Android постоянно совершенствует свои возможности и предложения по обеспечению безопасности. См. списки улучшений по выпускам на левой панели навигации.
Андроид 14
Каждый выпуск Android включает в себя десятки улучшений безопасности для защиты пользователей. Вот некоторые из основных улучшений безопасности, доступных в Android 14:
- Аппаратный AddressSanitizer (HWASan), представленный в Android 10, представляет собой инструмент обнаружения ошибок памяти, аналогичный AddressSanitizer . Android 14 вносит значительные улучшения в HWASan. Узнайте, как HWAddressSanitizer помогает предотвратить попадание ошибок в выпуски Android.
- В Android 14, начиная с приложений, которые передают данные о местоположении третьим лицам, диалоговое окно разрешений во время выполнения системы теперь включает кликабельный раздел, в котором освещаются методы обмена данными приложения, включая такую информацию, как, например, почему приложение может решить поделиться данными с третьими лицами. .
- В Android 12 появилась возможность отключить поддержку 2G на уровне модема, что защищает пользователей от риска безопасности, связанного с устаревшей моделью безопасности 2G. Понимая, насколько критичным может быть отключение 2G для корпоративных клиентов, Android 14 включает эту функцию безопасности в Android Enterprise, предоставляя ИТ-администраторам возможность ограничить возможность перехода управляемого устройства на подключение 2G .
- Добавлена поддержка отклонения сотовых соединений с нулевым шифрованием, гарантирующая, что голосовой и SMS-трафик с коммутацией каналов всегда зашифрован и защищен от пассивного беспроводного перехвата. Узнайте больше о программе Android по улучшению качества сотовой связи .
- Добавлена поддержка нескольких IMEI.
- Начиная с Android 14, AES-HCTR2 является предпочтительным режимом шифрования имен файлов для устройств с инструкциями ускоренного шифрования.
- Сотовая связь
- Добавлена документация для Центра безопасности Android.
- Если ваше приложение предназначено для Android 14 и использует динамическую загрузку кода (DCL), все динамически загружаемые файлы должны быть помечены как доступные только для чтения. В противном случае система выдает исключение. Мы рекомендуем приложениям избегать динамической загрузки кода, когда это возможно, поскольку это значительно увеличивает риск того, что приложение может быть скомпрометировано путем внедрения кода или подделки кода.
Ознакомьтесь с нашими полными примечаниями к выпуску AOSP, а также со списком функций и изменений для разработчиков Android.
Андроид 13
每个 Android 版本中都包含数十种用于保护用户的安全增强功能。以下是 Android 13 中提供的一些主要安全增强功能:
- Android 13 添加了对多文档呈现的支持。 通过这个新的 Presentation Session 接口,应用可以执行多文档呈现,而现有 API 无法做到这一点。如需了解详情,请参阅身份凭据
- 在 Android 13 中,当且仅当源自外部应用的 intent 与其声明的 intent 过滤器元素匹配时,这些 intent 才会传送到导出的组件。
- Open Mobile API (OMAPI) 是一种标准 API,用于与设备的安全元件进行通信。在 Android 13 之前,只有应用和框架模块可以访问此接口。通过将其转换为供应商稳定版接口,HAL 模块还能够通过 OMAPI 服务与安全元件进行通信。 如需了解详情,请参阅 OMAPI 供应商稳定版接口。
- 从 Android 13-QPR 开始,共享 UID 被废弃。 使用 Android 13 或更高版本的用户应在其清单中添加 `android:sharedUserMaxSdkVersion="32"` 行。此条目可防止新用户获取共享 UID。如需详细了解 UID,请参阅应用签名。
- Android 13 添加了对密钥库对称加密基元的支持,例如支持 AES(高级加密标准)、HMAC(密钥哈希消息认证码)以及非对称加密算法(包括椭圆曲线加密、RSA2048、RSA4096 和曲线 25519 加密)
- Android 13(API 级别 33)及更高版本支持用于从应用发送非豁免通知的运行时权限。这可让用户控制他们会看到哪些权限通知。
- 针对请求访问所有设备日志的应用,添加了在每次使用时显示提示的功能,以便用户允许或拒绝授予访问权限。
- 推出了 Android 虚拟化框架 (AVF),它使用标准化 API 将不同的 Hypervisor 整合到一个框架下。 它提供安全、私密的执行环境,以便执行通过 Hypervisor 隔离的工作负载。
- 引入了 APK 签名方案 v3.1 所有使用 apksigner 的新密钥轮替都将默认使用 v3.1 签名方案,以便将 Android 13 及更高版本作为轮替目标。
Андроид 12
Каждый выпуск Android включает в себя десятки улучшений безопасности для защиты пользователей. Вот некоторые из основных улучшений безопасности, доступных в Android 12:
- В Android 12 представлен API BiometricManager.Strings , который предоставляет локализованные строки для приложений, использующих BiometricPrompt для аутентификации. Эти строки предназначены для учета особенностей устройства и предоставляют больше информации о том, какие типы аутентификации можно использовать. Android 12 также включает поддержку датчиков отпечатков пальцев под дисплеем.
