Od 27 marca 2025 r. zalecamy używanie android-latest-release zamiast aosp-main do kompilowania i wspołtworzenia AOSP. Więcej informacji znajdziesz w artykule o zmianach w AOSP.

Ta strona została przetłumaczona przez Cloud Translation API.

Aktualizacje i materiały dotyczące zabezpieczeń

Zespół ds. bezpieczeństwa Androida odpowiada za zarządzanie lukami w zabezpieczeniach odkrytymi w ramach platformy Android i wielu podstawowych aplikacji na Androida dołączonych do urządzeń z Androidem.

Zespół ds. bezpieczeństwa Androida wykrywa luki w zabezpieczeniach w ramach wewnętrznych badań, a także reaguje na błędy zgłoszone przez osoby trzecie. Źródła błędów zewnętrznych to m.in. problemy zgłoszone za pomocą formularza dotyczącego podatności, opublikowane i wcześniej opublikowane badania naukowe, powiadomienia od naszych partnerów będących producentami urządzeń oraz publicznie znane problemy publikowane na blogach lub w mediach społecznościowych.

Zgłaszanie problemów z bezpieczeństwem

Każdy deweloper, użytkownik Androida lub badacz bezpieczeństwa może powiadomić zespół ds. bezpieczeństwa Androida o potencjalnych problemach z bezpieczeństwem za pomocą formularza dotyczącego podatności na zagrożenia.

Błędy oznaczone jako problemy związane z zabezpieczeniami nie są widoczne z zewnątrz, ale mogą zostać wyświetlone po ich ocenie lub rozwiązaniu. Jeśli planujesz przesłać poprawkę lub test Compatibility Test Suite (CTS), aby rozwiązać problem z bezpieczeństwem, załącz je w raporcie o błędzie i zaczekaj na odpowiedź, zanim prześlesz kod do AOSP.

Posortuj błędy

Pierwszym krokiem w rozwiązywaniu problemu z luką w zabezpieczeniach jest określenie wagi błędu i komponentu Androida, którego dotyczy. Poważność określa priorytet problemu, a komponent określa, kto naprawi błąd, kto zostanie powiadomiony i jak wdrożyć poprawkę dla użytkowników.

Typy kontekstu

Ta tabela zawiera definicje kontekstów zabezpieczeń sprzętu i oprogramowania. Kontekst może być zdefiniowany przez wrażliwość danych, które zwykle przetwarza, lub obszar, w którym działa. Nie wszystkie konteksty zabezpieczeń są dostępne we wszystkich systemach. Tabela jest posortowana od najmniejszych do największych uprawnień.

Typ kontekstu	Definicja typu
ograniczony kontekst,	Ograniczone środowisko wykonawcze, w którym są przyznawane tylko minimalne uprawnienia. Na przykład zaufane aplikacje przetwarzające niesprawdzone dane w środowisku piaskownicy.
Kontekst bez podwyższonych uprawnień	Typowe środowisko wykonawcze oczekiwane przez kod bez uprawnień. Na przykład aplikacja na Androida, która działa w domenie SELinux z atrybutem `untrusted_app_all`.
Kontekst poufny	uprzywilejowane środowisko wykonywania, które może mieć dostęp do rozszerzonych uprawnień, obsługiwać wiele danych osobowych użytkowników lub dbać o integralność systemu; Na przykład aplikacja na Androida z funkcjami, które są zabronione przez domenę SELinux `untrusted_app`, lub z dostępem do uprawnień `privileged\|signature`.
jądro systemu operacyjnego,	Funkcje: jest częścią jądra. działa w tym samym kontekście procesora co jądro (np. sterowniki urządzeń); ma bezpośredni dostęp do pamięci jądra (np. komponentów sprzętowych na urządzeniu); ma możliwość wczytywania skryptów do komponentu jądra (np. eBPF); jest jedną z niewielkiej liczby usług dla użytkowników, które są uważane za równoważne jądrowi (takich jak `apexd`, `bpfloader`, `init`, `ueventd` i `vold`).
Zaufany sprzęt bazowy (THB)	oddzielne komponenty sprzętowe, zwykle w ramach SoC, które zapewniają funkcje kluczowe dla podstawowych zastosowań urządzenia (np. pasma podstawowe, procesory DSP, procesory graficzne i procesory ML);
Łańcuch programu rozruchowego	Komponent, który konfiguruje urządzenie podczas uruchamiania, a potem przekazuje kontrolę systemowi Android.
Zaufane środowisko wykonawcze (TEE)	Komponent, który ma być chroniony nawet przed wrogiem jądrem systemu operacyjnego (np. TrustZone i hipernadzorcy, tacy jak pKVM, które chronią maszyny wirtualne przed jądrem systemu operacyjnego).
Bezpieczne środowisko / Bezpieczny element (SE)	Opcjonalny komponent sprzętowy, który ma być chroniony przed wszystkimi innymi komponentami na urządzeniu oraz przed atakami fizycznymi, zgodnie z definicją podaną w artykule Wprowadzenie do elementów zabezpieczeń. Dotyczy to również układu Titan M, który jest dostępny na niektórych urządzeniach z Androidem.

