Улучшения безопасности

Android постоянно совершенствует свои возможности и предложения по обеспечению безопасности. См. списки улучшений по выпускам на левой панели навигации.

Андроид 14

Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 14:

  • Hardware-assisted AddressSanitizer (HWASan), introduced in Android 10, is a memory error detection tool similar to AddressSanitizer. Android 14 brings significant improvements to HWASan. Learn how it helps prevent bugs from making it into Android releases, HWAddressSanitizer
  • In Android 14, starting with apps that share location data with third-parties, the system runtime permission dialog now includes a clickable section that highlights the app's data-sharing practices, including information such as why an app may decide to share data with third parties.
  • Android 12 introduced an option to disable 2G support at the modem level, which protects users from the inherent security risk from 2G's obsolete security model. Recognizing how critical disabling 2G could be for enterprise customers, Android 14 enables this security feature in Android Enterprise, introducing support for IT admins to restrict the ability of a managed device to downgrade to 2G connectivity.
  • Added support to reject null-ciphered cellular connections, ensuring that circuit-switched voice and SMS traffic is always encrypted and protected from passive over-the-air interception. Learn more about Android's program to harden cellular connectivity.
  • Added support for multiple IMEIs
  • Since Android 14, AES-HCTR2 is the preferred mode of filenames encryption for devices with accelerated cryptography instructions.
  • Cellular connectivity
  • Documentation added for Android Safety Center
  • If your app targets Android 14 and uses Dynamic Code Loading (DCL), all dynamically-loaded files must be marked as read-only. Otherwise, the system throws an exception. We recommend that apps avoid dynamically loading code whenever possible, as doing so greatly increases the risk that an app can be compromised by code injection or code tampering.

Check out our full AOSP release notes and the Android Developer features and changes list.

Андроид 13

Каждый выпуск Android включает в себя десятки улучшений безопасности для защиты пользователей. Вот некоторые из основных улучшений безопасности, доступных в Android 13:

  • В Android 13 добавлена ​​поддержка презентации нескольких документов. Этот новый интерфейс сеанса презентации позволяет приложению выполнять презентацию нескольких документов, что невозможно при использовании существующего API. Дополнительную информацию см. в разделе «Удостоверительные данные» .
  • В Android 13 намерения, исходящие из внешних приложений, доставляются экспортированному компоненту тогда и только тогда, когда намерения соответствуют объявленным элементам фильтра намерений.
  • Open Mobile API (OMAPI) — это стандартный API, используемый для связи с элементом безопасности устройства. До Android 13 доступ к этому интерфейсу имели только приложения и модули платформы. Преобразовав его в стабильный интерфейс поставщика, модули HAL также могут взаимодействовать с защищенными элементами через службу OMAPI. Дополнительные сведения см. в разделе Стабильный интерфейс поставщика OMAPI .
  • Начиная с Android 13-QPR, общие UID устарели. Пользователям Android 13 или более поздней версии следует добавить в свой манифест строку `android:sharedUserMaxSdkVersion="32"`. Эта запись не позволяет новым пользователям получить общий UID. Дополнительную информацию о UID см. в разделе Подписание приложений .
  • В Android 13 добавлена ​​поддержка симметричных криптографических примитивов хранилища ключей, таких как AES (расширенный стандарт шифрования), HMAC (код аутентификации сообщения с использованием хеш-ключа) и асимметричных криптографических алгоритмов (включая эллиптические кривые, RSA2048, RSA4096 и Curve 25519).
  • Android 13 (уровень API 33) и более поздних версий поддерживает разрешение среды выполнения для отправки неисключенных уведомлений из приложения . Это дает пользователям контроль над тем, какие уведомления о разрешениях они видят.
  • Добавлен запрос для каждого использования для приложений, запрашивающих доступ ко всем журналам устройств , что дает пользователям возможность разрешать или запрещать доступ.
  • представила Android Virtualization Framework (AVF) , которая объединяет различные гипервизоры в рамках одной платформы со стандартизированными API. Он обеспечивает безопасную и конфиденциальную среду выполнения для выполнения рабочих нагрузок, изолированных гипервизором.
  • Представлена ​​схема подписи APK v3.1. Все новые ротации ключей, использующие apksigner, по умолчанию будут использовать схему подписи v3.1 для целевой ротации для Android 13 и более поздних версий.