- Добавлена поддержка датчиков отпечатков пальцев под дисплеем.
- Введение языка определения интерфейса Android Fingerprint (AIDL)
- Поддержка нового Face AIDL
- Внедрение Rust как языка разработки платформ.
- Добавлена возможность пользователям предоставлять доступ только к их приблизительному местоположению.
- Добавлены индикаторы конфиденциальности в строке состояния, когда приложение использует камеру или микрофон.
- Частное вычислительное ядро Android (PCC)
- Добавлена возможность отключить поддержку 2G.
Андроид 11
每个 Android 版本中都包含数十项用于保护用户的安全增强功能。如需查看 Android 11 中提供的一些主要安全增强功能的列表,请参阅 Android 版本说明。
Андроид 10
Каждый выпуск Android включает в себя десятки улучшений безопасности для защиты пользователей. Android 10 включает в себя несколько улучшений безопасности и конфиденциальности. Полный список изменений в Android 10 см. в примечаниях к выпуску Android 10.
Безопасность
ГраницыДезинфицирующее средство
В Android 10 используется BoundsSanitizer (BoundSan) в Bluetooth и кодеках. BoundSan использует дезинфицирующее средство для границ UBSan. Это смягчение включено на уровне каждого модуля. Это помогает обеспечить безопасность критически важных компонентов Android, и его нельзя отключать. BoundSan включен в следующих кодеках:
-
libFLAC
-
libavcdec
-
libavcenc
-
libhevcdec
-
libmpeg2
-
libopus
-
libvpx
-
libspeexresampler
-
libvorbisidec
-
libaac
-
libxaac
Память только для выполнения
По умолчанию разделы исполняемого кода для двоичных файлов системы AArch64 помечены как доступные только для выполнения (нечитаемые) в целях усиления защиты от атак с повторным использованием кода «точно в срок». Код, который смешивает данные и код вместе, а также код, который целенаправленно проверяет эти разделы (без предварительного перераспределения сегментов памяти как читаемые), больше не работает. Приложения с целевым SDK Android 10 (уровень API 29 или выше) пострадают, если приложение попытается прочитать в памяти разделы кода системных библиотек с поддержкой только памяти (XOM) без предварительной пометки раздела как доступного для чтения.
Расширенный доступ
Агенты доверия, основной механизм, используемый механизмами третичной аутентификации, такими как Smart Lock, могут продлевать разблокировку только в Android 10. Агенты доверия больше не могут разблокировать заблокированное устройство и могут удерживать устройство разблокированным не более четырех часов.
Аутентификация по лицу
Аутентификация по лицу позволяет пользователям разблокировать свое устройство, просто взглянув на его переднюю часть. В Android 10 добавлена поддержка нового стека аутентификации по лицу, который может безопасно обрабатывать кадры камеры, сохраняя безопасность и конфиденциальность во время аутентификации по лицу на поддерживаемом оборудовании. Android 10 также предоставляет простой способ реализации требований безопасности, позволяющий интегрировать приложения для таких транзакций, как онлайн-банкинг или другие услуги.
Очистка целочисленного переполнения
Android 10 поддерживает очистку целочисленного переполнения (IntSan) в программных кодеках. Убедитесь, что производительность воспроизведения приемлема для любых кодеков, которые не поддерживаются аппаратным обеспечением устройства. IntSan включен в следующих кодеках:
-
libFLAC
-
libavcdec
-
libavcenc
-
libhevcdec
-
libmpeg2
-
libopus
-
libvpx
-
libspeexresampler
-
libvorbisidec
Компоненты модульной системы
В Android 10 некоторые системные компоненты Android разделены на модули и позволяют обновляться вне обычного цикла выпуска Android. Некоторые модули включают в себя:
- Android-среда выполнения
- Конкрипт
- DNS-резольвер
- ДокументыUI
- ЭкстСервисс
- СМИ
- МодульМетаданные
- сеть
- Контроллер разрешений
- Данные о часовом поясе
OEMCrypto
Android 10 использует OEMCrypto API версии 15.
Скудо
Scudo — это динамический распределитель памяти в пользовательском режиме, разработанный для большей устойчивости к уязвимостям, связанным с кучей. Он предоставляет стандартные примитивы выделения и освобождения C, а также примитивы C++.
ТеньВызовСтек
ShadowCallStack (SCS)
— это режим инструментирования LLVM , который защищает от перезаписи адреса возврата (например, переполнения буфера стека) путем сохранения адреса возврата функции в отдельно выделенном экземпляре ShadowCallStack
в прологе функции нелистовых функций и загрузки адреса возврата из экземпляра ShadowCallStack
в эпилог функции.