Poziom

Poważność błędu odzwierciedla potencjalne szkody, które mogą wystąpić w przypadku jego wykorzystania. Aby określić poziom zagrożenia, użyj podanych niżej kryteriów.

Rating	Skutki skutecznego wykorzystania luki
Ważne	wykonywanie dowolnego kodu w TEE lub SE; Omijanie mechanizmów oprogramowania mających zapobiegać nieprawidłowemu działaniu komponentów oprogramowania lub sprzętu związanych z bezpieczeństwem (np. ochrony termicznej). zdalny dostęp do poufnych danych logowania używanych do zdalnego uwierzytelniania usług (np. hasła do konta lub tokeny tożsamości); Zdalne wykonywanie dowolnego kodu w kontekście pasma podstawowego bez interakcji z użytkownikiem (na przykład wykorzystanie błędu w usługach radiowych sieci komórkowych) zdalne wykonywanie dowolnego kodu w uprzywilejowanym kontekście, łańcuchu bootloadera, THB lub jądrze systemu operacyjnego; zdalne obejście wymagań dotyczących interakcji użytkownika podczas instalowania pakietu lub podobnego zachowania; Zdalne pominięcie wymagań dotyczących interakcji z użytkownikiem w przypadku podstawowych ustawień programisty, zabezpieczeń lub prywatności zdalne trwałe zablokowanie usług (trwałe, wymagające ponownego zaflashowania całego systemu operacyjnego lub przywrócenia do ustawień fabrycznych); Omijanie bezpiecznego rozruchu zdalnego Nieautoryzowany dostęp do danych chronionych przez SE, w tym dostęp umożliwiony przez słabe klucze w SE.
Wysoki	całkowite obejście głównej funkcji zabezpieczeń (np. SELinux, FBE lub `seccomp`); Ogólny obejście dla obrony wielowarstwowej lub technologii łagodzenia exploitów w łańcuchu bootloadera, TEE lub SE. Ogólny sposób na obejście zabezpieczeń systemu operacyjnego, które ujawniają zawartość pamięci lub plików w różnych aplikacjach, na różnych kontach użytkowników lub w różnych profilach ataki na SE, które powodują obniżenie poziomu zabezpieczeń do mniej bezpiecznej implementacji; Przejście z firmware na gołym sprzęcie, do którego można uzyskać dostęp z dalszej odległości (np. procesor komunikacji (CP) w zakresie częstotliwości podstawowej) do jądra procesora aplikacji (AP) lub mechanizmów obejścia zaprojektowanych w celu odizolowania firmware na gołym sprzęcie od jądra procesora aplikacji Omijanie ochrony urządzenia, ochrony przed przywróceniem do ustawień fabrycznych (w Androidzie 15 i nowszych) lub ograniczeń operatora. Omijanie wymagań dotyczących interakcji z użytkownikiem, które są chronione przez TEE luka w zabezpieczeniach kryptograficznych, która umożliwia ataki na protokoły typu end-to-end, w tym ataki na zabezpieczenia warstwy transportowej (TLS) i Bluetooth (BT); Dostęp lokalny do poufnych danych logowania używanych do zdalnego uwierzytelniania usług (np. hasła do konta lub tokeny tożsamości) lokalnego wykonywania dowolnego kodu w uprzywilejowanym kontekście, łańcuchu programów rozruchowych, THB lub jądrze systemu operacyjnego; Lokalne pominięcie bezpiecznego rozruchu Omijanie ekranu blokady Lokalne obejście wymagań dotyczących interakcji z użytkownikiem w przypadku podstawowych ustawień programisty, zabezpieczeń lub prywatności. Lokalne obejście wymagań dotyczących interakcji z użytkownikiem podczas instalowania pakietu lub podobnego zachowania lokalna trwała blokada usług (trwała, wymagająca przeflashowania całego systemu operacyjnego