Улучшения безопасности

Андроид 14

每个 Android 版本中都包含数十种安全增强功能，以保护用户。以下是 Android 14 中提供的一些主要安全增强功能：

• Android 10 中引入的硬件辅助 AddressSanitizer (HWASan) 是一款类似于 AddressSanitizer 的内存错误检测工具。Android 14 对 HWASan 进行了重大改进。如需了解它如何帮助防止 bug 进入 Android 版本，请访问 HWAddressSanitizer
• 在 Android 14 中，从与第三方共享位置数据的应用开始，系统运行时权限对话框现在包含一个可点击的部分，用于突出显示应用的数据分享做法，包括诸如以下信息：应用为什么可能会决定与第三方分享数据。
• Android 12 引入了在调制解调器级别停用 2G 支持的选项，以保护用户免受 2G 的过时安全模型固有的安全风险的影响。认识到停用 2G 对企业客户的重要性后，Android 14 在 Android Enterprise 中启用了此安全功能，以便 IT 管理员能够限制受管设备降级到 2G 连接。
• 开始支持拒绝未加密的移动网络连接，确保电路交换语音和短信流量始终会加密，并可防范被动无线拦截。详细了解 Android 的移动网络连接强化计划。
• 新增了对多个 IMEI 的支持
• 从 Android 14 开始，AES-HCTR2 是采用加速加密指令的设备的首选文件名加密模式。
• 移动网络连接
• 在 Android 安全中心添加了相关文档
• 如果您的应用以 Android 14 为目标平台并使用动态代码加载 (DCL) 功能，则必须将所有动态加载的文件标记为只读。否则，系统会抛出异常。我们建议应用尽可能避免动态加载代码，因为这样做会大大增加应用因代码注入或代码篡改而遭到入侵的风险。

请查看完整的 AOSP 版本说明以及 Android 开发者功能和变更列表。

Андроид 13

Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 13:

• Android 13 adds multi-document presentation support. This new Presentation Session interface enables an app to do a multi-document presentation, something which isn't possible with the existing API. For further information, refer to Identity Credential
• In Android 13, intents originating from external apps are delivered to an exported component if and only if the intents match their declared intent-filter elements.
• Open Mobile API (OMAPI) is a standard API used to communicate with a device's Secure Element. Before Android 13, only apps and framework modules had access to this interface. By converting it to a vendor stable interface, HAL modules are also capable of communicating with the secure elements through the OMAPI service. For more information, see OMAPI Vendor Stable Interface.
• As of Android 13-QPR, shared UIDs are deprecated. Users of Android 13 or higher should put the line `android:sharedUserMaxSdkVersion="32"` in their manifest. This entry prevents new users from getting a shared UID. For further information on UIDs, see App signing.
• Android 13 added support Keystore symmetric cryptographic primitives such as AES (Advanced Encryption Standard), HMAC (Keyed-Hash Message Authentication Code), and asymmetric cryptographic algorithms (including Elliptic Curve, RSA2048, RSA4096, and Curve 25519)
• Android 13 (API level 33) and higher supports a runtime permission for sending non-exempt notifications from an app. This gives users control over which permission notifications they see.
• Added per-use prompt for apps requesting access to all device logs, giving users the ability to allow or deny access.
• introduced the Android Virtualization Framework (AVF), which brings together different hypervisors under one framework with standardized APIs. It provides secure and private execution environments for executing workloads isolated by hypervisor.
• Introduced APK signature scheme v3.1 All new key rotations that use apksigner use the v3.1 signature scheme by default to target rotation for Android 13 and higher.

Check out our full AOSP release notes and the Android Developer features and changes list.

Андроид 12

Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 12:

• Android 12 introduces the BiometricManager.Strings API, which provides localized strings for apps that use BiometricPrompt for authentication. These strings are intended to be device-aware and provide more specificity about which authentication types might be used. Android 12 also includes support for under-display fingerprint sensors
• Support added for under-display fingerprint sensors
• Introduction of the Fingerprint Android Interface Definition Language (AIDL)
• Support for new Face AIDL
• Introduction of Rust as a language for platform development
• The option for users to grant access only to their approximate location added
• Added Privacy indicators on the status bar when an app is using the camera or microphone
• Android's Private Compute Core (PCC)
• Added an option to disable 2G support

Андроид 11

Каждый выпуск Android включает в себя десятки улучшений безопасности для защиты пользователей. Список некоторых основных улучшений безопасности, доступных в Android 11, см. в примечаниях к выпуску Android .

Каждый выпуск Android включает в себя десятки улучшений безопасности для защиты пользователей. Список некоторых основных улучшений безопасности, доступных в Android 11, см. в примечаниях к выпуску Android .

Каждый выпуск Android включает в себя десятки улучшений безопасности для защиты пользователей. Список некоторых основных улучшений безопасности, доступных в Android 11, см. в примечаниях к выпуску Android .

Каждый выпуск Android включает в себя десятки улучшений безопасности для защиты пользователей. Список некоторых основных улучшений безопасности, доступных в Android 11, см. в примечаниях к выпуску Android .

Андроид 10

Каждый выпуск Android включает в себя десятки улучшений безопасности для защиты пользователей. Android 10 включает в себя несколько улучшений безопасности и конфиденциальности. Полный список изменений в Android 10 см. в примечаниях к выпуску Android 10 .

Безопасность

ГраницыДезинфицирующее средство

В Android 10 используется BoundsSanitizer (BoundSan) в Bluetooth и кодеках. BoundSan использует дезинфицирующее средство для границ UBSan. Это смягчение включено на уровне каждого модуля. Это помогает обеспечить безопасность критически важных компонентов Android, и его нельзя отключать. BoundSan включен в следующих кодеках:

• libFLAC
• libavcdec
• libavcenc
• libhevcdec
• libmpeg2
• libopus
• libvpx
• libspeexresampler
• libvorbisidec
• libaac
• libxaac

Память только для выполнения

По умолчанию разделы исполняемого кода для двоичных файлов системы AArch64 помечены как доступные только для выполнения (нечитаемые) в целях усиления защиты от атак с повторным использованием кода «точно в срок». Код, который смешивает данные и код вместе, а также код, который целенаправленно проверяет эти разделы (без предварительного перераспределения сегментов памяти как читаемые), больше не работает. Приложения с целевым SDK Android 10 (уровень API 29 или выше) пострадают, если приложение попытается прочитать в памяти разделы кода системных библиотек с поддержкой только памяти (XOM) без предварительной пометки раздела как доступного для чтения.

Расширенный доступ

Агенты доверия, основной механизм, используемый механизмами третичной аутентификации, такими как Smart Lock, могут продлевать разблокировку только в Android 10. Агенты доверия больше не могут разблокировать заблокированное устройство и могут удерживать устройство разблокированным не более четырех часов.

Аутентификация по лицу

Аутентификация по лицу позволяет пользователям разблокировать свое устройство, просто взглянув на его переднюю часть. В Android 10 добавлена ​​поддержка нового стека аутентификации по лицу, который может безопасно обрабатывать кадры камеры, сохраняя безопасность и конфиденциальность во время аутентификации по лицу на поддерживаемом оборудовании. Android 10 также предоставляет простой способ реализации требований безопасности, позволяющий интегрировать приложения для таких транзакций, как онлайн-банкинг или другие услуги.

Очистка целочисленного переполнения

Android 10 поддерживает очистку целочисленного переполнения (IntSan) в программных кодеках. Убедитесь, что производительность воспроизведения приемлема для любых кодеков, которые не поддерживаются аппаратным обеспечением устройства. IntSan включен в следующих кодеках:

• libFLAC
• libavcdec
• libavcenc
• libhevcdec
• libmpeg2
• libopus
• libvpx
• libspeexresampler
• libvorbisidec

Компоненты модульной системы

В Android 10 некоторые системные компоненты Android разделены на модули и позволяют обновляться вне обычного цикла выпуска Android. Некоторые модули включают в себя:

• Android-среда выполнения
• Конкрипт
• DNS-резольвер
• ДокументыUI
• ЭкстСервисс
• СМИ
• МодульМетаданные
• сеть
• Контроллер разрешений
• Данные о часовом поясе

OEMCrypto

Android 10 использует OEMCrypto API версии 15.

Скудо

Scudo — это динамический распределитель памяти в пользовательском режиме, разработанный для большей устойчивости к уязвимостям, связанным с кучей. Он предоставляет стандартные примитивы выделения и освобождения C, а также примитивы C++.

ТеньВызовСтек

ShadowCallStack (SCS) — это режим инструментирования LLVM , который защищает от перезаписи адреса возврата (например, переполнения буфера стека) путем сохранения адреса возврата функции в отдельно выделенном экземпляре ShadowCallStack в прологе функции нелистовых функций и загрузки адреса возврата из экземпляра ShadowCallStack в эпилог функции.

Расширенный доступ к WPA3 и Wi-Fi

В Android 10 добавлена ​​поддержка стандартов безопасности Wi-Fi Protected Access 3 (WPA3) и Wi-Fi Enhanced Open, чтобы обеспечить лучшую конфиденциальность и устойчивость к известным атакам.

Конфиденциальность

Доступ к приложению при настройке Android 9 или более ранней версии

Если ваше приложение работает на Android 10 или выше, но ориентировано на Android 9 (уровень API 28) или ниже, платформа применяет следующее поведение:

• Если ваше приложение объявляет элемент <uses-permission> для ACCESS_FINE_LOCATION или ACCESS_COARSE_LOCATION , система автоматически добавляет элемент <uses-permission> для ACCESS_BACKGROUND_LOCATION во время установки.
• Если ваше приложение запрашивает ACCESS_FINE_LOCATION или ACCESS_COARSE_LOCATION , система автоматически добавляет ACCESS_BACKGROUND_LOCATION к запросу.

Ограничения фоновой активности

Начиная с Android 10, система накладывает ограничения на запуск действий в фоновом режиме . Такое изменение поведения помогает свести к минимуму прерывания работы пользователя и позволяет ему лучше контролировать то, что отображается на экране. Пока ваше приложение начинает действия в результате взаимодействия с пользователем, эти ограничения, скорее всего, не затрагивают ваше приложение.
Чтобы узнать больше о рекомендуемой альтернативе запуску действий в фоновом режиме, ознакомьтесь с руководством по оповещению пользователей о срочных событиях в вашем приложении.

Метаданные камеры

В Android 10 изменяется объем информации, которую метод getCameraCharacteristics() возвращает по умолчанию. В частности, ваше приложение должно иметь разрешение CAMERA , чтобы получить доступ к потенциально специфичным для устройства метаданным, которые включены в возвращаемое значение этого метода.
Подробнее об этих изменениях можно узнать в разделе о полях камеры, для которых требуется разрешение .