Расширенный доступ к WPA3 и Wi-Fi
В Android 10 добавлена поддержка стандартов безопасности Wi-Fi Protected Access 3 (WPA3) и Wi-Fi Enhanced Open, чтобы обеспечить лучшую конфиденциальность и устойчивость к известным атакам.
Конфиденциальность
Доступ к приложению при настройке Android 9 или более ранней версии
Если ваше приложение работает на Android 10 или выше, но ориентировано на Android 9 (уровень API 28) или ниже, платформа применяет следующее поведение:
- Если ваше приложение объявляет элемент
<uses-permission>
дляACCESS_FINE_LOCATION
илиACCESS_COARSE_LOCATION
, система автоматически добавляет элемент<uses-permission>
дляACCESS_BACKGROUND_LOCATION
во время установки. - Если ваше приложение запрашивает
ACCESS_FINE_LOCATION
илиACCESS_COARSE_LOCATION
, система автоматически добавляетACCESS_BACKGROUND_LOCATION
к запросу.
Ограничения фоновой активности
Начиная с Android 10, система накладывает ограничения на запуск действий в фоновом режиме . Такое изменение поведения помогает свести к минимуму прерывания работы пользователя и позволяет ему лучше контролировать то, что отображается на экране. Пока ваше приложение начинает действия в результате взаимодействия с пользователем, эти ограничения, скорее всего, не затрагивают ваше приложение.
Чтобы узнать больше о рекомендуемой альтернативе запуску действий в фоновом режиме, ознакомьтесь с руководством по оповещению пользователей о срочных событиях в вашем приложении.
Метаданные камеры
В Android 10 изменяется объем информации, которую метод getCameraCharacteristics()
возвращает по умолчанию. В частности, ваше приложение должно иметь разрешение CAMERA
, чтобы получить доступ к потенциально специфичным для устройства метаданным, которые включены в возвращаемое значение этого метода.
Подробнее об этих изменениях можно узнать в разделе о полях камеры, для которых требуется разрешение .
Данные буфера обмена
Если ваше приложение не является редактором метода ввода по умолчанию (IME) или приложением, на котором в данный момент находится фокус, ваше приложение не может получить доступ к данным буфера обмена на Android 10 или более поздней версии.
Местоположение устройства
Чтобы обеспечить дополнительный контроль, который пользователи имеют над доступом приложения к информации о местоположении, в Android 10 представлено разрешение ACCESS_BACKGROUND_LOCATION
.
В отличие от разрешений ACCESS_FINE_LOCATION
и ACCESS_COARSE_LOCATION
, разрешение ACCESS_BACKGROUND_LOCATION
влияет на доступ приложения к местоположению только тогда, когда оно работает в фоновом режиме. Считается, что приложение получает доступ к местоположению в фоновом режиме, если не выполняется одно из следующих условий:
- Видна активность, принадлежащая приложению.
- В приложении запущена служба переднего плана, которая объявила тип
location
службы переднего плана .
Чтобы объявить тип службы переднего плана для службы в вашем приложении, установитеtargetSdkVersion
илиcompileSdkVersion
вашего приложения значение29
или выше. Узнайте больше о том, как службы переднего плана могут продолжать действия, инициированные пользователем , требующие доступа к местоположению.
Внешнее хранилище
По умолчанию приложениям, предназначенным для Android 10 и более поздних версий, предоставляется ограниченный доступ к внешнему хранилищу или хранилищу с ограниченной областью действия . Такие приложения могут видеть следующие типы файлов на внешнем устройстве хранения данных без необходимости запрашивать какие-либо разрешения пользователя, связанные с хранилищем:
- Файлы в каталоге приложения, доступ к которым осуществляется с помощью
getExternalFilesDir()
. - Фотографии, видео и аудиоклипы, созданные приложением из медиа-магазина .
Чтобы узнать больше о хранилище с ограниченной областью, а также о том, как делиться, получать доступ и изменять файлы, сохраненные на внешних устройствах хранения, см. руководства по управлению файлами во внешнем хранилище , а также по доступу и изменению медиафайлов .
Рандомизация MAC-адреса
На устройствах под управлением Android 10 или более поздней версии система по умолчанию передает случайные MAC-адреса.
Если ваше приложение предназначено для корпоративного использования , платформа предоставляет API для нескольких операций, связанных с MAC-адресами:
- Получение случайного MAC-адреса . Приложения владельца устройства и приложения владельца профиля могут получить случайный MAC-адрес, назначенный определенной сети, с помощью вызова
getRandomizedMacAddress()
. - Получение фактического заводского MAC-адреса. Приложения владельца устройства могут получить фактический аппаратный MAC-адрес устройства, вызвав
getWifiMacAddress()
. Этот метод полезен для отслеживания парка устройств.
Несбрасываемые идентификаторы устройств
Начиная с Android 10, приложения должны иметь привилегированное разрешение READ_PRIVILEGED_PHONE_STATE
для доступа к несбрасываемым идентификаторам устройства, которые включают как IMEI, так и серийный номер.