lub przywrócenia do ustawień fabrycznych); dostęp zdalny do danych chronionych (czyli danych ograniczonych do uprzywilejowanego kontekstu); zdalne wykonywanie dowolnego kodu w kontekście bez uprawnień; Zdalne uniemożliwianie dostępu do sieci komórkowej lub Wi-Fi bez interakcji z użytkownikiem (np. za pomocą źle sformatowanego pakietu powodującego awarię usługi radiowej sieci komórkowej). Zdalne pominięcie wymagań dotyczących interakcji z użytkownikiem (dostęp do funkcji lub danych, które powinny wymagać inicjacji przez użytkownika lub jego zgody) ukierunkowane zapobieganie dostępowi do służb ratunkowych; Przesyłanie poufnych informacji za pomocą niezabezpieczonego protokołu sieciowego (np. HTTP lub niezaszyfrowanego Bluetootha), gdy w zgłoszeniu wymagana jest bezpieczna transmisja. Nie dotyczy to szyfrowania Wi-Fi (np. WEP). Nieautoryzowany dostęp do danych zabezpieczonych przez TEE, w tym dostęp umożliwiony przez słabe klucze w TEE
Umiarkowane	Ogólny obejście mechanizmów zabezpieczeń wielowarstwowych lub technologii ograniczania podatności w ramach kontekstu uprzywilejowanego, THB lub jądra systemu operacyjnego. Ogólny sposób obejścia zabezpieczeń systemu operacyjnego, które ujawniają stan procesu lub metadane w ramach aplikacji, użytkownika lub profilu. Omijanie szyfrowania lub uwierzytelniania Wi-Fi podatność na atak w standardowych prymitywach kryptograficznych, która umożliwia wyciek niezaszyfrowanego tekstu (nie dotyczy prymitywów używanych w TLS); Dostęp lokalny do danych chronionych (czyli danych ograniczonych do kontekstu uprzywilejowanego) lokalnie dowolne wykonywanie kodu w kontekście bez uprawnień; Lokalne obejście wymagań dotyczących interakcji z użytkownikiem (dostęp do funkcji lub danych, które normalnie wymagają inicjacji przez użytkownika lub jego zgody) zdalny dostęp do niezabezpieczonych danych (czyli danych, do których normalnie ma dostęp dowolna zainstalowana lokalnie aplikacja); Zdalne wykonywanie dowolnego kodu w ograniczonym kontekście tymczasowe zablokowanie urządzenia zdalnie (zawieszenie lub ponowne uruchomienie zdalnie)
Niski	Ogólny obejście zabezpieczeń na poziomie użytkownika w ramach kompleksowej ochrony lub technologii ograniczania podatności w kontekście bez uprawnień Ominięcie zwykłegopoziomu ochronyzezwolenia luka w zabezpieczeniach kryptograficznych w przypadku niestandardowego użycia Ogólne pomijanie funkcji personalizacji na urządzeniu, takich jak Voice Match czy Face Match. nieprawidłowa dokumentacja, która może prowadzić do luki w zabezpieczeniach; lokalnego dowolnego kodu w ograniczonym kontekście; zdefiniowany przez system tekst zawierający wprowadzający w błąd opis, który stwarza fałszywe oczekiwania dotyczące bezpieczeństwa;
Nieznaczący wpływ na bezpieczeństwo	luka, której wpływ został zminimalizowany przez co najmniej jeden modyfikator oceny lub zmiany w architekturze dotyczące konkretnej wersji, dzięki czemu rzeczywista waga jest niższa niż niska, chociaż problem z kodem może pozostać; Wszelkie luki, które wymagają źle sformatowanego systemu plików, jeśli system ten jest zawsze adoptowany lub zaszyfrowany przed użyciem. Lokalny tymczasowy brak dostępu do usługi, na przykład gdy problem można rozwiązać, ponownie uruchamiając urządzenie lub odinstalowując aplikację, która go wywołała.