Ознакомьтесь с нашими полными примечаниями к выпуску AOSP, а также со списком функций и изменений для разработчиков Android.

Андроид 12

Каждый выпуск Android включает в себя десятки улучшений безопасности для защиты пользователей. Вот некоторые из основных улучшений безопасности, доступных в Android 12:

  • В Android 12 представлен API BiometricManager.Strings , который предоставляет локализованные строки для приложений, использующих BiometricPrompt для аутентификации. Эти строки предназначены для учета особенностей устройства и предоставляют больше информации о том, какие типы аутентификации можно использовать. Android 12 также включает поддержку датчиков отпечатков пальцев под дисплеем.
  • Добавлена ​​поддержка датчиков отпечатков пальцев под дисплеем.
  • Введение языка определения интерфейса Android Fingerprint (AIDL)
  • Поддержка нового Face AIDL
  • Внедрение Rust как языка разработки платформ.
  • Добавлена ​​возможность пользователям предоставлять доступ только к их приблизительному местоположению.
  • Добавлены индикаторы конфиденциальности в строке состояния, когда приложение использует камеру или микрофон.
  • Частное вычислительное ядро ​​Android (PCC)
  • Добавлена ​​возможность отключить поддержку 2G.

Андроид 11

Каждый выпуск Android включает десятки улучшений безопасности для защиты пользователей. Список некоторых основных улучшений безопасности, доступных в Android 11, см. в примечаниях к выпуску Android .

Андроид 10

Каждый выпуск Android включает в себя десятки улучшений безопасности для защиты пользователей. Android 10 включает в себя несколько улучшений безопасности и конфиденциальности. Полный список изменений в Android 10 см. в примечаниях к выпуску Android 10.

Безопасность

ГраницыДезинфицирующее средство

В Android 10 используется BoundsSanitizer (BoundSan) в Bluetooth и кодеках. BoundSan использует дезинфицирующее средство для границ UBSan. Это смягчение включено на уровне каждого модуля. Это помогает обеспечить безопасность критически важных компонентов Android, и его нельзя отключать. BoundSan включен в следующих кодеках:

  • libFLAC
  • libavcdec
  • libavcenc
  • libhevcdec
  • libmpeg2
  • libopus
  • libvpx
  • libspeexresampler
  • libvorbisidec
  • libaac
  • libxaac

Память только для выполнения

По умолчанию разделы исполняемого кода для двоичных файлов системы AArch64 помечены как доступные только для выполнения (нечитаемые) в целях усиления защиты от атак с повторным использованием кода «точно в срок». Код, который смешивает данные и код вместе, а также код, который целенаправленно проверяет эти разделы (без предварительного перераспределения сегментов памяти как читаемые), больше не работает. Приложения с целевым SDK Android 10 (уровень API 29 или выше) пострадают, если приложение попытается прочитать в памяти разделы кода системных библиотек с поддержкой только памяти (XOM) без предварительной пометки раздела как доступного для чтения.

Расширенный доступ

Агенты доверия, основной механизм, используемый механизмами третичной аутентификации, такими как Smart Lock, могут продлевать разблокировку только в Android 10. Агенты доверия больше не могут разблокировать заблокированное устройство и могут удерживать устройство разблокированным не более четырех часов.

Аутентификация по лицу

Аутентификация по лицу позволяет пользователям разблокировать свое устройство, просто взглянув на его переднюю часть. В Android 10 добавлена ​​поддержка нового стека аутентификации по лицу, который может безопасно обрабатывать кадры камеры, сохраняя безопасность и конфиденциальность во время аутентификации по лицу на поддерживаемом оборудовании. Android 10 также предоставляет простой способ реализации требований безопасности, позволяющий интегрировать приложения для таких транзакций, как онлайн-банкинг или другие услуги.

Очистка целочисленного переполнения

Android 10 поддерживает очистку целочисленного переполнения (IntSan) в программных кодеках. Убедитесь, что производительность воспроизведения приемлема для любых кодеков, которые не поддерживаются аппаратным обеспечением устройства. IntSan включен в следующих кодеках:

  • libFLAC
  • libavcdec
  • libavcenc
  • libhevcdec
  • libmpeg2
  • libopus
  • libvpx
  • libspeexresampler
  • libvorbisidec

Компоненты модульной системы

В Android 10 некоторые системные компоненты Android разделены на модули и позволяют обновляться вне обычного цикла выпуска Android. Некоторые модули включают в себя:

OEMCrypto

Android 10 использует OEMCrypto API версии 15.