-
Build
-
TelephonyManager
Если у вашего приложения нет разрешения и вы все равно пытаетесь запросить информацию о несбрасываемых идентификаторах, ответ платформы зависит от целевой версии SDK:
- Если ваше приложение предназначено для Android 10 или более поздней версии, возникает
SecurityException
. - Если ваше приложение предназначено для Android 9 (уровень API 28) или ниже, метод возвращает
null
данные или данные-заполнители, если приложение имеет разрешениеREAD_PHONE_STATE
. В противном случае возникаетSecurityException
.
Распознавание физической активности
В Android 10 представлено разрешение среды выполнения android.permission.ACTIVITY_RECOGNITION
для приложений, которым необходимо определять количество шагов пользователя или классифицировать физическую активность пользователя, например ходьбу, езду на велосипеде или передвижение в автомобиле. Это сделано для того, чтобы пользователи могли видеть, как данные датчиков устройства используются в настройках.
Некоторые библиотеки в сервисах Google Play, такие как API распознавания активности и API Google Fit , не предоставляют результаты, если пользователь не предоставил вашему приложению такое разрешение.
Единственными встроенными датчиками устройства, требующими заявления об этом разрешении, являются датчики счетчика шагов и детектора шагов .
Если ваше приложение предназначено для Android 9 (уровень API 28) или ниже, система автоматически предоставляет разрешение android.permission.ACTIVITY_RECOGNITION
вашему приложению, если это необходимо, если ваше приложение удовлетворяет каждому из следующих условий:
- Файл манифеста включает разрешение
com.google.android.gms.permission.ACTIVITY_RECOGNITION
. - Файл манифеста не содержит разрешения
android.permission.ACTIVITY_RECOGNITION
.
Если system-auto предоставляет разрешение android.permission.ACTIVITY_RECOGNITION
, ваше приложение сохранит это разрешение после обновления приложения до Android 10. Однако пользователь может отозвать это разрешение в любое время в настройках системы.
Ограничения файловой системы /proc/net
На устройствах под управлением Android 10 или более поздней версии приложения не могут получить доступ к /proc/net
, который содержит информацию о состоянии сети устройства. Приложения, которым необходим доступ к этой информации, например VPN, должны использовать класс NetworkStatsManager
или ConnectivityManager
.
Группы разрешений удалены из пользовательского интерфейса.
Начиная с Android 10, приложения не могут узнать, как разрешения сгруппированы в пользовательском интерфейсе.
Удаление привязки контактов
Начиная с Android 10, платформа не отслеживает информацию о сходстве контактов. В результате, если ваше приложение выполняет поиск в контактах пользователя, результаты не сортируются по частоте взаимодействия.
Руководство по ContactsProvider
содержит уведомление с описанием конкретных полей и методов, которые устарели на всех устройствах, начиная с Android 10.
Ограниченный доступ к содержимому экрана
Чтобы защитить содержимое экрана пользователей, Android 10 предотвращает автоматический доступ к содержимому экрана устройства, изменяя область разрешений READ_FRAME_BUFFER
, CAPTURE_VIDEO_OUTPUT
и CAPTURE_SECURE_VIDEO_OUTPUT
. Начиная с Android 10, эти разрешения доступны только по подписи .
Приложения, которым необходим доступ к содержимому экрана устройства, должны использовать API MediaProjection
, который отображает запрос на согласие пользователя.
Серийный номер USB-устройства
Если ваше приложение предназначено для Android 10 или более поздней версии, оно не сможет прочитать серийный номер, пока пользователь не предоставит вашему приложению разрешение на доступ к USB-устройству или аксессуару.
Подробнее о работе с USB-устройствами читайте в руководстве по настройке USB-хостов .
Wi-Fi
Приложения, предназначенные для Android 10 или более поздней версии, не могут включать или отключать Wi-Fi. Метод WifiManager.setWifiEnabled()
всегда возвращает false
.
Если вам нужно предлагать пользователям включать и отключать Wi-Fi, используйте панель настроек .
Ограничения на прямой доступ к настроенным сетям Wi-Fi
Для защиты конфиденциальности пользователей ручная настройка списка сетей Wi-Fi ограничена системными приложениями и контроллерами политики устройств (DPC) . Данный ЦОД может быть либо владельцем устройства, либо владельцем профиля.
Если ваше приложение предназначено для Android 10 или более поздней версии и не является системным приложением или ЦОД, то следующие методы не возвращают полезные данные:
- Метод
getConfiguredNetworks()
всегда возвращает пустой список. - Каждый метод сетевой операции, возвращающий целочисленное значение
addNetwork()
иupdateNetwork()
всегда возвращает -1. - Каждая сетевая операция, возвращающая логическое значение
removeNetwork()
,reassociate()
,enableNetwork()
,disableNetwork()
,reconnect()
иdisconnect()
— всегда возвращаетfalse
.