Modyfikatory poziomu ważności

Chociaż wagę luki w zabezpieczeniach często można łatwo określić, oceny mogą się zmieniać w zależności od okoliczności.

Przyczyna	Efekt
Wymaga działania w kontekście uprzywilejowanym, aby wykonać atak (nie dotyczy TEE, SE i hipervisorów, takich jak pKVM)	-1 Poziom ważności
Szczegóły dotyczące podatności ograniczają wpływ problemu	-1 Poziom ważności
obejście uwierzytelniania biometrycznego, które wymaga danych biometrycznych bezpośrednio od właściciela urządzenia;	-1 Poziom ważności
kompilator lub konfiguracje platformy łagodzą lukę w zabezpieczeniach w źródłowym kodzie;	Umiarkowana waga, jeśli podstawowa luka w zabezpieczeniu ma wagę Umiarkowana lub wyższą.
Wymaga fizycznego dostępu do wewnętrznych części urządzenia i jest możliwa nawet wtedy, gdy urządzenie jest wyłączone lub nie zostało odblokowane od momentu włączenia.	-1 Poziom ważności
Wymaga fizycznego dostępu do wewnętrznych części urządzenia, gdy jest ono włączone i wcześniej odblokowane	Poziom ważności -2
atak lokalny, który wymaga odblokowania łańcucha programu rozruchowego;	Nie wyższa niż Niska
Atak lokalny, który wymaga włączenia trybu programisty lub stałych ustawień trybu programisty na urządzeniu (i nie jest błędem w samym trybie programisty).	Nie wyższa niż Niska
Jeśli żadna domena SELinux nie może wykonać operacji zgodnie z SEPolicy udostępnionym przez Google.	Nieistotny wpływ na bezpieczeństwo

Lokalne, bliższe i oddalone

Wektor ataku zdalnego wskazuje, że błąd można wykorzystać bez instalowania aplikacji lub bez fizycznego dostępu do urządzenia. Obejmuje to błędy, które mogą zostać wywołane przez przeglądanie strony internetowej, czytanie e-maila, otrzymanie SMS-a lub połączenie z nieprzyjazną siecią.

Wektory ataku z bliska są uznawane za zdalne. Dotyczy to błędów, których można używać tylko atakujący, który znajduje się fizycznie w pobliżu urządzenia docelowego. Przykładem może być błąd wymagający wysyłania nieprawidłowych pakietów Wi-Fi lub Bluetooth. Uważamy, że ataki na częstotliwościach ultraszerokopasmowych (UWB) i NFC są bliższe, a więc zdalne.

Ataki lokalne wymagają, aby atakujący miał wcześniej dostęp do ofiary. W przypadku hipotetycznego przykładu oprogramowania może to być złośliwa aplikacja zainstalowana przez ofiarę lub aplikacja błyskawiczna, której uruchomienie zostało przez nią zaakceptowane.

Urządzenia, które zostały sparowane (np. urządzenia z Bluetooth), są uważane za lokalne. Różnimy sparowane urządzenie od urządzenia, które uczestniczy w procesie parowania.