Данные буфера обмена

Если ваше приложение не является редактором метода ввода по умолчанию (IME) или приложением, на котором в данный момент находится фокус, ваше приложение не может получить доступ к данным буфера обмена на Android 10 или более поздней версии.

Местоположение устройства

Чтобы обеспечить дополнительный контроль, который пользователи имеют над доступом приложения к информации о местоположении, в Android 10 представлено разрешение ACCESS_BACKGROUND_LOCATION .
В отличие от разрешений ACCESS_FINE_LOCATION и ACCESS_COARSE_LOCATION , разрешение ACCESS_BACKGROUND_LOCATION влияет на доступ приложения к местоположению только тогда, когда оно работает в фоновом режиме. Считается, что приложение получает доступ к местоположению в фоновом режиме, если не выполняется одно из следующих условий:

• Видна активность, принадлежащая приложению.
• В приложении запущена служба переднего плана, которая объявила тип locationслужбы переднего плана .
  Чтобы объявить тип службы переднего плана для службы в вашем приложении, установите targetSdkVersion или compileSdkVersion вашего приложения значение 29 или выше. Узнайте больше о том, как службы переднего плана могут продолжать действия, инициированные пользователем , требующие доступа к местоположению.

Внешнее хранилище

По умолчанию приложениям, предназначенным для Android 10 и более поздних версий, предоставляется ограниченный доступ к внешнему хранилищу или хранилищу с ограниченной областью действия . Такие приложения могут видеть следующие типы файлов на внешнем устройстве хранения данных без необходимости запрашивать какие-либо разрешения пользователя, связанные с хранилищем:

• Файлы в каталоге приложения, доступ к которым осуществляется с помощью getExternalFilesDir() .
• Фотографии, видео и аудиоклипы, созданные приложением из медиа-магазина .

Чтобы узнать больше о хранилище с заданной областью, а также о том, как делиться, получать доступ и изменять файлы, сохраненные на внешних устройствах хранения, см. руководства по управлению файлами во внешнем хранилище , а также по доступу и изменению медиафайлов .

Рандомизация MAC-адреса

На устройствах под управлением Android 10 или более поздней версии система по умолчанию передает случайные MAC-адреса.
Если ваше приложение предназначено для корпоративного использования , платформа предоставляет API для нескольких операций, связанных с MAC-адресами:

• Получение случайного MAC-адреса . Приложения владельца устройства и приложения владельца профиля могут получить случайный MAC-адрес, назначенный определенной сети, с помощью вызова getRandomizedMacAddress() .
• Получение фактического заводского MAC-адреса. Приложения владельца устройства могут получить фактический аппаратный MAC-адрес устройства, вызвав getWifiMacAddress() . Этот метод полезен для отслеживания парка устройств.

Несбрасываемые идентификаторы устройств

Начиная с Android 10, приложения должны иметь привилегированное разрешение READ_PRIVILEGED_PHONE_STATE для доступа к несбрасываемым идентификаторам устройства, которые включают как IMEI, так и серийный номер.

• Build
  • getSerial()
• TelephonyManager
  • getImei()
  • getDeviceId()
  • getMeid()
  • getSimSerialNumber()
  • getSubscriberId()

Если у вашего приложения нет разрешения и вы все равно пытаетесь запросить информацию о несбрасываемых идентификаторах, ответ платформы зависит от целевой версии SDK:

• Если ваше приложение предназначено для Android 10 или более поздней версии, возникает исключение SecurityException .
• Если ваше приложение предназначено для Android 9 (уровень API 28) или более ранней версии, метод возвращает null данные или данные-заполнители, если приложение имеет разрешение READ_PHONE_STATE . В противном случае возникает SecurityException .

Распознавание физической активности

В Android 10 представлено разрешение среды выполнения android.permission.ACTIVITY_RECOGNITION для приложений, которым необходимо определять количество шагов пользователя или классифицировать физическую активность пользователя, например ходьбу, езду на велосипеде или передвижение в автомобиле. Это сделано для того, чтобы пользователи могли видеть, как данные датчиков устройства используются в настройках.
Некоторые библиотеки в сервисах Google Play, такие как API распознавания активности и API Google Fit , не предоставляют результаты, если пользователь не предоставил вашему приложению такое разрешение.
Единственными встроенными датчиками устройства, требующими заявления об этом разрешении, являются датчики счетчика шагов и детектора шагов .
Если ваше приложение предназначено для Android 9 (уровень API 28) или ниже, система автоматически предоставляет разрешение android.permission.ACTIVITY_RECOGNITION вашему приложению, если это необходимо, если ваше приложение удовлетворяет каждому из следующих условий:

• Файл манифеста включает разрешение com.google.android.gms.permission.ACTIVITY_RECOGNITION .
• Файл манифеста не содержит разрешения android.permission.ACTIVITY_RECOGNITION .

Если system-auto предоставляет разрешение android.permission.ACTIVITY_RECOGNITION , ваше приложение сохранит это разрешение после обновления приложения до Android 10. Однако пользователь может отозвать это разрешение в любое время в настройках системы.

Ограничения файловой системы /proc/net

На устройствах под управлением Android 10 или более поздней версии приложения не могут получить доступ /proc/net , который содержит информацию о состоянии сети устройства. Приложения, которым необходим доступ к этой информации, например VPN, должны использовать класс NetworkStatsManager или ConnectivityManager .

Группы разрешений удалены из пользовательского интерфейса.

Начиная с Android 10, приложения не могут узнать, как разрешения сгруппированы в пользовательском интерфейсе.

Удаление привязки контактов

Начиная с Android 10, платформа не отслеживает информацию о сходстве контактов. В результате, если ваше приложение выполняет поиск в контактах пользователя, результаты не сортируются по частоте взаимодействия.
Руководство по ContactsProvider содержит уведомление с описанием конкретных полей и методов, которые устарели на всех устройствах, начиная с Android 10.

Ограниченный доступ к содержимому экрана

Чтобы защитить содержимое экрана пользователей, Android 10 предотвращает автоматический доступ к содержимому экрана устройства, изменяя область разрешений READ_FRAME_BUFFER , CAPTURE_VIDEO_OUTPUT и CAPTURE_SECURE_VIDEO_OUTPUT . Начиная с Android 10, эти разрешения доступны только по подписи .
Приложения, которым необходим доступ к содержимому экрана устройства, должны использовать API MediaProjection , который отображает запрос на согласие пользователя.

Серийный номер USB-устройства

Если ваше приложение предназначено для Android 10 или более поздней версии, оно не сможет прочитать серийный номер, пока пользователь не предоставит вашему приложению разрешение на доступ к USB-устройству или аксессуару.
Подробнее о работе с USB-устройствами читайте в руководстве по настройке USB-хостов .

Wi-Fi

Приложения, предназначенные для Android 10 или более поздней версии, не могут включать или отключать Wi-Fi. Метод WifiManager.setWifiEnabled() всегда возвращает false .
Если вам нужно предлагать пользователям включать и отключать Wi-Fi, используйте панель настроек .

Ограничения на прямой доступ к настроенным сетям Wi-Fi

Для защиты конфиденциальности пользователей ручная настройка списка сетей Wi-Fi ограничена системными приложениями и контроллерами политики устройств (DPC) . Данный ЦОД может быть либо владельцем устройства, либо владельцем профиля.
Если ваше приложение предназначено для Android 10 или более поздней версии и не является системным приложением или ЦОД, то следующие методы не возвращают полезные данные:

• Метод getConfiguredNetworks() всегда возвращает пустой список.
• Каждый метод сетевой операции, возвращающий целочисленное значение addNetwork() и updateNetwork() — всегда возвращает -1.
• Каждая сетевая операция, возвращающая логическое значение removeNetwork() , reassociate() , enableNetwork() , disableNetwork() , reconnect() и disconnect() — всегда возвращает false .

Каждый выпуск Android включает в себя десятки улучшений безопасности для защиты пользователей. Android 10 включает в себя несколько улучшений безопасности и конфиденциальности. Полный список изменений в Android 10 см. в примечаниях к выпуску Android 10 .

Безопасность

ГраницыДезинфицирующее средство

В Android 10 используется BoundsSanitizer (BoundSan) в Bluetooth и кодеках. BoundSan использует дезинфицирующее средство для границ UBSan. Это смягчение включено на уровне каждого модуля. Это помогает обеспечить безопасность критически важных компонентов Android, и его нельзя отключать. BoundSan включен в следующих кодеках:

• libFLAC
• libavcdec
• libavcenc
• libhevcdec
• libmpeg2
• libopus
• libvpx
• libspeexresampler
• libvorbisidec
• libaac
• libxaac

Память только для выполнения

По умолчанию разделы исполняемого кода для двоичных файлов системы AArch64 помечены как доступные только для выполнения (нечитаемые) в целях усиления защиты от атак с повторным использованием кода «точно в срок». Код, который смешивает данные и код вместе, а также код, который целенаправленно проверяет эти разделы (без предварительного перераспределения сегментов памяти как читаемые), больше не работает. Приложения с целевым SDK Android 10 (уровень API 29 или выше) пострадают, если приложение попытается прочитать в памяти разделы кода системных библиотек с поддержкой только памяти (XOM) без предварительной пометки раздела как доступного для чтения.

Расширенный доступ

Агенты доверия, основной механизм, используемый механизмами третичной аутентификации, такими как Smart Lock, могут продлевать разблокировку только в Android 10. Агенты доверия больше не могут разблокировать заблокированное устройство и могут удерживать устройство разблокированным не более четырех часов.

Аутентификация по лицу

Аутентификация по лицу позволяет пользователям разблокировать свое устройство, просто взглянув на его переднюю часть. В Android 10 добавлена ​​поддержка нового стека аутентификации по лицу, который может безопасно обрабатывать кадры камеры, сохраняя безопасность и конфиденциальность во время аутентификации по лицу на поддерживаемом оборудовании. Android 10 также предоставляет простой способ реализации требований безопасности, позволяющий интегрировать приложения для таких транзакций, как онлайн-банкинг или другие услуги.

Очистка целочисленного переполнения

Android 10 поддерживает очистку целочисленного переполнения (IntSan) в программных кодеках. Убедитесь, что производительность воспроизведения приемлема для любых кодеков, которые не поддерживаются аппаратным обеспечением устройства. IntSan включен в следующих кодеках:

• libFLAC
• libavcdec
• libavcenc
• libhevcdec
• libmpeg2
• libopus
• libvpx
• libspeexresampler
• libvorbisidec

Компоненты модульной системы

В Android 10 некоторые системные компоненты Android разделены на модули и позволяют обновляться вне обычного цикла выпуска Android. Некоторые модули включают в себя:

• Android-среда выполнения
• Конкрипт
• DNS-резольвер
• ДокументыUI
• ЭкстСервисс
• СМИ
• МодульМетаданные
• сеть
• Контроллер разрешений
• Данные о часовом поясе

OEMCrypto

Android 10 использует OEMCrypto API версии 15.