Андроид 9
每个 Android 版本中都包含数十项用于保护用户的安全增强功能。如需 Android 9 中提供的一些主要安全增强功能的列表,请参阅 Android 版本说明。
Андроид 8
Каждый выпуск Android включает десятки улучшений безопасности для защиты пользователей. Вот некоторые из основных улучшений безопасности, доступных в Android 8.0:
- Шифрование . Добавлена поддержка удаления ключа в рабочем профиле.
- Проверенная загрузка . Добавлена проверенная загрузка Android (AVB). Проверенный код загрузки, поддерживающий защиту от отката для использования в загрузчиках, добавленных в AOSP. Рекомендовать поддержку загрузчика для защиты от отката для HLOS. Рекомендованные загрузчики могут быть разблокированы только пользователем, физически взаимодействующим с устройством.
- Экран блокировки . Добавлена поддержка использования защищенного от несанкционированного доступа оборудования для проверки учетных данных экрана блокировки.
- Хранилище ключей . Требуется подтверждение ключа для всех устройств, поставляемых с Android 8.0+. Добавлена поддержка аттестации удостоверения личности для улучшения регистрации Zero Touch.
- Песочница . Более тесная изолированная программная среда многих компонентов с использованием стандартного интерфейса Project Treble между компонентами платформы и специфичными для устройства компонентами. Применена фильтрация seccomp ко всем ненадежным приложениям, чтобы уменьшить поверхность атаки ядра. WebView теперь запускается в изолированном процессе с очень ограниченным доступом к остальной части системы.
- Упрочнение ядра . Реализована усиленная функция usercopy , эмуляция PAN, доступ только для чтения после инициализации и KASLR.
- Усиление пользовательского пространства . Реализован CFI для стека мультимедиа. Оверлеи приложений больше не могут закрывать важные для системы окна, и у пользователей есть возможность скрыть их.
- Потоковое обновление ОС . Включены обновления на устройствах, на которых мало места на диске.
- Установите неизвестные приложения . Пользователи должны предоставить разрешение на установку приложений из источника, который не является собственным магазином приложений.
- Конфиденциальность . Идентификатор Android (SSAID) имеет разное значение для каждого приложения и каждого пользователя на устройстве. Для приложений веб-браузера Widevine Client ID возвращает разные значения для каждого имени пакета приложения и веб-источника.
net.hostname
теперь пуст, и клиент dhcp больше не отправляет имя хоста.android.os.Build.SERIAL
был заменен APIBuild.SERIAL
, который защищен разрешением, контролируемым пользователем. Улучшена рандомизация MAC-адресов в некоторых чипсетах.
Андроид 7
Каждый выпуск Android включает десятки улучшений безопасности для защиты пользователей. Вот некоторые из основных улучшений безопасности, доступных в Android 7.0:
- Шифрование на основе файлов . Шифрование на уровне файлов вместо шифрования всей области хранения как единой единицы лучше изолирует и защищает отдельных пользователей и профили (например, личные и рабочие) на устройстве.
- Прямая загрузка . Благодаря шифрованию на основе файлов прямая загрузка позволяет запускать определенные приложения, такие как будильник и специальные возможности, когда устройство включено, но не разблокировано.
- Проверенная загрузка . Подтвержденная загрузка теперь строго соблюдается, чтобы предотвратить загрузку скомпрометированных устройств; он поддерживает исправление ошибок для повышения надежности против неумышленного повреждения данных.
- СЕлинукс . Обновленная конфигурация SELinux и расширенный охват seccomp дополнительно блокируют изолированную программную среду приложения и уменьшают поверхность атаки.
- Рандомизация порядка загрузки библиотеки и улучшенный ASLR . Повышенная случайность делает некоторые атаки повторного использования кода менее надежными.
- Упрочнение ядра . Добавлена дополнительная защита памяти для более новых ядер путем пометки частей памяти ядра как доступных только для чтения, ограничения доступа ядра к адресам пользовательского пространства и дальнейшего уменьшения существующей поверхности атаки.
- Схема подписи APK v2 . Представлена схема подписи всего файла, которая повышает скорость проверки и усиливает гарантии целостности.
- Надежный магазин ЦС . Чтобы приложениям было проще контролировать доступ к своему защищенному сетевому трафику, установленные пользователем центры сертификации и центры сертификации, установленные через API администратора устройства, больше не являются доверенными по умолчанию для приложений, ориентированных на уровень API 24+. Кроме того, все новые устройства Android должны поставляться с одним и тем же доверенным магазином ЦС.
- Конфигурация сетевой безопасности . Настройте сетевую безопасность и TLS с помощью декларативного файла конфигурации.
Андроид 6
Каждый выпуск Android включает десятки улучшений безопасности для защиты пользователей. Вот некоторые из основных улучшений безопасности, доступных в Android 6.0:
- Разрешения во время выполнения . Приложения запрашивают разрешения во время выполнения, а не во время установки приложения. Пользователи могут включать и выключать разрешения для приложений M и pre-M.