Скудо

Scudo — это динамический распределитель памяти в пользовательском режиме, разработанный для большей устойчивости к уязвимостям, связанным с кучей. Он предоставляет стандартные примитивы выделения и освобождения C, а также примитивы C++.

ТеньВызовСтек

ShadowCallStack (SCS) — это режим инструментирования LLVM , который защищает от перезаписи адреса возврата (например, переполнения буфера стека) путем сохранения адреса возврата функции в отдельно выделенном экземпляре ShadowCallStack в прологе функции нелистовых функций и загрузки адреса возврата из экземпляра ShadowCallStack в эпилог функции.

Расширенный доступ к WPA3 и Wi-Fi

В Android 10 добавлена ​​поддержка стандартов безопасности Wi-Fi Protected Access 3 (WPA3) и Wi-Fi Enhanced Open, чтобы обеспечить лучшую конфиденциальность и устойчивость к известным атакам.

Конфиденциальность

Доступ к приложению при настройке Android 9 или более ранней версии

Если ваше приложение работает на Android 10 или выше, но ориентировано на Android 9 (уровень API 28) или ниже, платформа применяет следующее поведение:

  • Если ваше приложение объявляет элемент <uses-permission> для ACCESS_FINE_LOCATION или ACCESS_COARSE_LOCATION , система автоматически добавляет элемент <uses-permission> для ACCESS_BACKGROUND_LOCATION во время установки.
  • Если ваше приложение запрашивает ACCESS_FINE_LOCATION или ACCESS_COARSE_LOCATION , система автоматически добавляет ACCESS_BACKGROUND_LOCATION к запросу.

Ограничения фоновой активности

Начиная с Android 10, система накладывает ограничения на запуск действий в фоновом режиме . Такое изменение поведения помогает свести к минимуму прерывания работы пользователя и позволяет ему лучше контролировать то, что отображается на экране. Пока ваше приложение начинает действия в результате взаимодействия с пользователем, эти ограничения, скорее всего, не затрагивают ваше приложение.
Чтобы узнать больше о рекомендуемой альтернативе запуску действий в фоновом режиме, ознакомьтесь с руководством по оповещению пользователей о срочных событиях в вашем приложении.

Метаданные камеры

В Android 10 изменяется объем информации, которую метод getCameraCharacteristics() возвращает по умолчанию. В частности, ваше приложение должно иметь разрешение CAMERA , чтобы получить доступ к потенциально специфичным для устройства метаданным, которые включены в возвращаемое значение этого метода.
Подробнее об этих изменениях можно узнать в разделе о полях камеры, для которых требуется разрешение .

Данные буфера обмена

Если ваше приложение не является редактором метода ввода по умолчанию (IME) или приложением, на котором в данный момент находится фокус, ваше приложение не может получить доступ к данным буфера обмена на Android 10 или более поздней версии.

Местоположение устройства

Чтобы обеспечить дополнительный контроль, который пользователи имеют над доступом приложения к информации о местоположении, в Android 10 представлено разрешение ACCESS_BACKGROUND_LOCATION .
В отличие от разрешений ACCESS_FINE_LOCATION и ACCESS_COARSE_LOCATION , разрешение ACCESS_BACKGROUND_LOCATION влияет на доступ приложения к местоположению только тогда, когда оно работает в фоновом режиме. Считается, что приложение получает доступ к местоположению в фоновом режиме, если не выполняется одно из следующих условий:

  • Видна активность, принадлежащая приложению.
  • В приложении запущена служба переднего плана, которая объявила тип locationслужбы переднего плана .
    Чтобы объявить тип службы переднего плана для службы в вашем приложении, установите targetSdkVersion или compileSdkVersion вашего приложения значение 29 или выше. Узнайте больше о том, как службы переднего плана могут продолжать действия, инициированные пользователем , требующие доступа к местоположению.

Внешнее хранилище

По умолчанию приложениям, предназначенным для Android 10 и более поздних версий, предоставляется ограниченный доступ к внешнему хранилищу или хранилищу с ограниченной областью действия . Такие приложения могут видеть следующие типы файлов на внешнем устройстве хранения данных без необходимости запрашивать какие-либо разрешения пользователя, связанные с хранилищем:

  • Файлы в каталоге приложения, доступ к которым осуществляется с помощью getExternalFilesDir() .
  • Фотографии, видео и аудиоклипы, созданные приложением из медиа-магазина .