Скудо

Scudo — это динамический распределитель памяти в пользовательском режиме, разработанный для большей устойчивости к уязвимостям, связанным с кучей. Он предоставляет стандартные примитивы выделения и освобождения C, а также примитивы C++.

ТеньВызовСтек

ShadowCallStack (SCS) — это режим инструментирования LLVM , который защищает от перезаписи адреса возврата (например, переполнения буфера стека) путем сохранения адреса возврата функции в отдельно выделенном экземпляре ShadowCallStack в прологе функции нелистовых функций и загрузки адреса возврата из экземпляра ShadowCallStack в эпилог функции.

Расширенный доступ к WPA3 и Wi-Fi

В Android 10 добавлена ​​поддержка стандартов безопасности Wi-Fi Protected Access 3 (WPA3) и Wi-Fi Enhanced Open, чтобы обеспечить лучшую конфиденциальность и устойчивость к известным атакам.

Конфиденциальность

Доступ к приложению при настройке Android 9 или более ранней версии

Если ваше приложение работает на Android 10 или выше, но ориентировано на Android 9 (уровень API 28) или ниже, платформа применяет следующее поведение:

• Если ваше приложение объявляет элемент <uses-permission> для ACCESS_FINE_LOCATION или ACCESS_COARSE_LOCATION , система автоматически добавляет элемент <uses-permission> для ACCESS_BACKGROUND_LOCATION во время установки.
• Если ваше приложение запрашивает ACCESS_FINE_LOCATION или ACCESS_COARSE_LOCATION , система автоматически добавляет ACCESS_BACKGROUND_LOCATION к запросу.

Ограничения фоновой активности

Начиная с Android 10, система накладывает ограничения на запуск действий в фоновом режиме . Такое изменение поведения помогает свести к минимуму прерывания работы пользователя и позволяет ему лучше контролировать то, что отображается на экране. Пока ваше приложение начинает действия в результате взаимодействия с пользователем, эти ограничения, скорее всего, не затрагивают ваше приложение.
Чтобы узнать больше о рекомендуемой альтернативе запуску действий в фоновом режиме, ознакомьтесь с руководством по оповещению пользователей о срочных событиях в вашем приложении.

Метаданные камеры

В Android 10 изменяется объем информации, которую метод getCameraCharacteristics() возвращает по умолчанию. В частности, ваше приложение должно иметь разрешение CAMERA , чтобы получить доступ к потенциально специфичным для устройства метаданным, которые включены в возвращаемое значение этого метода.
Подробнее об этих изменениях можно узнать в разделе о полях камеры, для которых требуется разрешение .

Данные буфера обмена

Если ваше приложение не является редактором метода ввода по умолчанию (IME) или приложением, на котором в данный момент находится фокус, ваше приложение не может получить доступ к данным буфера обмена на Android 10 или более поздней версии.

Местоположение устройства

Чтобы обеспечить дополнительный контроль, который пользователи имеют над доступом приложения к информации о местоположении, в Android 10 представлено разрешение ACCESS_BACKGROUND_LOCATION .
В отличие от разрешений ACCESS_FINE_LOCATION и ACCESS_COARSE_LOCATION , разрешение ACCESS_BACKGROUND_LOCATION влияет на доступ приложения к местоположению только тогда, когда оно работает в фоновом режиме. Считается, что приложение получает доступ к местоположению в фоновом режиме, если не выполняется одно из следующих условий:

• Видна активность, принадлежащая приложению.
• В приложении запущена служба переднего плана, которая объявила тип locationслужбы переднего плана .
  Чтобы объявить тип службы переднего плана для службы в вашем приложении, установите targetSdkVersion или compileSdkVersion вашего приложения значение 29 или выше. Узнайте больше о том, как службы переднего плана могут продолжать действия, инициированные пользователем , требующие доступа к местоположению.

Внешнее хранилище

По умолчанию приложениям, предназначенным для Android 10 и более поздних версий, предоставляется доступ к внешнему хранилищу или хранилищу с ограниченной областью действия . Такие приложения могут видеть следующие типы файлов на внешнем устройстве хранения данных без необходимости запрашивать какие-либо разрешения пользователя, связанные с хранилищем:

• Файлы в каталоге приложения, доступ к которым осуществляется с помощью getExternalFilesDir() .
• Фотографии, видео и аудиоклипы, созданные приложением из медиа-магазина .

Чтобы узнать больше о хранилище с заданной областью, а также о том, как делиться, получать доступ и изменять файлы, сохраненные на внешних устройствах хранения, см. руководства по управлению файлами во внешнем хранилище , а также по доступу и изменению медиафайлов .

Рандомизация MAC-адреса

На устройствах под управлением Android 10 или более поздней версии система по умолчанию передает случайные MAC-адреса.
Если ваше приложение предназначено для корпоративного использования , платформа предоставляет API для нескольких операций, связанных с MAC-адресами:

• Получение случайного MAC-адреса . Приложения владельца устройства и приложения владельца профиля могут получить случайный MAC-адрес, назначенный определенной сети, с помощью вызова getRandomizedMacAddress() .
• Получите фактический заводской MAC-адрес. Приложения владельца устройства могут получить фактический аппаратный MAC-адрес устройства, вызвав getWifiMacAddress() . Этот метод полезен для отслеживания парка устройств.

Несбрасываемые идентификаторы устройств

Начиная с Android 10, приложения должны иметь привилегированное разрешение READ_PRIVILEGED_PHONE_STATE для доступа к несбрасываемым идентификаторам устройства, которые включают как IMEI, так и серийный номер.

• Build
  • getSerial()
• TelephonyManager
  • getImei()
  • getDeviceId()
  • getMeid()
  • getSimSerialNumber()
  • getSubscriberId()

Если у вашего приложения нет разрешения и вы все равно пытаетесь запросить информацию о несбрасываемых идентификаторах, ответ платформы зависит от целевой версии SDK:

• Если ваше приложение предназначено для Android 10 или более поздней версии, возникает исключение SecurityException .
• Если ваше приложение предназначено для Android 9 (уровень API 28) или более ранней версии, метод возвращает null данные или данные-заполнители, если приложение имеет разрешение READ_PHONE_STATE . В противном случае возникает SecurityException .

Распознавание физической активности

В Android 10 представлено разрешение среды выполнения android.permission.ACTIVITY_RECOGNITION для приложений, которым необходимо определять количество шагов пользователя или классифицировать физическую активность пользователя, например ходьбу, езду на велосипеде или передвижение в автомобиле. Это сделано для того, чтобы пользователи могли видеть, как данные датчиков устройства используются в настройках.
Некоторые библиотеки в сервисах Google Play, такие как API распознавания активности и API Google Fit , не предоставляют результаты, если пользователь не предоставил вашему приложению такое разрешение.
Единственными встроенными датчиками устройства, требующими заявления об этом разрешении, являются датчики счетчика шагов и детектора шагов .
Если ваше приложение предназначено для Android 9 (уровень API 28) или ниже, система автоматически предоставляет разрешение android.permission.ACTIVITY_RECOGNITION вашему приложению, если это необходимо, если ваше приложение удовлетворяет каждому из следующих условий:

• Файл манифеста включает разрешение com.google.android.gms.permission.ACTIVITY_RECOGNITION .
• Файл манифеста не содержит разрешения android.permission.ACTIVITY_RECOGNITION .

Если system-auto предоставляет разрешение android.permission.ACTIVITY_RECOGNITION , ваше приложение сохранит это разрешение после обновления приложения до Android 10. Однако пользователь может отозвать это разрешение в любое время в настройках системы.

Ограничения файловой системы /proc/net

На устройствах под управлением Android 10 или более поздней версии приложения не могут получить доступ /proc/net , который содержит информацию о состоянии сети устройства. Приложения, которым необходим доступ к этой информации, например VPN, должны использовать класс NetworkStatsManager или ConnectivityManager .

Группы разрешений удалены из пользовательского интерфейса.

Начиная с Android 10, приложения не могут узнать, как разрешения сгруппированы в пользовательском интерфейсе.

Удаление привязки контактов

Начиная с Android 10, платформа не отслеживает информацию о сходстве контактов. В результате, если ваше приложение выполняет поиск в контактах пользователя, результаты не сортируются по частоте взаимодействия.
Руководство по ContactsProvider содержит уведомление с описанием конкретных полей и методов, которые устарели на всех устройствах, начиная с Android 10.

Ограниченный доступ к содержимому экрана

Чтобы защитить содержимое экрана пользователей, Android 10 предотвращает автоматический доступ к содержимому экрана устройства, изменяя область разрешений READ_FRAME_BUFFER , CAPTURE_VIDEO_OUTPUT и CAPTURE_SECURE_VIDEO_OUTPUT . Начиная с Android 10, эти разрешения доступны только по подписи .
Приложения, которым необходим доступ к содержимому экрана устройства, должны использовать API MediaProjection , который отображает запрос на согласие пользователя.

Серийный номер USB-устройства

Если ваше приложение предназначено для Android 10 или более поздней версии, оно не сможет прочитать серийный номер, пока пользователь не предоставит вашему приложению разрешение на доступ к USB-устройству или аксессуару.
Подробнее о работе с USB-устройствами читайте в руководстве по настройке USB-хостов .

Wi-Fi

Приложения, предназначенные для Android 10 или более поздней версии, не могут включать или отключать Wi-Fi. Метод WifiManager.setWifiEnabled() всегда возвращает false .
Если вам нужно предлагать пользователям включать и отключать Wi-Fi, используйте панель настроек .

Ограничения на прямой доступ к настроенным сетям Wi-Fi

Для защиты конфиденциальности пользователей ручная настройка списка сетей Wi-Fi ограничена системными приложениями и контроллерами политики устройств (DPC) . Данный ЦОД может быть либо владельцем устройства, либо владельцем профиля.
Если ваше приложение предназначено для Android 10 или более поздней версии и не является системным приложением или ЦОД, то следующие методы не возвращают полезные данные:

• Метод getConfiguredNetworks() всегда возвращает пустой список.
• Каждый метод сетевой операции, возвращающий целочисленное значение addNetwork() и updateNetwork() — всегда возвращает -1.
• Каждая сетевая операция, возвращающая логическое значение removeNetwork() , reassociate() , enableNetwork() , disableNetwork() , reconnect() и disconnect() — всегда возвращает false .