- Проверенная загрузка . Перед выполнением выполняется ряд криптографических проверок системного программного обеспечения, чтобы убедиться, что телефон работоспособен от загрузчика до операционной системы.
- Аппаратно-изолированная безопасность . Новый уровень аппаратной абстракции (HAL), используемый API отпечатков пальцев, экраном блокировки, шифрованием устройств и клиентскими сертификатами для защиты ключей от компрометации ядра и/или локальных физических атак.
- Отпечатки пальцев . Теперь устройства можно разблокировать одним касанием. Разработчики также могут воспользоваться преимуществами новых API-интерфейсов, чтобы использовать отпечатки пальцев для блокировки и разблокировки ключей шифрования.
- Принятие SD-карты . Съемные носители могут быть адаптированы к устройству и расширять доступное хранилище для локальных данных приложения, фотографий, видео и т. д., но все равно будут защищены шифрованием на уровне блоков.
- Чистый текстовый трафик . Разработчики могут использовать новый StrictMode, чтобы убедиться, что их приложение не использует открытый текст.
- Укрепление системы . Укрепление системы с помощью политик, применяемых SELinux. Это обеспечивает лучшую изоляцию между пользователями, фильтрацию IOCTL, снижение угрозы открытых служб, дальнейшее ужесточение доменов SELinux и крайне ограниченный доступ к /proc.
- Управление доступом через USB: пользователи должны подтвердить разрешение USB-доступа к файлам, хранилищу или другим функциям телефона. По умолчанию теперь взимается плата только за доступ к хранилищу, требующий явного одобрения пользователя.
Андроид 5
5.0
每个 Android 版本中都包含数十种用于保护用户的安全增强功能。以下是 Android 5.0 中提供的一些主要安全增强功能:
- 默认加密。在以开箱即用的方式搭载 L 的设备上,会默认启用全盘加密功能,以便更好地保护丢失设备或被盗设备上的数据。对于更新到 L 的设备,可以在设置 > 安全性部分进行加密。
- 经过改进的全盘加密功能。使用
scrypt
保护用户密码免遭暴力破解攻击;在可能的情况下,该密钥会绑定到硬件密钥库,以防范来自设备外的攻击。和以往一样,Android 屏幕锁定密钥和设备加密密钥不会被发送到设备以外,也不会提供给任何应用。 - 通过 SELinux 得到增强的 Android 沙盒。对于所有域,Android 现在都要求 SELinux 处于强制模式。SELinux 是 Linux 内核中的强制访问控制 (MAC) 系统,用于增强现有的自主访问控制 (DAC) 安全模型。这个新的安全层为防范潜在的安全漏洞提供了额外的保护屏障。
- Smart Lock。Android 现在包含一些 Trustlet,它们可以提供更灵活的设备解锁方式。例如,Trustlet 可让设备在靠近其他可信设备(通过 NFC、蓝牙)时或用户拥有可信面孔时自动解锁。
- 面向手机和平板电脑的多用户功能、受限个人资料和访客模式。Android 现在为手机提供了多用户功能,并包含一个访客模式。利用访客模式,您可以让访客轻松地临时使用您的设备,而不向他们授予对您的数据和应用的访问权限。
- 不使用 OTA 的 WebView 更新方式。现在可以独立于框架对 WebView 进行更新,而且无需采用系统 OTA 方式。这有助于更快速地应对 WebView 中的潜在安全问题。
- 经过更新的 HTTPS 和 TLS/SSL 加密功能。现在启用了 TLSv1.2 和 TLSv1.1,首选是正向加密,启用了 AES-GCM,停用了弱加密套件(MD5、3DES 和导出密码套件)。如需了解详情,请访问 https://developer.android.com/reference/javax/net/ssl/SSLSocket.html。
- 移除了非 PIE 链接器支持。Android 现在要求所有动态链接的可执行文件都要支持 PIE(位置无关可执行文件)。这有助于增强 Android 的地址空间布局随机化 (ASLR) 实现。
- FORTIFY_SOURCE 改进。以下 libc 函数现在实现了 FORTIFY_SOURCE 保护功能:
stpcpy()
、stpncpy()
、read()
、recvfrom()
、FD_CLR()
、FD_SET()
和FD_ISSET()
。这有助于防范涉及这些函数的内存损坏漏洞。 - 安全修复程序。Android 5.0 中还包含针对 Android 特有漏洞的修复程序。有关这些漏洞的信息已提供给“开放手机联盟”(Open Handset Alliance) 成员,并且 Android 开放源代码项目中提供了相应的修复程序。为了提高安全性,部分搭载更低版本 Android 系统的设备可能也会包含这些修复程序。
Андроид 4 и ниже
Каждый выпуск Android включает десятки улучшений безопасности для защиты пользователей. Ниже приведены некоторые улучшения безопасности, доступные в Android 4.4:
- Android-песочница, усиленная SELinux. Android теперь использует SELinux в принудительном режиме. SELinux — это система обязательного контроля доступа (MAC) в ядре Linux, используемая для расширения существующей модели безопасности, основанной на дискреционном контроле доступа (DAC). Это обеспечивает дополнительную защиту от потенциальных уязвимостей системы безопасности.