Чтобы узнать больше о хранилище с ограниченной областью, а также о том, как делиться, получать доступ и изменять файлы, сохраненные на внешних устройствах хранения, см. руководства по управлению файлами во внешнем хранилище , а также по доступу и изменению медиафайлов .

Рандомизация MAC-адреса

На устройствах под управлением Android 10 или более поздней версии система по умолчанию передает случайные MAC-адреса.
Если ваше приложение предназначено для корпоративного использования , платформа предоставляет API для нескольких операций, связанных с MAC-адресами:

  • Получение случайного MAC-адреса . Приложения владельца устройства и приложения владельца профиля могут получить случайный MAC-адрес, назначенный определенной сети, с помощью вызова getRandomizedMacAddress() .
  • Получение фактического заводского MAC-адреса. Приложения владельца устройства могут получить фактический аппаратный MAC-адрес устройства, вызвав getWifiMacAddress() . Этот метод полезен для отслеживания парка устройств.

Несбрасываемые идентификаторы устройств

Начиная с Android 10, приложения должны иметь привилегированное разрешение READ_PRIVILEGED_PHONE_STATE для доступа к несбрасываемым идентификаторам устройства, которые включают как IMEI, так и серийный номер.

Если у вашего приложения нет разрешения и вы все равно пытаетесь запросить информацию о несбрасываемых идентификаторах, ответ платформы зависит от целевой версии SDK:

  • Если ваше приложение предназначено для Android 10 или более поздней версии, возникает SecurityException .
  • Если ваше приложение предназначено для Android 9 (уровень API 28) или ниже, метод возвращает null данные или данные-заполнители, если приложение имеет разрешение READ_PHONE_STATE . В противном случае возникает SecurityException .

Распознавание физической активности

В Android 10 представлено разрешение среды выполнения android.permission.ACTIVITY_RECOGNITION для приложений, которым необходимо определять количество шагов пользователя или классифицировать физическую активность пользователя, например ходьбу, езду на велосипеде или передвижение в автомобиле. Это сделано для того, чтобы пользователи могли видеть, как данные датчиков устройства используются в настройках.
Некоторые библиотеки в сервисах Google Play, такие как API распознавания активности и API Google Fit , не предоставляют результаты, если пользователь не предоставил вашему приложению такое разрешение.
Единственными встроенными датчиками устройства, требующими заявления об этом разрешении, являются датчики счетчика шагов и детектора шагов .
Если ваше приложение предназначено для Android 9 (уровень API 28) или ниже, система автоматически предоставляет разрешение android.permission.ACTIVITY_RECOGNITION вашему приложению, если это необходимо, если ваше приложение удовлетворяет каждому из следующих условий:

  • Файл манифеста включает разрешение com.google.android.gms.permission.ACTIVITY_RECOGNITION .
  • Файл манифеста не содержит разрешения android.permission.ACTIVITY_RECOGNITION .

Если system-auto предоставляет разрешение android.permission.ACTIVITY_RECOGNITION , ваше приложение сохранит это разрешение после обновления приложения до Android 10. Однако пользователь может отозвать это разрешение в любое время в настройках системы.

Ограничения файловой системы /proc/net

На устройствах под управлением Android 10 или более поздней версии приложения не могут получить доступ к /proc/net , который содержит информацию о состоянии сети устройства. Приложения, которым необходим доступ к этой информации, например VPN, должны использовать класс NetworkStatsManager или ConnectivityManager .

Группы разрешений удалены из пользовательского интерфейса.

Начиная с Android 10, приложения не могут узнать, как разрешения сгруппированы в пользовательском интерфейсе.

Удаление привязки контактов

Начиная с Android 10, платформа не отслеживает информацию о сходстве контактов. В результате, если ваше приложение выполняет поиск в контактах пользователя, результаты не сортируются по частоте взаимодействия.
Руководство по ContactsProvider содержит уведомление с описанием конкретных полей и методов, которые устарели на всех устройствах, начиная с Android 10.