Каждый выпуск Android включает в себя десятки улучшений безопасности для защиты пользователей. Android 10 включает в себя несколько улучшений безопасности и конфиденциальности. Полный список изменений в Android 10 см. в примечаниях к выпуску Android 10 .

Безопасность

ГраницыДезинфицирующее средство

В Android 10 используется BoundsSanitizer (BoundSan) в Bluetooth и кодеках. BoundSan использует дезинфицирующее средство для границ UBSan. Это смягчение включено на уровне каждого модуля. Это помогает обеспечить безопасность критически важных компонентов Android, и его нельзя отключать. BoundSan включен в следующих кодеках:

• libFLAC
• libavcdec
• libavcenc
• libhevcdec
• libmpeg2
• libopus
• libvpx
• libspeexresampler
• libvorbisidec
• libaac
• libxaac

Память только для выполнения

По умолчанию разделы исполняемого кода для двоичных файлов системы AArch64 помечены как доступные только для выполнения (нечитаемые) в целях усиления защиты от атак с повторным использованием кода «точно в срок». Код, который смешивает данные и код вместе, а также код, который целенаправленно проверяет эти разделы (без предварительного перераспределения сегментов памяти как читаемые), больше не работает. Приложения с целевым SDK Android 10 (уровень API 29 или выше) пострадают, если приложение попытается прочитать в памяти разделы кода системных библиотек с поддержкой только памяти (XOM) без предварительной пометки раздела как доступного для чтения.

Расширенный доступ

Агенты доверия, основной механизм, используемый механизмами третичной аутентификации, такими как Smart Lock, могут продлевать разблокировку только в Android 10. Агенты доверия больше не могут разблокировать заблокированное устройство и могут удерживать устройство разблокированным не более четырех часов.

Аутентификация по лицу

Аутентификация по лицу позволяет пользователям разблокировать свое устройство, просто взглянув на его переднюю часть. В Android 10 добавлена ​​поддержка нового стека аутентификации по лицу, который может безопасно обрабатывать кадры камеры, сохраняя безопасность и конфиденциальность во время аутентификации по лицу на поддерживаемом оборудовании. Android 10 также предоставляет простой способ реализации требований безопасности, позволяющий интегрировать приложения для таких транзакций, как онлайн-банкинг или другие услуги.

Очистка целочисленного переполнения

Android 10 поддерживает очистку целочисленного переполнения (IntSan) в программных кодеках. Убедитесь, что производительность воспроизведения приемлема для любых кодеков, которые не поддерживаются аппаратным обеспечением устройства. IntSan включен в следующих кодеках:

• libFLAC
• libavcdec
• libavcenc
• libhevcdec
• libmpeg2
• libopus
• libvpx
• libspeexresampler
• libvorbisidec

Компоненты модульной системы

В Android 10 некоторые системные компоненты Android разделены на модули и позволяют обновляться вне обычного цикла выпуска Android. Некоторые модули включают в себя:

• Android-среда выполнения
• Конкрипт
• DNS-резольвер
• ДокументыUI
• ЭкстСервисс
• СМИ
• МодульМетаданные
• сеть
• Контроллер разрешений
• Данные о часовом поясе

OEMCrypto

Android 10 использует OEMCrypto API версии 15.

Скудо

Scudo — это динамический распределитель памяти в пользовательском режиме, разработанный для большей устойчивости к уязвимостям, связанным с кучей. Он предоставляет стандартные примитивы выделения и освобождения C, а также примитивы C++.

ТеньВызовСтек

ShadowCallStack (SCS) — это режим инструментирования LLVM , который защищает от перезаписи адреса возврата (например, переполнения буфера стека) путем сохранения адреса возврата функции в отдельно выделенном экземпляре ShadowCallStack в прологе функции нелистовых функций и загрузки адреса возврата из экземпляра ShadowCallStack в эпилог функции.

Расширенный доступ к WPA3 и Wi-Fi

В Android 10 добавлена ​​поддержка стандартов безопасности Wi-Fi Protected Access 3 (WPA3) и Wi-Fi Enhanced Open, чтобы обеспечить лучшую конфиденциальность и устойчивость к известным атакам.

Конфиденциальность

Доступ к приложению при настройке Android 9 или более ранней версии

Если ваше приложение работает на Android 10 или выше, но ориентировано на Android 9 (уровень API 28) или ниже, платформа применяет следующее поведение:

• Если ваше приложение объявляет элемент <uses-permission> для ACCESS_FINE_LOCATION или ACCESS_COARSE_LOCATION , система автоматически добавляет элемент <uses-permission> для ACCESS_BACKGROUND_LOCATION во время установки.
• Если ваше приложение запрашивает ACCESS_FINE_LOCATION или ACCESS_COARSE_LOCATION , система автоматически добавляет ACCESS_BACKGROUND_LOCATION к запросу.

Ограничения фоновой активности

Начиная с Android 10, система накладывает ограничения на запуск действий в фоновом режиме . Такое изменение поведения помогает свести к минимуму прерывания работы пользователя и позволяет ему лучше контролировать то, что отображается на экране. Пока ваше приложение начинает действия в результате взаимодействия с пользователем, эти ограничения, скорее всего, не затрагивают ваше приложение.
Чтобы узнать больше о рекомендуемой альтернативе запуску действий в фоновом режиме, ознакомьтесь с руководством по оповещению пользователей о срочных событиях в вашем приложении.

Метаданные камеры

В Android 10 изменяется объем информации, которую метод getCameraCharacteristics() возвращает по умолчанию. В частности, ваше приложение должно иметь разрешение CAMERA , чтобы получить доступ к потенциально специфичным для устройства метаданным, которые включены в возвращаемое значение этого метода.
Подробнее об этих изменениях можно узнать в разделе о полях камеры, для которых требуется разрешение .

Данные буфера обмена

Если ваше приложение не является редактором метода ввода по умолчанию (IME) или приложением, на котором в данный момент находится фокус, ваше приложение не может получить доступ к данным буфера обмена на Android 10 или более поздней версии.

Местоположение устройства

Чтобы обеспечить дополнительный контроль, который пользователи имеют над доступом приложения к информации о местоположении, в Android 10 представлено разрешение ACCESS_BACKGROUND_LOCATION .
В отличие от разрешений ACCESS_FINE_LOCATION и ACCESS_COARSE_LOCATION , разрешение ACCESS_BACKGROUND_LOCATION влияет на доступ приложения к местоположению только тогда, когда оно работает в фоновом режиме. Считается, что приложение получает доступ к местоположению в фоновом режиме, если не выполняется одно из следующих условий:

• Видна активность, принадлежащая приложению.
• В приложении запущена служба переднего плана, которая объявила тип locationслужбы переднего плана .
  Чтобы объявить тип службы переднего плана для службы в вашем приложении, установите targetSdkVersion или compileSdkVersion вашего приложения значение 29 или выше. Узнайте больше о том, как службы переднего плана могут продолжать инициированные пользователем действия , требующие доступа к местоположению.

Внешнее хранилище

По умолчанию приложениям, предназначенным для Android 10 и более поздних версий, предоставляется ограниченный доступ к внешнему хранилищу или хранилищу с ограниченной областью действия . Такие приложения могут видеть следующие типы файлов на внешнем устройстве хранения данных без необходимости запрашивать какие-либо разрешения пользователя, связанные с хранилищем:

• Файлы в каталоге приложения, доступ к которым осуществляется с помощью getExternalFilesDir() .
• Фотографии, видео и аудиоклипы, созданные приложением из медиа-магазина .

Чтобы узнать больше о хранилище с заданной областью, а также о том, как делиться, получать доступ и изменять файлы, сохраненные на внешних устройствах хранения, см. руководства по управлению файлами во внешнем хранилище , а также по доступу и изменению медиафайлов .

Рандомизация MAC-адреса

На устройствах под управлением Android 10 или более поздней версии система по умолчанию передает случайные MAC-адреса.
Если ваше приложение предназначено для корпоративного использования , платформа предоставляет API для нескольких операций, связанных с MAC-адресами:

• Получение случайного MAC-адреса . Приложения владельца устройства и приложения владельца профиля могут получить случайный MAC-адрес, назначенный определенной сети, с помощью вызова getRandomizedMacAddress() .
• Получите фактический заводской MAC-адрес. Приложения владельца устройства могут получить фактический аппаратный MAC-адрес устройства, вызвав getWifiMacAddress() . Этот метод полезен для отслеживания парка устройств.

Несбрасываемые идентификаторы устройств

Начиная с Android 10, приложения должны иметь привилегированное разрешение READ_PRIVILEGED_PHONE_STATE для доступа к несбрасываемым идентификаторам устройства, которые включают как IMEI, так и серийный номер.

• Build
  • getSerial()
• TelephonyManager
  • getImei()
  • getDeviceId()
  • getMeid()
  • getSimSerialNumber()
  • getSubscriberId()

Если у вашего приложения нет разрешения и вы все равно пытаетесь запросить информацию о несбрасываемых идентификаторах, ответ платформы зависит от целевой версии SDK:

• Если ваше приложение предназначено для Android 10 или выше, происходит SecurityException .
• Если ваше приложение предназначено для Android 9 (API -уровень 28) или ниже, метод возвращает данные null или заполнителе, если в приложении есть разрешение READ_PHONE_STATE . В противном случае происходит SecurityException .

Распознавание физической активности

Android 10 представляет android.permission.ACTIVITY_RECOGNITION разрешение на выполнение выполнения для приложений, которые необходимо обнаружить подсчет шагов пользователя или классифицировать физическую активность пользователя, такие как ходьба, велосипед или перемещение в транспортном средстве. Это предназначено для того, чтобы предоставить пользователям видимость того, как данные датчика устройства используются в настройках.
Некоторые библиотеки в Google Play Services, такие как API распознавания деятельности и API Google Fit , не предоставляют результаты, если пользователь не предоставит вашему приложению это разрешение.
Единственными встроенными датчиками на устройстве, которые требуют, чтобы вы объявляли это разрешение, являются счетчика и датчики детектора Step .
Если ваше приложение предназначено для Android 9 (уровень API 28) или ниже, система автоматически генерирует android.permission.ACTIVITY_RECOGNITION разрешение на ваше приложение по мере необходимости, если ваше приложение удовлетворяет каждому из следующих условий:

• Манифестный файл включает в себя com.google.android.gms.permission.ACTIVITY_RECOGNITION разрешение.
• Манифестный файл не включает в себя разрешение android.permission.ACTIVITY_RECOGNITION .