- VPN для каждого пользователя. На многопользовательских устройствах VPN теперь применяются для каждого пользователя. Это может позволить пользователю направлять весь сетевой трафик через VPN, не затрагивая других пользователей на устройстве.
- Поддержка поставщика ECDSA в AndroidKeyStore. У Android теперь есть поставщик хранилища ключей, который позволяет использовать алгоритмы ECDSA и DSA.
- Предупреждения о мониторинге устройств. Android предоставляет пользователям предупреждение, если в хранилище сертификатов устройства был добавлен какой-либо сертификат, который может позволить отслеживать зашифрованный сетевой трафик.
- FORTIFY_SOURCE. Теперь Android поддерживает FORTIFY_SOURCE уровня 2, и весь код скомпилирован с учетом этих средств защиты. FORTIFY_SOURCE был улучшен для работы с clang.
- Закрепление сертификата. Android 4.4 обнаруживает и предотвращает использование мошеннических сертификатов Google, используемых в безопасных соединениях SSL/TLS.
- Исправления безопасности. Android 4.4 также включает исправления для специфичных для Android уязвимостей. Информация об этих уязвимостях была предоставлена членам Open Handset Alliance, а исправления доступны в Android Open Source Project. Для повышения безопасности некоторые устройства с более ранними версиями Android также могут включать эти исправления.
Каждый выпуск Android включает в себя десятки улучшений безопасности для защиты пользователей. Ниже приведены некоторые улучшения безопасности, доступные в Android 4.3:
- Песочница Android, усиленная SELinux. В этом выпуске песочница Android усилена с помощью системы обязательного контроля доступа (MAC) SELinux в ядре Linux. Усиление SELinux невидимо для пользователей и разработчиков и повышает надежность существующей модели безопасности Android, сохраняя при этом совместимость с существующими приложениями. Для обеспечения постоянной совместимости этот выпуск позволяет использовать SELinux в разрешительном режиме. В этом режиме регистрируются любые нарушения политики, но он не нарушает работу приложений и не влияет на поведение системы.
- Никаких программ setuid/setgid. Добавлена поддержка возможностей файловой системы для системных файлов Android и удалены все программы setuid/setguid. Это уменьшает поверхность корневой атаки и вероятность потенциальных уязвимостей безопасности.
- Аутентификация АБР. Начиная с Android 4.2.2, соединения с ADB аутентифицируются с помощью пары ключей RSA. Это предотвращает несанкционированное использование ADB, когда злоумышленник имеет физический доступ к устройству.
- Ограничьте использование Setuid в приложениях Android. Раздел /system теперь монтируется с nosuid для процессов, порожденных зиготой, что не позволяет приложениям Android выполнять программы с setuid. Это уменьшает поверхность корневой атаки и вероятность потенциальных уязвимостей безопасности.
- Ограничение возможностей. Android zygote и ADB теперь используют prctl(PR_CAPBSET_DROP) для удаления ненужных возможностей перед выполнением приложений. Это не позволяет приложениям Android и приложениям, запускаемым из оболочки, получать привилегированные возможности.
- Поставщик AndroidKeyStore. В Android теперь есть поставщик хранилища ключей, который позволяет приложениям создавать ключи эксклюзивного использования. Это предоставляет приложениям API для создания или хранения закрытых ключей, которые не могут использоваться другими приложениями.
- KeyChain — это BoundKeyAlgorithm. API Keychain теперь предоставляет метод (isBoundKeyType), который позволяет приложениям подтверждать, что общесистемные ключи привязаны к аппаратному корню доверия для устройства. Это обеспечивает место для создания или хранения закрытых ключей, которые невозможно экспортировать с устройства даже в случае взлома root.
- NO_NEW_PRIVS. Android zygote теперь использует prctl(PR_SET_NO_NEW_PRIVS) для блокировки добавления новых привилегий перед выполнением кода приложения. Это не позволяет приложениям Android выполнять операции, которые могут повысить привилегии с помощью execve. (Для этого требуется ядро Linux версии 3.5 или выше).
- Улучшения FORTIFY_SOURCE. Включен FORTIFY_SOURCE на Android x86 и MIPS, а также усилены вызовы strchr(), strrchr(), strlen() и umask(). Это может обнаружить потенциальные уязвимости повреждения памяти или незавершенные строковые константы.
- Защита от переезда. Включены перемещения только для чтения (relro) для статически связанных исполняемых файлов и удалены все перемещения текста в коде Android. Это обеспечивает глубокую защиту от потенциальных уязвимостей повреждения памяти.