Ограниченный доступ к содержимому экрана

Чтобы защитить содержимое экрана пользователей, Android 10 предотвращает автоматический доступ к содержимому экрана устройства, изменяя область разрешений READ_FRAME_BUFFER , CAPTURE_VIDEO_OUTPUT и CAPTURE_SECURE_VIDEO_OUTPUT . Начиная с Android 10, эти разрешения доступны только по подписи .
Приложения, которым необходим доступ к содержимому экрана устройства, должны использовать API MediaProjection , который отображает запрос на согласие пользователя.

Серийный номер USB-устройства

Если ваше приложение предназначено для Android 10 или более поздней версии, оно не сможет прочитать серийный номер, пока пользователь не предоставит вашему приложению разрешение на доступ к USB-устройству или аксессуару.
Подробнее о работе с USB-устройствами читайте в руководстве по настройке USB-хостов .

Wi-Fi

Приложения, предназначенные для Android 10 или более поздней версии, не могут включать или отключать Wi-Fi. Метод WifiManager.setWifiEnabled() всегда возвращает false .
Если вам нужно предлагать пользователям включать и отключать Wi-Fi, используйте панель настроек .

Ограничения на прямой доступ к настроенным сетям Wi-Fi

Для защиты конфиденциальности пользователей ручная настройка списка сетей Wi-Fi ограничена системными приложениями и контроллерами политики устройств (DPC) . Данный ЦОД может быть либо владельцем устройства, либо владельцем профиля.
Если ваше приложение предназначено для Android 10 или более поздней версии и не является системным приложением или ЦОД, то следующие методы не возвращают полезные данные:

Андроид 9

Every Android release includes dozens of security enhancements to protect users. For a list of some of the major security enhancements available in Android 9, see the Android Release Notes.

Андроид 8

Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 8.0:

  • Encryption. Added support to evict key in work profile.
  • Verified Boot. Added Android Verified Boot (AVB). Verified Boot codebase supporting rollback protection for use in boot loaders added to AOSP. Recommend bootloader support for rollback protection for the HLOS. Recommend boot loaders can only be unlocked by user physically interacting with the device.
  • Lock screen. Added support for using tamper-resistant hardware to verify lock screen credential.
  • KeyStore. Required key attestation for all devices that ship with Android 8.0+. Added ID attestation support to improve Zero Touch Enrollment.
  • Sandboxing. More tightly sandboxed many components using Project Treble's standard interface between framework and device-specific components. Applied seccomp filtering to all untrusted apps to reduce the kernel's attack surface. WebView is now run in an isolated process with very limited access to the rest of the system.
  • Kernel hardening. Implemented hardened usercopy, PAN emulation, read-only after init, and KASLR.
  • Userspace hardening. Implemented CFI for the media stack. App overlays can no longer cover system-critical windows and users have a way to dismiss them.
  • Streaming OS update. Enabled updates on devices that are are low on disk space.
  • Install unknown apps. Users must grant permission to install apps from a source that isn't a first-party app store.
  • Privacy. Android ID (SSAID) has a different value for each app and each user on the device. For web browser apps, Widevine Client ID returns a different value for each app package name and web origin. net.hostname is now empty and the dhcp client no longer sends a hostname. android.os.Build.SERIAL has been replaced with the Build.SERIAL API which is protected behind a user-controlled permission. Improved MAC address randomization in some chipsets.

Андроид 7

Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 7.0:

  • File-based encryption. Encrypting at the file level, instead of encrypting the entire storage area as a single unit, better isolates and protects individual users and profiles (such as personal and work) on a device.
  • Direct Boot. Enabled by file-based encryption, Direct Boot allows certain apps such as alarm clock and accessibility features to run when device is powered on but not unlocked.
  • Verified Boot. Verified Boot is now strictly enforced to prevent compromised devices from booting; it supports error correction to improve reliability against non-malicious data corruption.
  • SELinux. Updated SELinux configuration and increased seccomp coverage further locks down the application sandbox and reduces attack surface.
  • Library load-order randomization and improved ASLR. Increased randomness makes some code-reuse attacks less reliable.
  • Kernel hardening. Added additional memory protection for newer kernels by marking portions of kernel memory as read-only, restricting kernel access to userspace addresses and further reducing the existing attack surface.
  • APK signature scheme v2. Introduced a whole-file signature scheme that improves verification speed and strengthens integrity guarantees.
  • Trusted CA store. To make it easier for apps to control access to their secure network traffic, user-installed certificate authorities and those installed through Device Admin APIs are no longer trusted by default for apps targeting API Level 24+. Additionally, all new Android devices must ship with the same trusted CA store.
  • Network Security Config. Configure network security and TLS through a declarative configuration file.