Если система системы предоставляет разрешение android.permission.ACTIVITY_RECOGNITION , ваше приложение сохраняет разрешение после обновления вашего приложения для нацеливания на Android 10. Однако пользователь может отозвать это разрешение в любое время в настройках системы.

/proc/net ограничения файловой системы

На устройствах, которые запускаются Android 10 или выше, приложения не могут получить доступ /proc/net , которая включает информацию о состоянии сети устройства. Приложения, которые нуждаются в доступе к этой информации, такой как VPNS, должны использовать класс NetworkStatsManager или ConnectivityManager .

Группы разрешений удалены из пользовательского интерфейса

По состоянию на Android 10 приложения не могут посмотреть, как разрешения сгруппированы в пользовательском интерфейсе.

Удаление сродства контактов

Начиная с Android 10, платформа не отслеживает информацию о сродстве контактов. В результате, если ваше приложение проводит поиск на контактах пользователя, результаты не упорядочены частотой взаимодействия.
Руководство по ContactsProvider содержит уведомление, описывающее конкретные поля и методы, которые устарели на всех устройствах, начиная с Android 10.

Ограниченный доступ к содержимому экрана

Чтобы защитить содержимое экрана пользователей, Android 10 предотвращает тихий доступ к содержимому экрана устройства, изменяя область применения READ_FRAME_BUFFER , CAPTURE_VIDEO_OUTPUT и CAPTURE_SECURE_VIDEO_OUTPUT . Начиная с Android 10, эти разрешения являются только подписью .
Приложения, которым необходимо получить доступ к содержимому экрана устройства, должны использовать API MediaProjection , который отображает подсказку, просящую пользователя предоставить согласие.

Серийный номер USB -устройства

Если ваше приложение предназначено для Android 10 или выше, ваше приложение не может прочитать серийный номер, пока пользователь не предоставит вашему приложению разрешение на доступ к устройству USB или аксессуару.
Чтобы узнать больше о работе с USB -устройствами, см. Руководство по настройке USB -хостов .

Wi-Fi

Приложения, нацеленные на Android 10 или выше, не могут включить или отключить Wi-Fi. Метод WifiManager.setWifiEnabled() всегда возвращает false .
Если вам нужно предложить пользователям включить и отключить Wi-Fi, используйте панель настроек .

Ограничения на прямой доступ к настроенным сетям Wi-Fi

Чтобы защитить конфиденциальность пользователей, ручная конфигурация списка сетей Wi-Fi ограничена системными приложениями и контроллерами политики устройств (DPCS) . Данный DPC может быть либо владельцем устройства, либо владельцем профиля.
Если ваше приложение предназначено для Android 10 или выше, и это не системное приложение или DPC, то следующие методы не возвращают полезные данные:

• Метод getConfiguredNetworks() всегда возвращает пустой список.
• Каждый метод работы сети, который возвращает целочисленное значение addNetwork() и updateNetwork() -всегда возвращает -1.
• Каждая сетевая операция, которая возвращает логическое значение removeNetwork() , reassociate() , enableNetwork() , disableNetwork() , reconnect() и disconnect() - всегда возвращает false .

Каждый релиз Android включает в себя десятки улучшений безопасности для защиты пользователей. Android 10 включает в себя несколько улучшений безопасности и конфиденциальности. См. Примечания к выпуску Android 10 для полного списка изменений в Android 10.

Безопасность

Boundssanitizer

Android 10 развертывает Boundssanitizer (Boundsan) в Bluetooth и Codecs. Boundsan использует дезинфицирующее средство Ubsan's Rounds. Это смягчение включено на уровне модуля. Это помогает сохранить критические компоненты Android безопасна и не должно быть отключено. Boundsan включен в следующих кодеках:

• libFLAC
• libavcdec
• libavcenc
• libhevcdec
• libmpeg2
• libopus
• libvpx
• libspeexresampler
• libvorbisidec
• libaac
• libxaac

Выполнять только память

По умолчанию разделы исполнительного кода для бинарий системы Aarch64 помечены только для выполнения (не читаемого) как смягчение упрочнения против атак повторного использования кода в соответствии с указанием времени. Код, который смешивает данные и код вместе и код, который целенаправленно осматривает эти разделы (без сначала переигрывания сегментов памяти как читаемых), больше не функционирует. Приложения с целевым SDK Android 10 (API-уровнем 29 или выше) влияют, если приложение пытается прочитать разделы кода в системных библиотеках, включенных только для выполнения (XOM) в памяти без сначала маркировки раздела как читаемого.

Расширенный доступ

Доверительные агенты, базовый механизм, используемый с помощью механизмов третичной аутентификации, таких как Smart Lock, может расширить разблокирование только в Android 10. Доверительные агенты больше не могут разблокировать заблокированное устройство и могут оставлять устройство разблокированным только на четыре часа.

Аутентификация лица

Аутентификация лица позволяет пользователям разблокировать свое устройство, просто посмотрев на переднюю часть своего устройства. Android 10 добавляет поддержку нового стека аутентификации лица, который может надежно обрабатывать кадры камеры, сохраняя безопасность и конфиденциальность во время аутентификации лица на поддерживаемом оборудовании. Android 10 также обеспечивает простой способ, соответствующие безопасности, обеспечить интеграцию приложений для таких транзакций, как онлайн-банкинг или другие услуги.

Целое число переполненных дезинфекции

Android 10 позволяет дезинфицировать целочисленное переполнение (Intsan) в программных кодеках. Убедитесь, что производительность воспроизведения приемлема для любых кодеков, которые не поддерживаются в оборудовании устройства. Intsan включен в следующих кодеках:

• libFLAC
• libavcdec
• libavcenc
• libhevcdec
• libmpeg2
• libopus
• libvpx
• libspeexresampler
• libvorbisidec

Модульные компоненты системы

Android 10 модулизует некоторые компоненты Android System и позволяет обновлять их за пределами обычного цикла выпуска Android. Некоторые модули включают:

• Время выполнения Android
• Совест
• DNS Resolver
• Документы
• Эсперс
• СМИ
• Modulemetadata
• Сеть
• Разрешение Контроллер
• Данные часового пояса

OEMCRYPTO

Android 10 использует OEMCRYPTO API версии 15.

Скудо

Scudo -это динамический распределитель памяти пользователя, предназначенный для того, чтобы быть более устойчивым к уязвимостям, связанной с кучей. Он обеспечивает стандартные примитивы распределения и сделки, а также примитивы C ++.

ShadowCallstack

ShadowCallStack (SCS) - это режим инструментария LLVM , который защищает от перезаписи обратного адреса (например, переполнения буфера стека) путем сохранения обратного адреса функции в отдельно распределенный экземпляр ShadowCallStack в функциональном прологе неличных функций и загрузку обратного адреса из экземпляра ShadowCallStack в функции. Функциональный эпилог.

WPA3 и Wi-Fi Enhanced Open Open

Android 10 добавляет поддержку защищенного Wi-Fi Access 3 (WPA3) и Wi-Fi улучшенные стандарты открытой безопасности для обеспечения лучшей конфиденциальности и устойчивости против известных атак.

Конфиденциальность

Доступ к приложениям при нацеливании на Android 9 или ниже

Если ваше приложение работает на Android 10 или выше, но нацелен на Android 9 (API -уровень 28) или ниже, платформа применяет следующее поведение:

• Если ваше приложение объявляет элемент <uses-permission> для ACCESS_FINE_LOCATION или ACCESS_COARSE_LOCATION , система автоматически добавляет элемент <uses-permission> для ACCESS_BACKGROUND_LOCATION во время установки.
• Если ваше приложение запрашивает либо ACCESS_FINE_LOCATION , либо ACCESS_COARSE_LOCATION , система автоматически добавляет ACCESS_BACKGROUND_LOCATION в запрос.

Ограничения фоновой активности

Начиная с Android 10, система накладывает ограничения на начальные действия с фона . Такое изменение поведения помогает минимизировать прерывания для пользователя и обеспечивает более управляющего пользователем контроль над тем, что показано на их экране. Пока ваше приложение начинает действия в качестве прямого результата взаимодействия с пользователем, ваше приложение, скорее всего, не влияет на эти ограничения.
Чтобы узнать больше о рекомендуемой альтернативе начальной деятельности с фона, см. Руководство о том, как предупредить пользователей о чувствительных ко времени событиях в вашем приложении.

Метаданные камеры

Android 10 изменяет широту информации, которую метод getCameraCharacteristics() возвращает по умолчанию. В частности, ваше приложение должно иметь разрешение CAMERA , чтобы получить доступ к потенциально специфичным для устройства метаданные, которые включены в возвращаемое значение этого метода.
Чтобы узнать больше об этих изменениях, см. Раздел о полях камеры, которые требуют разрешения .

Данные буфера обмена

Если ваше приложение не является редактором метода ввода по умолчанию (IME) или является приложением, которое в настоящее время имеет фокус, ваше приложение не может получить доступ к данным буфера об буферизации на Android 10 или выше.

Расположение устройства

Чтобы поддержать дополнительное управление, которое пользователи имеют доступ к доступу к приложению к информации о местоположении, Android 10 представляет разрешение ACCESS_BACKGROUND_LOCATION .
В отличие от разрешений ACCESS_FINE_LOCATION и ACCESS_COARSE_LOCATION , разрешение ACCESS_BACKGROUND_LOCATION влияет на доступ приложения к местоположению, когда оно работает в фоновом режиме. Считается, что приложение обращается к месту в фоновом режиме, если только одно из следующих условий не выполнено:

• Заявление, принадлежащее приложению, видна.
• В приложении управляет сервис переднего плана, который объявил locationобслуживания переднего плана .
  Чтобы объявить тип обслуживания переднего плана для службы в вашем приложении, установите targetSdkVersion вашего приложения или compileSdkVersion до 29 или выше. Узнайте больше о том, как службы переднего плана могут продолжать инициированные пользователем действия , которые требуют доступа к местоположению.

Внешнее хранилище

По умолчанию приложения, нацеленные на Android 10 и выше, предоставляются общеобразованным доступом к внешнему хранилищу или хранилище . Такие приложения могут видеть следующие типы файлов в внешнем устройстве хранения без необходимости запросить любые разрешения, связанные с хранением,:

• Файлы в каталоге для конкретного приложения, доступ к которым можно было использовать getExternalFilesDir() .
• Фотографии, видео и аудиоклипы, которые приложение создало в медиа -магазине .

Чтобы узнать больше о хранилище Scoped, а также о том, как обмениваться, получить доступ и изменить файлы, которые сохраняются на внешних устройствах хранения, см. Руководства по управлению файлами во внешнем хранилище и доступе и изменяйте медиа -файлы .