- Улучшенный EntropyMixer. EntropyMixer теперь пишет энтропию при выключении/перезагрузке помимо периодического перемешивания. Это позволяет сохранять всю энтропию, генерируемую при включении устройств, и особенно полезно для устройств, которые перезагружаются сразу после подготовки.
- Исправления безопасности. Android 4.3 также включает исправления уязвимостей, характерных для Android. Информация об этих уязвимостях была предоставлена членам Open Handset Alliance, а исправления доступны в Android Open Source Project. В целях повышения безопасности некоторые устройства с более ранними версиями Android также могут включать эти исправления.
Android предоставляет многоуровневую модель безопасности, описанную в обзоре безопасности Android . Каждое обновление для Android включает десятки улучшений безопасности для защиты пользователей. Ниже приведены некоторые улучшения безопасности, представленные в Android 4.2:
- Проверка приложений . Пользователи могут включить «Проверку приложений» и проверить приложения перед установкой верификатором приложений. Проверка приложений может предупредить пользователя, если он попытается установить приложение, которое может быть опасным; если приложение особенно плохое, это может заблокировать установку.
- Больше контроля над SMS-сообщениями премиум-класса. Android предоставит уведомление, если приложение попытается отправить SMS-сообщение на короткий номер, использующий сервисы премиум-класса, за что может взиматься дополнительная плата. Пользователь может выбрать, разрешить приложению отправлять сообщение или заблокировать его.
- Always-on VPN — VPN можно настроить таким образом, чтобы приложения не имели доступа к сети, пока не будет установлено VPN-подключение. Это предотвращает отправку данных приложениями через другие сети.
- Закрепление сертификата . Основные библиотеки Android теперь поддерживают закрепление сертификата . Закрепленные домены получат ошибку проверки сертификата, если сертификат не связан с набором ожидаемых сертификатов. Это защищает от возможной компрометации центров сертификации.
- Улучшенное отображение разрешений Android. Разрешения были организованы в группы, более понятные пользователям. Во время просмотра разрешений пользователь может щелкнуть разрешение, чтобы просмотреть более подробную информацию о разрешении.
- Усиление защиты installd — демон
installd
не запускается от имени пользователя root, что снижает потенциальную поверхность атаки для повышения привилегий root. - Усиление сценариев инициализации — сценарии инициализации теперь применяют семантику
O_NOFOLLOW
для предотвращения атак, связанных с символическими ссылками. - FORTIFY_SOURCE — Android теперь реализует
FORTIFY_SOURCE
. Это используется системными библиотеками и приложениями для предотвращения повреждения памяти. - Конфигурация ContentProvider по умолчанию . В приложениях, предназначенных для уровня API 17, параметр «export» будет установлен на «false» по умолчанию для каждого Content Provider , что уменьшит область атаки по умолчанию для приложений.
- Криптография — изменены реализации SecureRandom и Cipher.RSA по умолчанию для использования OpenSSL. Добавлена поддержка сокетов SSL для TLSv1.1 и TLSv1.2 с использованием OpenSSL 1.0.1.
- Исправления безопасности . Обновленные библиотеки с открытым исходным кодом с исправлениями безопасности включают WebKit, libpng, OpenSSL и LibXML. Android 4.2 также включает исправления для специфичных для Android уязвимостей. Информация об этих уязвимостях была предоставлена членам Open Handset Alliance, а исправления доступны в Android Open Source Project. Для повышения безопасности некоторые устройства с более ранними версиями Android также могут включать эти исправления.
Android предоставляет многоуровневую модель безопасности, описанную в обзоре безопасности Android . Каждое обновление для Android включает десятки улучшений безопасности для защиты пользователей. Ниже приведены некоторые улучшения безопасности, представленные в версиях Android с 1.5 по 4.1:
- Андроид 1.5
- ProPolice для предотвращения переполнения буфера стека (-fstack-protector)
- safe_iop для уменьшения целочисленных переполнений
- Расширения для OpenBSD dlmalloc для предотвращения уязвимостей double free() и предотвращения атак консолидации фрагментов. Атаки с консолидацией фрагментов являются распространенным способом использования повреждения кучи.
- Calloc OpenBSD для предотвращения целочисленного переполнения во время выделения памяти
- Андроид 2.3
- Защита от уязвимостей строки формата (-Wformat-security -Werror=format-security)
- Аппаратный No eXecute (NX) для предотвращения выполнения кода в стеке и куче
- Linux mmap_min_addr для смягчения повышения привилегий разыменования нулевого указателя (дополнительно улучшено в Android 4.1)
- Андроид 4.0
- Рандомизация адресного пространства (ASLR) для рандомизации ключевых местоположений в памяти.
- Андроид 4.1
- Поддержка PIE (позиционно-независимый исполняемый файл)
- Перемещение только для чтения/немедленная привязка (-Wl,-z,relro -Wl,-z,now)
- dmesg_restrict включен (предотвращает утечку адресов ядра)
- kptr_restrict включен (предотвращает утечку адресов ядра)