Андроид 6

Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 6.0:

  • Runtime Permissions. Applications request permissions at runtime instead of being granted at App install time. Users can toggle permissions on and off for both M and pre-M applications.
  • Verified Boot. A set of cryptographic checks of system software are conducted prior to execution to ensure the phone is healthy from the bootloader all the way up to the operating system.
  • Hardware-Isolated Security. New Hardware Abstraction Layer (HAL) used by Fingerprint API, Lockscreen, Device Encryption, and Client Certificates to protect keys against kernel compromise and/or local physical attacks
  • Fingerprints. Devices can now be unlocked with just a touch. Developers can also take advantage of new APIs to use fingerprints to lock and unlock encryption keys.
  • SD Card Adoption. Removable media can be adopted to a device and expand available storage for app local data, photos, videos, etc., but still be protected by block-level encryption.
  • Clear Text Traffic. Developers can use a new StrictMode to make sure their application doesn't use cleartext.
  • System Hardening. Hardening of the system via policies enforced by SELinux. This offers better isolation between users, IOCTL filtering, reduce threat of exposed services, further tightening of SELinux domains, and extremely limited /proc access.
  • USB Access Control: Users must confirm to allow USB access to files, storage, or other functionality on the phone. Default is now charge only with access to storage requiring explicit approval from the user.

Андроид 5

5.0

Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 5.0:

  • Encrypted by default. On devices that ship with L out-of-the-box, full disk encryption is enabled by default to improve protection of data on lost or stolen devices. Devices that update to L can be encrypted in Settings > Security.
  • Improved full disk encryption. The user password is protected against brute-force attacks using scrypt and, where available, the key is bound to the hardware keystore to prevent off-device attacks. As always, the Android screen lock secret and the device encryption key are not sent off the device or exposed to any application.
  • Android sandbox reinforced with SELinux. Android now requires SELinux in enforcing mode for all domains. SELinux is a mandatory access control (MAC) system in the Linux kernel used to augment the existing discretionary access control (DAC) security model. This new layer provides additional protection against potential security vulnerabilities.
  • Smart Lock. Android now includes trustlets that provide more flexibility for unlocking devices. For example, trustlets can allow devices to be unlocked automatically when close to another trusted device (via NFC, Bluetooth) or being used by someone with a trusted face.
  • Multi user, restricted profile, and guest modes for phones & tablets. Android now provides for multiple users on phones and includes a guest mode that can be used to provide easy temporary access to your device without granting access to your data and apps.
  • Updates to WebView without OTA. WebView can now be updated independent of the framework and without a system OTA. This will allow for faster response to potential security issues in WebView.
  • Updated cryptography for HTTPS and TLS/SSL. TLSv1.2 and TLSv1.1 is now enabled, Forward Secrecy is now preferred, AES-GCM is now enabled, and weak cipher suites (MD5, 3DES, and export cipher suites) are now disabled. See https://developer.android.com/reference/javax/net/ssl/SSLSocket.html for more details.
  • non-PIE linker support removed. Android now requires all dynamically linked executables to support PIE (position-independent executables). This enhances Android’s address space layout randomization (ASLR) implementation.
  • FORTIFY_SOURCE improvements. The following libc functions now implement FORTIFY_SOURCE protections: stpcpy(), stpncpy(), read(), recvfrom(), FD_CLR(), FD_SET(), and FD_ISSET(). This provides protection against memory-corruption vulnerabilities involving those functions.
  • Security Fixes. Android 5.0 also includes fixes for Android-specific vulnerabilities. Information about these vulnerabilities has been provided to Open Handset Alliance members, and fixes are available in Android Open Source Project. To improve security, some devices with earlier versions of Android may also include these fixes.