MAC -адрес рандомизация

На устройствах, которые запускаются Android 10 или выше, система по умолчанию передает рандомизированные MAC -адреса.
Если ваше приложение обрабатывает вариант использования предприятия , платформа предоставляет API для нескольких операций, связанных с MAC -адресами:

• Получить рандомизированный MAC -адрес : приложения владельца устройства и приложения владельца профиля могут извлечь рандомизированный MAC -адрес, назначенный конкретной сети, вызывая getRandomizedMacAddress() .
• Получите фактический, заводской MAC -адрес: приложения владельца устройства могут получить фактический аппаратный MAC -адрес устройства, вызывая getWifiMacAddress() . Этот метод полезен для отслеживания парков устройств.

Необычные идентификаторы устройства

Начиная с Android 10, приложения должны иметь привилегированное разрешение READ_PRIVILEGED_PHONE_STATE , чтобы получить доступ к неретируемым идентификаторам устройства, которые включают как IMEI, так и серийный номер.

• Build
  • getSerial()
• TelephonyManager
  • getImei()
  • getDeviceId()
  • getMeid()
  • getSimSerialNumber()
  • getSubscriberId()

Если в вашем приложении нет разрешения, и вы все равно пытаетесь запрашивать информацию о неретируемых идентификаторах, ответ платформы варьируется в зависимости от целевой версии SDK:

• Если ваше приложение предназначено для Android 10 или выше, происходит SecurityException .
• Если ваше приложение предназначено для Android 9 (API -уровень 28) или ниже, метод возвращает данные null или заполнителе, если в приложении есть разрешение READ_PHONE_STATE . В противном случае происходит SecurityException .

Распознавание физической активности

Android 10 представляет android.permission.ACTIVITY_RECOGNITION разрешение на выполнение выполнения для приложений, которые необходимо обнаружить подсчет шагов пользователя или классифицировать физическую активность пользователя, такие как ходьба, велосипед или перемещение в транспортном средстве. Это предназначено для того, чтобы предоставить пользователям видимость того, как данные датчика устройства используются в настройках.
Некоторые библиотеки в Google Play Services, такие как API распознавания деятельности и API Google Fit , не предоставляют результаты, если пользователь не предоставит вашему приложению это разрешение.
Единственными встроенными датчиками на устройстве, которые требуют, чтобы вы объявляли это разрешение, являются счетчика и датчики детектора Step .
Если ваше приложение предназначено для Android 9 (уровень API 28) или ниже, система автоматически генерирует android.permission.ACTIVITY_RECOGNITION разрешение на ваше приложение, если это необходимо, если ваше приложение удовлетворяет каждому из следующих условий:

• Манифестный файл включает в себя com.google.android.gms.permission.ACTIVITY_RECOGNITION разрешение.
• Манифестный файл не включает в себя разрешение android.permission.ACTIVITY_RECOGNITION .

Если система системы предоставляет разрешение android.permission.ACTIVITY_RECOGNITION , ваше приложение сохраняет разрешение после обновления вашего приложения для нацеливания на Android 10. Однако пользователь может отозвать это разрешение в любое время в настройках системы.

/proc/net ограничения файловой системы

На устройствах, которые запускаются Android 10 или выше, приложения не могут получить доступ /proc/net , которая включает информацию о состоянии сети устройства. Приложения, которые нуждаются в доступе к этой информации, такой как VPNS, должны использовать класс NetworkStatsManager или ConnectivityManager .

Группы разрешений удалены из пользовательского интерфейса

По состоянию на Android 10 приложения не могут посмотреть, как разрешения сгруппированы в пользовательском интерфейсе.

Удаление сродства контактов

Начиная с Android 10, платформа не отслеживает информацию о сродстве контактов. В результате, если ваше приложение проводит поиск на контактах пользователя, результаты не упорядочены частотой взаимодействия.
Руководство по ContactsProvider содержит уведомление, описывающее конкретные поля и методы, которые устарели на всех устройствах, начиная с Android 10.

Ограниченный доступ к содержимому экрана

Чтобы защитить содержимое экрана пользователей, Android 10 предотвращает тихий доступ к содержимому экрана устройства, изменяя область применения READ_FRAME_BUFFER , CAPTURE_VIDEO_OUTPUT и CAPTURE_SECURE_VIDEO_OUTPUT . Начиная с Android 10, эти разрешения являются только подписью .
Приложения, которым необходимо получить доступ к содержимому экрана устройства, должны использовать API MediaProjection , который отображает подсказку, просящую пользователя предоставить согласие.

Серийный номер USB -устройства

Если ваше приложение предназначено для Android 10 или выше, ваше приложение не может прочитать серийный номер, пока пользователь не предоставит вашему приложению разрешение на доступ к устройству USB или аксессуару.
Чтобы узнать больше о работе с USB -устройствами, см. Руководство по настройке USB -хостов .

Wi-Fi

Приложения, нацеленные на Android 10 или выше, не могут включить или отключить Wi-Fi. Метод WifiManager.setWifiEnabled() всегда возвращает false .
Если вам нужно предложить пользователям включить и отключить Wi-Fi, используйте панель настроек .

Ограничения на прямой доступ к настроенным сетям Wi-Fi

Чтобы защитить конфиденциальность пользователей, ручная конфигурация списка сетей Wi-Fi ограничена системными приложениями и контроллерами политики устройств (DPCS) . Данный DPC может быть либо владельцем устройства, либо владельцем профиля.
Если ваше приложение предназначено для Android 10 или выше, и это не системное приложение или DPC, то следующие методы не возвращают полезные данные:

• Метод getConfiguredNetworks() всегда возвращает пустой список.
• Каждый метод работы сети, который возвращает целочисленное значение addNetwork() и updateNetwork() -всегда возвращает -1.
• Каждая сетевая операция, которая возвращает логическое значение removeNetwork() , reassociate() , enableNetwork() , disableNetwork() , reconnect() и disconnect() - всегда возвращает false .

Андроид 9

Every Android release includes dozens of security enhancements to protect users. For a list of some of the major security enhancements available in Android 9, see the Android Release Notes.

Андроид 8

Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 8.0:

• Encryption. Added support to evict key in work profile.
• Verified Boot. Added Android Verified Boot (AVB). Verified Boot codebase supporting rollback protection for use in boot loaders added to AOSP. Recommend bootloader support for rollback protection for the HLOS. Recommend boot loaders can only be unlocked by user physically interacting with the device.
• Lock screen. Added support for using tamper-resistant hardware to verify lock screen credential.
• KeyStore. Required key attestation for all devices that ship with Android 8.0+. Added ID attestation support to improve Zero Touch Enrollment.
• Sandboxing. More tightly sandboxed many components using Project Treble's standard interface between framework and device-specific components. Applied seccomp filtering to all untrusted apps to reduce the kernel's attack surface. WebView is now run in an isolated process with very limited access to the rest of the system.
• Kernel hardening. Implemented hardened usercopy, PAN emulation, read-only after init, and KASLR.
• Userspace hardening. Implemented CFI for the media stack. App overlays can no longer cover system-critical windows and users have a way to dismiss them.
• Streaming OS update. Enabled updates on devices that are are low on disk space.
• Install unknown apps. Users must grant permission to install apps from a source that isn't a first-party app store.
• Privacy. Android ID (SSAID) has a different value for each app and each user on the device. For web browser apps, Widevine Client ID returns a different value for each app package name and web origin. net.hostname is now empty and the dhcp client no longer sends a hostname. android.os.Build.SERIAL has been replaced with the Build.SERIAL API which is protected behind a user-controlled permission. Improved MAC address randomization in some chipsets.

Андроид 7

每个 Android 版本中都包含数十项用于保护用户的安全增强功能。以下是 Android 7.0 中提供的一些主要安全增强功能：

• 文件级加密：在文件级进行加密，而不是将整个存储区域作为单个单元进行加密。这种加密方式可以更好地隔离和保护设备上的不同用户和资料（例如个人资料和工作资料）。
• 直接启动：通过文件级加密实现，允许特定应用（例如，闹钟和无障碍功能）在设备已开机但未解锁的情况下运行。
• 验证启动：现在，验证启动会被严格强制执行，从而使遭到入侵的设备无法启动；验证启动支持纠错功能，有助于更可靠地防范非恶意数据损坏。
• SELinux。更新后的 SELinux 配置和更高的 Seccomp 覆盖率有助于进一步锁定应用沙盒并减小受攻击面。
• 库加载顺序随机化和改进的 ASLR。 增大随机性降低了某些代码重用攻击的有效性。
• 内核加固：通过将内核内存的各个分区标记为只读，限制内核对用户空间地址的访问，并进一步减小现有的受攻击面，为更高版本的内核添加额外的内存保护。
• APK 签名方案 v2：引入了一种全文件签名方案，该方案有助于加快验证速度并增强完整性保证。
• 可信 CA 存储区。为了使应用更容易控制对其安全网络流量的访问，对于 API 级别为 24 及以上的应用，由用户安装的证书颁发机构以及通过 Device Admin API 安装的证书颁发机构在默认情况下不再受信任。此外，所有新的 Android 设备必须搭载相同的可信 CA 存储区。
• 网络安全配置。通过声明式配置文件来配置网络安全设置和传输层安全协议 (TLS)。

Андроид 6

Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 6.0:

• Runtime Permissions. Apps request permissions at runtime instead of being granted at App install time. Users can toggle permissions on and off for both M and pre-M apps.
• Verified Boot. A set of cryptographic checks of system software are conducted prior to execution to ensure the phone is healthy from the bootloader all the way up to the operating system.
• Hardware-Isolated Security. New Hardware Abstraction Layer (HAL) used by Fingerprint API, Lockscreen, Device Encryption, and Client Certificates to protect keys against kernel compromise and/or local physical attacks
• Fingerprints. Devices can now be unlocked with just a touch. Developers can also take advantage of new APIs to use fingerprints to lock and unlock encryption keys.
• SD Card Adoption. Removable media can be adopted to a device and expand available storage for app local data, photos, videos, etc., but still be protected by block-level encryption.
• Clear Text Traffic. Developers can use a new StrictMode to make sure their app doesn't use cleartext.
• System Hardening. Hardening of the system via policies enforced by SELinux. This offers better isolation between users, IOCTL filtering, reduce threat of exposed services, further tightening of SELinux domains, and extremely limited /proc access.
• USB Access Control: Users must confirm to allow USB access to files, storage, or other functionality on the phone. Default is now charge only with access to storage requiring explicit approval from the user.