Błędy, które obniżają zdolność użytkownika do identyfikacji drugiego urządzenia, z którym jest ono sparowane (np. uwierzytelnianie), są uważane za zbliżone i tym samym zdalne.
Błędy występujące podczas procesu parowania, ale przed wyrażeniem zgody przez użytkownika (czyli autoryzacji) są uważane za dalekie i dlatego rzadkie.
Błędy występujące po wyrażeniu zgody przez użytkownika są uznawane za błędy lokalne, nawet jeśli parowanie ostatecznie się nie powiedzie.

Wektory ataków fizycznych są uważane za lokalne. Dotyczy to błędów, których można używać tylko atakujący, który ma fizyczny dostęp do urządzenia, na przykład błędu na ekranie blokady lub błędu, który wymaga podłączenia kabla USB. Ponieważ urządzenia są często odblokowane, gdy są podłączone do portu USB, ataki wymagające połączenia USB są równie poważne niezależnie od tego, czy urządzenie jest odblokowane, czy nie.

Bezpieczeństwo sieciowe

Android zakłada, że wszystkie sieci są wrogie i mogą uruchamiać ataki lub szpiegować ruch. Zabezpieczenia na poziomie łącza (np. szyfrowanie Wi-Fi) chronią komunikację między urządzeniem a punktem dostępu, z którym jest połączone, ale nie zapewniają bezpieczeństwa pozostałych ogniw łańcucha między urządzeniem a serwerami, z którymi się komunikuje.

W przeciwieństwie do tego HTTPS zwykle chroni całą komunikację od końca do końca, szyfrując dane w źródle, a następnie odszyfrowując i weryfikując je dopiero po dotarciu do miejsca docelowego. Z tego powodu luki w zabezpieczeniach sieci na poziomie łącza są oceniane jako mniej poważne niż luki w protokołach HTTPS/TLS: szyfrowanie Wi-Fi samo w sobie nie wystarcza do większości komunikacji w internecie.

Uwierzytelnianie biometryczne

Weryfikacja biometryczna to trudny obszar, a nawet najlepsze systemy mogą zostać oszukane przez osoby o bardzo podobnych cechach (patrz blog dla deweloperów aplikacji na Androida: ulepszenia ekranu blokady i weryfikacji w Androidzie 11). Te oceny powagi odróżniają 2 klasy ataków i mają na celu odzwierciedlenie rzeczywistego zagrożenia dla użytkownika.

Pierwsza klasa ataków umożliwia obejście uwierzytelniania biometrycznego w sposób ogólny, bez wysokiej jakości danych biometrycznych właściciela. Jeśli na przykład atakujący przyklei gumę do żucia do czytnika linii papilarnych, a urządzenie odblokuje się na podstawie pozostałości pozostawionych na czytniku, jest to prosty atak, który można przeprowadzić na dowolnym podatnym urządzeniu. Nie wymaga to znajomości właściciela urządzenia. Ponieważ można go zastosować w większym zakresie i potencjalnie może on wpłynąć na większą liczbę użytkowników, ten atak otrzymuje pełną ocenę wagi (np. wysoką w przypadku obejścia ekranu blokady).

Druga klasa ataków polega na wykorzystaniu instrumentu do przeprowadzania ataków na prezentacje (spoof), który jest oparty na danych właściciela urządzenia. Czasami te informacje biometryczne są stosunkowo łatwe do zdobycia (na przykład jeśli zdjęcie profilowe w mediach społecznościowych jest wystarczające do oszukania uwierzytelniania biometrycznego, obejście biometryczne otrzyma najwyższą ocenę wagi). Jeśli jednak atakujący musiałby pozyskać dane biometryczne bezpośrednio od właściciela urządzenia (np. za pomocą skanera podczerwienego), byłoby to wystarczająco duża bariera, która ograniczyłaby liczbę osób dotkniętych atakiem. W takim przypadku zastosowano modyfikator -1.

SYSTEM_ALERT_WINDOW i tapjacking

Informacje o naszych zasadach dotyczących SYSTEM_ALERT_WINDOW i aplikacji tapjacking znajdziesz w sekcji „Bezpieczeństwo: usterki tapjackingu/nakładki SYSTEM_ALERT_WINDOW na ekranie, który nie ma wpływu na bezpieczeństwo” na stronie Bezpieczeństwo: usterki bez wpływu na bezpieczeństwo w BugHunter University.