Андроид 4 и ниже

Каждый выпуск Android включает десятки улучшений безопасности для защиты пользователей. Ниже приведены некоторые улучшения безопасности, доступные в Android 4.4:

  • Android-песочница, усиленная SELinux. Android теперь использует SELinux в принудительном режиме. SELinux — это система обязательного контроля доступа (MAC) в ядре Linux, используемая для расширения существующей модели безопасности, основанной на дискреционном контроле доступа (DAC). Это обеспечивает дополнительную защиту от потенциальных уязвимостей системы безопасности.
  • VPN для каждого пользователя. На многопользовательских устройствах VPN теперь применяются для каждого пользователя. Это может позволить пользователю направлять весь сетевой трафик через VPN, не затрагивая других пользователей на устройстве.
  • Поддержка поставщика ECDSA в AndroidKeyStore. У Android теперь есть поставщик хранилища ключей, который позволяет использовать алгоритмы ECDSA и DSA.
  • Предупреждения о мониторинге устройств. Android предоставляет пользователям предупреждение, если в хранилище сертификатов устройства был добавлен какой-либо сертификат, который может позволить отслеживать зашифрованный сетевой трафик.
  • FORTIFY_SOURCE. Теперь Android поддерживает FORTIFY_SOURCE уровня 2, и весь код скомпилирован с учетом этих средств защиты. FORTIFY_SOURCE был улучшен для работы с clang.
  • Закрепление сертификата. Android 4.4 обнаруживает и предотвращает использование мошеннических сертификатов Google, используемых в безопасных соединениях SSL/TLS.
  • Исправления безопасности. Android 4.4 также включает исправления для специфичных для Android уязвимостей. Информация об этих уязвимостях была предоставлена ​​членам Open Handset Alliance, а исправления доступны в Android Open Source Project. Для повышения безопасности некоторые устройства с более ранними версиями Android также могут включать эти исправления.

Every Android release includes dozens of security enhancements to protect users. The following are some of the security enhancements available in Android 4.3:

  • Android sandbox reinforced with SELinux. This release strengthens the Android sandbox using the SELinux mandatory access control system (MAC) in the Linux kernel. SELinux reinforcement is invisible to users and developers, and adds robustness to the existing Android security model while maintaining compatibility with existing applications. To ensure continued compatibility this release allows the use of SELinux in a permissive mode. This mode logs any policy violations, but will not break applications or affect system behavior.
  • No setuid/setgid programs. Added support for filesystem capabilities to Android system files and removed all setuid/setguid programs.  This reduces root attack surface and the likelihood of potential security vulnerabilities.
  • ADB Authentication. Since Android 4.2.2, connections to ADB are authenticated with an RSA keypair. This prevents unauthorized use of ADB where the attacker has physical access to a device.
  • Restrict Setuid from Android Apps. The /system partition is now mounted nosuid for zygote-spawned processes, preventing Android applications from executing setuid programs. This reduces root attack surface and the likelihood of potential security vulnerabilities.
  • Capability bounding. Android zygote and ADB now use prctl(PR_CAPBSET_DROP) to drop unnecessary capabilities prior to executing applications. This prevents Android applications and applications launched from the shell from acquiring privileged capabilities.
  • AndroidKeyStore Provider. Android now has a keystore provider that allows applications to create exclusive use keys. This provides applications with an API to create or store private keys that cannot be used by other applications.
  • KeyChain isBoundKeyAlgorithm. Keychain API now provides a method (isBoundKeyType) that allows applications to confirm that system-wide keys are bound to a hardware root of trust for the device. This provides a place to create or store private keys that cannot be exported off the device, even in the event of a root compromise.
  • NO_NEW_PRIVS. Android zygote now uses prctl(PR_SET_NO_NEW_PRIVS) to block addition of new privileges prior to execution application code. This prevents Android applications from performing operations which can elevate privileges via execve. (This requires Linux kernel version 3.5 or greater).
  • FORTIFY_SOURCE enhancements. Enabled FORTIFY_SOURCE on Android x86 and MIPS and fortified strchr(), strrchr(), strlen(), and umask() calls. This can detect potential memory corruption vulnerabilities or unterminated string constants.
  • Relocation protections. Enabled read only relocations (relro) for statically linked executables and removed all text relocations in Android code. This provides defense in depth against potential memory corruption vulnerabilities.
  • Improved EntropyMixer. EntropyMixer now writes entropy at shutdown / reboot, in addition to periodic mixing. This allows retention of all entropy generated while devices are powered on, and is especially useful for devices that are rebooted immediately after provisioning.
  • Security Fixes. Android 4.3 also includes fixes for Android-specific vulnerabilities. Information about these vulnerabilities has been provided to Open Handset Alliance members and fixes are available in Android Open Source Project. To improve security, some devices with earlier versions of Android may also include these fixes.