Андроид 5

5.0

Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 5.0:

• Encrypted by default. On devices that ship with L out-of-the-box, full disk encryption is enabled by default to improve protection of data on lost or stolen devices. Devices that update to L can be encrypted in Settings > Security .
• Improved full disk encryption. The user password is protected against brute-force attacks using scrypt and, where available, the key is bound to the hardware keystore to prevent off-device attacks. As always, the Android screen lock secret and the device encryption key are not sent off the device or exposed to any application.
• Android sandbox reinforced with SELinux . Android now requires SELinux in enforcing mode for all domains. SELinux is a mandatory access control (MAC) system in the Linux kernel used to augment the existing discretionary access control (DAC) security model. This new layer provides additional protection against potential security vulnerabilities.
• Smart Lock. Android now includes trustlets that provide more flexibility for unlocking devices. For example, trustlets can allow devices to be unlocked automatically when close to another trusted device (through NFC, Bluetooth) or being used by someone with a trusted face.
• Multi user, restricted profile, and guest modes for phones and tablets. Android now provides for multiple users on phones and includes a guest mode that can be used to provide easy temporary access to your device without granting access to your data and apps.
• Updates to WebView without OTA. WebView can now be updated independent of the framework and without a system OTA. This allows for faster response to potential security issues in WebView.
• Updated cryptography for HTTPS and TLS/SSL. TLSv1.2 and TLSv1.1 is now enabled, Forward Secrecy is now preferred, AES-GCM is now enabled, and weak cipher suites (MD5, 3DES, and export cipher suites) are now disabled. See https://developer.android.com/reference/javax/net/ssl/SSLSocket.html for more details.
• non-PIE linker support removed. Android now requires all dynamically linked executables to support PIE (position-independent executables). This enhances Android's address space layout randomization (ASLR) implementation.
• FORTIFY_SOURCE improvements. The following libc functions now implement FORTIFY_SOURCE protections: stpcpy(), stpncpy(), read(), recvfrom(), FD_CLR(), FD_SET(), and FD_ISSET(). This provides protection against memory-corruption vulnerabilities involving those functions.
• Security Fixes. Android 5.0 also includes fixes for Android-specific vulnerabilities. Information about these vulnerabilities has been provided to Open Handset Alliance members, and fixes are available in Android Open Source Project. To improve security, some devices with earlier versions of Android may also include these fixes.

Андроид 4 и ниже

Every Android release includes dozens of security enhancements to protect users. The following are some of the security enhancements available in Android 4.4:

• Android sandbox reinforced with SELinux. Android now uses SELinux in enforcing mode. SELinux is a mandatory access control (MAC) system in the Linux kernel used to augment the existing discretionary access control (DAC) based security model. This provides additional protection against potential security vulnerabilities.
• Per User VPN. On multi-user devices, VPNs are now applied per user. This can allow a user to route all network traffic through a VPN without affecting other users on the device.
• ECDSA Provider support in AndroidKeyStore. Android now has a keystore provider that allows use of ECDSA and DSA algorithms.
• Device Monitoring Warnings. Android provides users with a warning if any certificate has been added to the device certificate store that could allow monitoring of encrypted network traffic.
• FORTIFY_SOURCE. Android now supports FORTIFY_SOURCE level 2, and all code is compiled with these protections. FORTIFY_SOURCE has been enhanced to work with clang.
• Certificate Pinning. Android 4.4 detects and prevents the use of fraudulent Google certificates used in secure SSL/TLS communications.
• Security Fixes. Android 4.4 also includes fixes for Android-specific vulnerabilities. Information about these vulnerabilities has been provided to Open Handset Alliance members and fixes are available in Android Open Source Project. To improve security, some devices with earlier versions of Android may also include these fixes.

Каждый выпуск Android включает в себя десятки улучшений безопасности для защиты пользователей. Ниже приведены некоторые улучшения безопасности, доступные в Android 4.3:

• Песочница Android, усиленная SELinux. В этом выпуске песочница Android усилена с помощью системы обязательного контроля доступа (MAC) SELinux в ядре Linux. Усиление SELinux невидимо для пользователей и разработчиков и повышает надежность существующей модели безопасности Android, сохраняя при этом совместимость с существующими приложениями. Для обеспечения постоянной совместимости этот выпуск позволяет использовать SELinux в разрешительном режиме. В этом режиме регистрируются любые нарушения политики, но он не нарушает работу приложений и не влияет на поведение системы.
• Никаких программ setuid или setgid . Добавлена ​​поддержка возможностей файловой системы для системных файлов Android и удалены все программы setuid или setgid . Это уменьшает поверхность корневой атаки и вероятность потенциальных уязвимостей безопасности.
• Аутентификация АБР. Начиная с Android 4.2.2, подключения к ADB аутентифицируются с помощью пары ключей RSA. Это предотвращает несанкционированное использование ADB, когда злоумышленник имеет физический доступ к устройству.
• Ограничьте использование Setuid в приложениях Android. Раздел /system теперь монтируется с nosuid для процессов, порожденных зиготой, что не позволяет приложениям Android выполнять программы setuid . Это уменьшает поверхность корневой атаки и вероятность потенциальных уязвимостей безопасности.
• Ограничение возможностей. Android zygote и ADB теперь используют prctl(PR_CAPBSET_DROP) для удаления ненужных возможностей перед выполнением приложений. Это не позволяет приложениям Android и приложениям, запускаемым из оболочки, получать привилегированные возможности.
• Поставщик AndroidKeyStore. В Android теперь есть поставщик хранилища ключей, который позволяет приложениям создавать ключи эксклюзивного использования. Это предоставляет приложениям API для создания или хранения закрытых ключей, которые не могут использоваться другими приложениями.
• KeyChain isBoundKeyAlgorithm . API Keychain теперь предоставляет метод ( isBoundKeyType ), который позволяет приложениям подтверждать, что общесистемные ключи привязаны к аппаратному корню доверия для устройства. Это обеспечивает место для создания или хранения закрытых ключей, которые нельзя экспортировать с устройства даже в случае взлома root.
• NO_NEW_PRIVS . Android zygote теперь использует prctl(PR_SET_NO_NEW_PRIVS) для блокировки добавления новых привилегий перед выполнением кода приложения. Это не позволяет приложениям Android выполнять операции, которые могут повысить привилегии с помощью execve. (Для этого требуется ядро ​​Linux версии 3.5 или выше).
• Улучшения FORTIFY_SOURCE . Включен FORTIFY_SOURCE на Android x86 и MIPS и усилены вызовы strchr() , strrchr() , strlen() и umask() . Это может обнаружить потенциальные уязвимости повреждения памяти или незавершенные строковые константы.
• Защита от переезда. Включены перемещения только для чтения (relro) для статически связанных исполняемых файлов и удалены все перемещения текста в коде Android. Это обеспечивает глубокую защиту от потенциальных уязвимостей повреждения памяти.
• Улучшенный EntropyMixer. EntropyMixer теперь записывает энтропию при выключении или перезагрузке в дополнение к периодическому перемешиванию. Это позволяет сохранять всю энтропию, генерируемую при включении устройств, и особенно полезно для устройств, которые перезагружаются сразу после подготовки.
• Исправления безопасности. Android 4.3 также включает исправления уязвимостей, характерных для Android. Информация об этих уязвимостях была предоставлена ​​членам Open Handset Alliance, а исправления доступны в Android Open Source Project. В целях повышения безопасности некоторые устройства с более ранними версиями Android также могут включать эти исправления.

Каждый выпуск Android включает в себя десятки улучшений безопасности для защиты пользователей. Ниже приведены некоторые улучшения безопасности, доступные в Android 4.3:

• Песочница Android, усиленная SELinux. В этом выпуске песочница Android усилена с помощью системы обязательного контроля доступа (MAC) SELinux в ядре Linux. Усиление SELinux невидимо для пользователей и разработчиков и повышает надежность существующей модели безопасности Android, сохраняя при этом совместимость с существующими приложениями. Для обеспечения постоянной совместимости этот выпуск позволяет использовать SELinux в разрешительном режиме. В этом режиме регистрируются любые нарушения политики, но он не нарушает работу приложений и не влияет на поведение системы.
• Никаких программ setuid или setgid . Добавлена ​​поддержка возможностей файловой системы для системных файлов Android и удалены все программы setuid или setgid . Это уменьшает поверхность корневой атаки и вероятность потенциальных уязвимостей безопасности.
• Аутентификация АБР. Начиная с Android 4.2.2, подключения к ADB аутентифицируются с помощью пары ключей RSA. Это предотвращает несанкционированное использование ADB, когда злоумышленник имеет физический доступ к устройству.
• Ограничьте использование Setuid в приложениях Android. Раздел /system теперь монтируется с nosuid для процессов, порожденных зиготой, что не позволяет приложениям Android выполнять программы setuid . Это уменьшает поверхность корневой атаки и вероятность потенциальных уязвимостей безопасности.
• Ограничение возможностей. Android zygote и ADB теперь используют prctl(PR_CAPBSET_DROP) для удаления ненужных возможностей перед выполнением приложений. Это не позволяет приложениям Android и приложениям, запускаемым из оболочки, получать привилегированные возможности.
• Поставщик AndroidKeyStore. В Android теперь есть поставщик хранилища ключей, который позволяет приложениям создавать ключи эксклюзивного использования. Это предоставляет приложениям API для создания или хранения закрытых ключей, которые не могут использоваться другими приложениями.
• KeyChain isBoundKeyAlgorithm . API Keychain теперь предоставляет метод ( isBoundKeyType ), который позволяет приложениям подтверждать, что общесистемные ключи привязаны к аппаратному корню доверия для устройства. Это обеспечивает место для создания или хранения закрытых ключей, которые нельзя экспортировать с устройства даже в случае взлома root.
• NO_NEW_PRIVS . Android zygote теперь использует prctl(PR_SET_NO_NEW_PRIVS) для блокировки добавления новых привилегий перед выполнением кода приложения. Это не позволяет приложениям Android выполнять операции, которые могут повысить привилегии с помощью execve. (Для этого требуется ядро ​​Linux версии 3.5 или выше).
• Улучшения FORTIFY_SOURCE . Включен FORTIFY_SOURCE на Android x86 и MIPS и усилены вызовы strchr() , strrchr() , strlen() и umask() . Это может обнаружить потенциальные уязвимости повреждения памяти или незавершенные строковые константы.
• Защита от переезда. Включены перемещения только для чтения (relro) для статически связанных исполняемых файлов и удалены все перемещения текста в коде Android. Это обеспечивает глубокую защиту от потенциальных уязвимостей повреждения памяти.
• Улучшенный EntropyMixer. EntropyMixer теперь записывает энтропию при выключении или перезагрузке в дополнение к периодическому перемешиванию. Это позволяет сохранять всю энтропию, генерируемую при включении устройств, и особенно полезно для устройств, которые перезагружаются сразу после подготовки.
• Исправления безопасности. Android 4.3 также включает исправления уязвимостей, характерных для Android. Информация об этих уязвимостях была предоставлена ​​членам Open Handset Alliance, а исправления доступны в Android Open Source Project. В целях повышения безопасности некоторые устройства с более ранними версиями Android также могут включать эти исправления.