Zabezpieczenia dotyczące wielu użytkowników w systemie operacyjnym Android Automotive

System operacyjny Android Automotive stosuje model zabezpieczeń dla wielu użytkowników, który różni się od innych formatów. Każdy użytkownik Androida powinien być używany przez inną osobę fizyczną. Na przykład tymczasowy użytkownik-gość może zostać przypisany do znajomego, który pożycza pojazd od właściciela. Aby umożliwić takie przypadki użycia, użytkownicy mają domyślnie dostęp do niezbędnych komponentów potrzebnych do korzystania z pojazdu, takich jak ustawienia Wi-Fi i sieci komórkowej.

Komponent, którego dotyczy problem

Zespół programistów odpowiedzialny za naprawienie błędu zależy od tego, w jakim komponencie występuje błąd. Może to być podstawowy element platformy Android, sterownik jądra dostarczony przez producenta oryginalnego sprzętu (OEM) lub jedna z wstępnie zainstalowanych aplikacji na urządzeniach Pixel.

Błędy w kodzie AOSP są naprawiane przez zespół inżynierów Androida w naszych repozytoriach wewnętrznych.

Składnik ten wpływa też na sposób, w jaki użytkownicy otrzymują aktualizacje. Błąd w ramowcu lub jądrze wymaga bezprzewodowej aktualizacji oprogramowania, którą musi przesłać każdy producent OEM. Błąd w aplikacji lub bibliotece opublikowanej w Google Play (np. Gmail, Usługi Google Play lub WebView) może zostać wysłany do użytkowników Androida jako aktualizacja z Google Play.

Powiadom partnerów

Gdy podatność w AOSP zostanie naprawiona w Biuletynie bezpieczeństwa Androida, powiadomimy partnerów Androida o szczegółach problemu i przekażemy poprawki. Lista wersji, w których można stosować funkcję backport, zmienia się wraz z każdą nową wersją Androida. Aby uzyskać listę obsługiwanych urządzeń, skontaktuj się z producentem.

Publikowanie kodu w AOSP

Jeśli błąd związany z bezpieczeństwem występuje w komponencie AOSP, poprawka jest wysyłana do AOSP po udostępnieniu użytkownikom aktualizacji OTA.

Odbieranie aktualizacji Androida

Aktualizacje systemu Android są zwykle dostarczane na urządzenia za pomocą pakietów aktualizacji OTA. Aktualizacje te mogą pochodzić od producenta OEM lub operatora, który zapewnia obsługę urządzenia. Aktualizacje urządzenia Google Pixel pochodzą od zespołu Google Pixel po przejściu procedury testów technicznych akceptacji (TA) przez operatora. Google publikuje też obrazy fabryczne Pixela, które można zainstalować na urządzeniu.

Aktualizowanie usług Google

Oprócz udostępniania poprawek dotyczących błędów związanych z bezpieczeństwem zespół ds. bezpieczeństwa Androida sprawdza te błędy, aby określić, czy istnieją inne sposoby ochrony użytkowników. Na przykład Google Play skanuje wszystkie aplikacje i usuwa te, które próbują wykorzystać błąd zabezpieczeń. W przypadku aplikacji zainstalowanych spoza Google Play urządzenia z Usługami Google Play mogą też używać funkcji Weryfikuj aplikacje, aby ostrzegać użytkowników przed potencjalnie szkodliwymi aplikacjami.

Inne materiały

Informacje dla deweloperów aplikacji na Androida: https://developer.android.com

Informacje o bezpieczeństwie znajdziesz w witrynach poświęconych oprogramowaniu typu open source i witrynach dla deweloperów Androida. Dobre miejsca na początek:

Raporty

Czasami zespół ds. bezpieczeństwa Androida publikuje raporty lub dokumenty. Więcej informacji znajdziesz w raportach o zagrożeniach bezpieczeństwa.