: uaktualnione biblioteki open source z poprawkami bezpieczeństwa są WebKit, libpng, OpenSSL i LibXML. Android 4.2 zawiera też poprawki dotyczące luk w zabezpieczeniach w Androidzie. Informacje o tych lukach zostały przekazane członkom Open Handset Alliance, a poprawki są dostępne w ramach Projektu Android Open Source. Aby zwiększyć bezpieczeństwo, niektóre urządzenia z wersjami Androida wcześniejszymi niż 10.0 mogą również zawierać te poprawki.

Android zapewnia wielowarstwowy model zabezpieczeń opisany w artykule Omówienie zabezpieczeń w Androidzie. Każda aktualizacja Androida zawiera dziesiątki ulepszeń zabezpieczeń, które chronią użytkowników. Oto niektóre z ulepszeń zabezpieczeń wprowadzonych w Androidzie w wersjach od 1.5 do 4.1:

Android 1.5

• ProPolice, aby zapobiec przepełnieniu bufora stosu (-fstack-protector)
• safe_iop, aby zmniejszyć przepełnienie liczb całkowitych;
• Rozszerzenia do OpenBSD dlmalloc zapobiegające występowaniu luk w zabezpieczeniach związanych z podwójnym zwalnianiem pamięci (double free()) oraz zapobiegające atakom polegającym na konsolidowaniu fragmentów. Ataki polegające na konsolidowaniu fragmentów są częstym sposobem wykorzystywania uszkodzeń stosu.
• OpenBSD calloc, aby zapobiec przepełnieniu liczb całkowitych podczas alokacji pamięci

Android 2.3

• Ochrona przed lukami w zabezpieczeniach w ciągu formatu (-Wformat-security -Werror=format-security)
• sprzętowe zapobieganie wykonywaniu (NX) w celu zapobiegania wykonywaniu kodu w stosie i stosie zbiorczym;
• mmap_min_addr w systemie Linux w celu ograniczenia możliwości podwyższania uprawnień przez odwołanie do wskaźnika o wartości null (dodatkowo ulepszone w Androidzie 4.1)

Android 4.0

Losowanie rozkładu przestrzeni adresowej (ASLR) w celu losowego wybierania kluczowych lokalizacji w pamięci.

Android 4.1

• Obsługa PIE (kompilacji niezależnej od pozycji)
• Przenoszenie tylko do odczytu / natychmiastowe wiązanie (-Wl,-z,relro -Wl,-z,now)
• dmesg_restrict włączony (zapobiega wyciekowi adresów jądra)
• kptr_restrict włączony (zapobiega wyciekowi adresów jądra)