Android предоставляет многоуровневую модель безопасности, описанную в обзоре безопасности Android . Каждое обновление для Android включает десятки улучшений безопасности для защиты пользователей. Ниже приведены некоторые улучшения безопасности, представленные в Android 4.2:

  • Проверка приложений . Пользователи могут включить «Проверку приложений» и проверить приложения перед установкой верификатором приложений. Проверка приложений может предупредить пользователя, если он попытается установить приложение, которое может быть опасным; если приложение особенно плохое, это может заблокировать установку.
  • Больше контроля над SMS-сообщениями премиум-класса. Android предоставит уведомление, если приложение попытается отправить SMS-сообщение на короткий номер, использующий сервисы премиум-класса, за что может взиматься дополнительная плата. Пользователь может выбрать, разрешить приложению отправлять сообщение или заблокировать его.
  • Always-on VPN — VPN можно настроить таким образом, чтобы приложения не имели доступа к сети, пока не будет установлено VPN-подключение. Это предотвращает отправку данных приложениями через другие сети.
  • Закрепление сертификата . Основные библиотеки Android теперь поддерживают закрепление сертификата . Закрепленные домены получат ошибку проверки сертификата, если сертификат не связан с набором ожидаемых сертификатов. Это защищает от возможной компрометации центров сертификации.
  • Улучшенное отображение разрешений Android. Разрешения были организованы в группы, более понятные пользователям. Во время просмотра разрешений пользователь может щелкнуть разрешение, чтобы просмотреть более подробную информацию о разрешении.
  • Усиление защиты installd — демон installd не запускается от имени пользователя root, что снижает потенциальную поверхность атаки для повышения привилегий root.
  • Усиление сценариев инициализации — сценарии инициализации теперь применяют семантику O_NOFOLLOW для предотвращения атак, связанных с символическими ссылками.
  • FORTIFY_SOURCE — Android теперь реализует FORTIFY_SOURCE . Это используется системными библиотеками и приложениями для предотвращения повреждения памяти.
  • Конфигурация ContentProvider по умолчанию . В приложениях, предназначенных для уровня API 17, параметр «export» будет установлен на «false» по умолчанию для каждого Content Provider , что уменьшит область атаки по умолчанию для приложений.
  • Криптография — изменены реализации SecureRandom и Cipher.RSA по умолчанию для использования OpenSSL. Добавлена ​​поддержка сокетов SSL для TLSv1.1 и TLSv1.2 с использованием OpenSSL 1.0.1.
  • Исправления безопасности . Обновленные библиотеки с открытым исходным кодом с исправлениями безопасности включают WebKit, libpng, OpenSSL и LibXML. Android 4.2 также включает исправления для специфичных для Android уязвимостей. Информация об этих уязвимостях была предоставлена ​​членам Open Handset Alliance, а исправления доступны в Android Open Source Project. Для повышения безопасности некоторые устройства с более ранними версиями Android также могут включать эти исправления.

Android provides a multi-layered security model described in the Android Security Overview. Each update to Android includes dozens of security enhancements to protect users. The following are some of the security enhancements introduced in Android versions 1.5 through 4.1:

Android 1.5
  • ProPolice to prevent stack buffer overruns (-fstack-protector)
  • safe_iop to reduce integer overflows
  • Extensions to OpenBSD dlmalloc to prevent double free() vulnerabilities and to prevent chunk consolidation attacks. Chunk consolidation attacks are a common way to exploit heap corruption.
  • OpenBSD calloc to prevent integer overflows during memory allocation
Android 2.3
  • Format string vulnerability protections (-Wformat-security -Werror=format-security)
  • Hardware-based No eXecute (NX) to prevent code execution on the stack and heap
  • Linux mmap_min_addr to mitigate null pointer dereference privilege escalation (further enhanced in Android 4.1)
Android 4.0
Address Space Layout Randomization (ASLR) to randomize key locations in memory
Android 4.1
  • PIE (Position Independent Executable) support
  • Read-only relocations / immediate binding (-Wl,-z,relro -Wl,-z,now)
  • dmesg_restrict enabled (avoid leaking kernel addresses)
  • kptr_restrict enabled (avoid leaking kernel addresses)