Каждый выпуск Android включает в себя десятки улучшений безопасности для защиты пользователей. Ниже приведены некоторые улучшения безопасности, доступные в Android 4.3:

• Песочница Android, усиленная SELinux. В этом выпуске песочница Android усилена с помощью системы обязательного контроля доступа (MAC) SELinux в ядре Linux. Усиление SELinux невидимо для пользователей и разработчиков и повышает надежность существующей модели безопасности Android, сохраняя при этом совместимость с существующими приложениями. Для обеспечения постоянной совместимости этот выпуск позволяет использовать SELinux в разрешительном режиме. В этом режиме регистрируются любые нарушения политики, но он не нарушает работу приложений и не влияет на поведение системы.
• Никаких программ setuid или setgid . Добавлена ​​поддержка возможностей файловой системы для системных файлов Android и удалены все программы setuid или setgid . Это уменьшает поверхность корневой атаки и вероятность потенциальных уязвимостей безопасности.
• Аутентификация АБР. Начиная с Android 4.2.2, подключения к ADB аутентифицируются с помощью пары ключей RSA. Это предотвращает несанкционированное использование ADB, когда злоумышленник имеет физический доступ к устройству.
• Ограничьте использование Setuid в приложениях Android. Раздел /system теперь монтируется с nosuid для процессов, порожденных зиготой, что не позволяет приложениям Android выполнять программы setuid . Это уменьшает поверхность корневой атаки и вероятность потенциальных уязвимостей безопасности.
• Ограничение возможностей. Android zygote и ADB теперь используют prctl(PR_CAPBSET_DROP) для удаления ненужных возможностей перед выполнением приложений. Это не позволяет приложениям Android и приложениям, запускаемым из оболочки, получать привилегированные возможности.
• Поставщик AndroidKeyStore. В Android теперь есть поставщик хранилища ключей, который позволяет приложениям создавать ключи эксклюзивного использования. Это предоставляет приложениям API для создания или хранения закрытых ключей, которые не могут использоваться другими приложениями.
• KeyChain isBoundKeyAlgorithm . API Keychain теперь предоставляет метод ( isBoundKeyType ), который позволяет приложениям подтверждать, что общесистемные ключи привязаны к аппаратному корню доверия для устройства. Это обеспечивает место для создания или хранения закрытых ключей, которые нельзя экспортировать с устройства даже в случае взлома root.
• NO_NEW_PRIVS . Android zygote теперь использует prctl(PR_SET_NO_NEW_PRIVS) для блокировки добавления новых привилегий перед выполнением кода приложения. Это не позволяет приложениям Android выполнять операции, которые могут повысить привилегии с помощью execve. (Для этого требуется ядро ​​Linux версии 3.5 или выше).
• Улучшения FORTIFY_SOURCE . Включен FORTIFY_SOURCE на Android x86 и MIPS и усилены вызовы strchr() , strrchr() , strlen() и umask() . Это может обнаружить потенциальные уязвимости повреждения памяти или незавершенные строковые константы.
• Защита от переезда. Включены перемещения только для чтения (relro) для статически связанных исполняемых файлов и удалены все перемещения текста в коде Android. Это обеспечивает глубокую защиту от потенциальных уязвимостей повреждения памяти.
• Улучшенный EntropyMixer. EntropyMixer теперь записывает энтропию при выключении или перезагрузке в дополнение к периодическому перемешиванию. Это позволяет сохранять всю энтропию, генерируемую при включении устройств, и особенно полезно для устройств, которые перезагружаются сразу после подготовки.
• Исправления безопасности. Android 4.3 также включает исправления уязвимостей, характерных для Android. Информация об этих уязвимостях была предоставлена ​​членам Open Handset Alliance, а исправления доступны в Android Open Source Project. В целях повышения безопасности некоторые устройства с более ранними версиями Android также могут включать эти исправления.

Каждый выпуск Android включает в себя десятки улучшений безопасности для защиты пользователей. Ниже приведены некоторые улучшения безопасности, доступные в Android 4.3:

• Песочница Android, усиленная SELinux. В этом выпуске песочница Android усилена с помощью системы обязательного контроля доступа (MAC) SELinux в ядре Linux. Усиление SELinux невидимо для пользователей и разработчиков и повышает надежность существующей модели безопасности Android, сохраняя при этом совместимость с существующими приложениями. Для обеспечения постоянной совместимости этот выпуск позволяет использовать SELinux в разрешительном режиме. В этом режиме регистрируются любые нарушения политики, но он не нарушает работу приложений и не влияет на поведение системы.
• Никаких программ setuid или setgid . Добавлена ​​поддержка возможностей файловой системы для системных файлов Android и удалены все программы setuid или setgid . Это уменьшает поверхность корневой атаки и вероятность потенциальных уязвимостей безопасности.
• Аутентификация АБР. Начиная с Android 4.2.2, подключения к ADB аутентифицируются с помощью пары ключей RSA. Это предотвращает несанкционированное использование ADB, когда злоумышленник имеет физический доступ к устройству.
• Ограничьте использование Setuid в приложениях Android. Раздел /system теперь монтируется с nosuid для процессов, порожденных зиготой, что не позволяет приложениям Android выполнять программы setuid . Это уменьшает поверхность корневой атаки и вероятность потенциальных уязвимостей безопасности.
• Ограничение возможностей. Android zygote и ADB теперь используют prctl(PR_CAPBSET_DROP) для удаления ненужных возможностей перед выполнением приложений. Это не позволяет приложениям Android и приложениям, запускаемым из оболочки, получать привилегированные возможности.
• Поставщик AndroidKeyStore. В Android теперь есть поставщик хранилища ключей, который позволяет приложениям создавать ключи эксклюзивного использования. Это предоставляет приложениям API для создания или хранения закрытых ключей, которые не могут использоваться другими приложениями.
• KeyChain isBoundKeyAlgorithm . API Keychain теперь предоставляет метод ( isBoundKeyType ), который позволяет приложениям подтверждать, что общесистемные ключи привязаны к аппаратному корню доверия для устройства. Это обеспечивает место для создания или хранения закрытых ключей, которые нельзя экспортировать с устройства даже в случае взлома root.
• NO_NEW_PRIVS . Android zygote теперь использует prctl(PR_SET_NO_NEW_PRIVS) для блокировки добавления новых привилегий перед выполнением кода приложения. Это не позволяет приложениям Android выполнять операции, которые могут повысить привилегии с помощью execve. (Для этого требуется ядро ​​Linux версии 3.5 или выше).
• Улучшения FORTIFY_SOURCE . Включен FORTIFY_SOURCE на Android x86 и MIPS и усилены вызовы strchr() , strrchr() , strlen() и umask() . Это может обнаружить потенциальные уязвимости повреждения памяти или незавершенные строковые константы.
• Защита от переезда. Включены перемещения только для чтения (relro) для статически связанных исполняемых файлов и удалены все перемещения текста в коде Android. Это обеспечивает глубокую защиту от потенциальных уязвимостей повреждения памяти.
• Улучшенный EntropyMixer. EntropyMixer теперь записывает энтропию при выключении или перезагрузке в дополнение к периодическому перемешиванию. Это позволяет сохранять всю энтропию, генерируемую при включении устройств, и особенно полезно для устройств, которые перезагружаются сразу после подготовки.
• Исправления безопасности. Android 4.3 также включает исправления уязвимостей, характерных для Android. Информация об этих уязвимостях была предоставлена ​​членам Open Handset Alliance, а исправления доступны в Android Open Source Project. В целях повышения безопасности некоторые устройства с более ранними версиями Android также могут включать эти исправления.

Android предоставляет многоуровневую модель безопасности, описанную в обзоре безопасности Android . Каждое обновление Android включает в себя десятки улучшений безопасности для защиты пользователей. Ниже приведены некоторые улучшения безопасности, представленные в Android 4.2:

• Проверка приложений. Пользователи могут включить функцию «Проверка приложений» и проверить приложения проверяющим перед установкой. Проверка приложения может предупредить пользователя, если он попытается установить приложение, которое может быть вредоносным; если приложение особенно плохое, оно может заблокировать установку.
• Больше контроля над SMS-сообщениями премиум-класса. Android предоставляет уведомление, если приложение пытается отправить SMS на короткий код, использующий услуги премиум-класса, за которые может взиматься дополнительная плата. Пользователь может выбрать, разрешить ли приложению отправлять сообщение или заблокировать его.
• Always-on VPN: VPN можно настроить так, чтобы приложения не имели доступа к сети до тех пор, пока не будет установлено VPN-соединение. Это не позволяет приложениям отправлять данные в другие сети.
• Закрепление сертификата. Основные библиотеки Android теперь поддерживают закрепление сертификата . Закрепленные домены получают ошибку проверки сертификата, если сертификат не связан с набором ожидаемых сертификатов. Это защищает от возможного компрометации центров сертификации.
• Улучшенное отображение разрешений Android: разрешения организованы в группы, которые более понятны пользователям. Во время просмотра разрешений пользователь может щелкнуть разрешение, чтобы просмотреть более подробную информацию о разрешении.
• Усиление установки installd: демон installd не запускается от имени пользователя root, что уменьшает потенциальную поверхность атаки для повышения привилегий root.
• Усиление сценариев инициализации: сценарии инициализации теперь применяют семантику O_NOFOLLOW для предотвращения атак, связанных с символическими ссылками.
• FORTIFY_SOURCE : Android теперь реализует FORTIFY_SOURCE . Это используется системными библиотеками и приложениями для предотвращения повреждения памяти.
• Конфигурация ContentProvider по умолчанию: в приложениях, ориентированных на уровень API 17, для каждого контент-провайдера по умолчанию установлено export false , что уменьшает поверхность атаки по умолчанию для приложений.
• Криптография: изменены реализации SecureRandom и Cipher.RSA по умолчанию для использования OpenSSL. Добавлена ​​поддержка SSL-сокетов для TLSv1.1 и TLSv1.2 с использованием OpenSSL 1.0.1.
• Исправления безопасности. Обновленные библиотеки с открытым исходным кодом с исправлениями безопасности включают WebKit, libpng, OpenSSL и LibXML. Android 4.2 также включает исправления уязвимостей, характерных для Android. Информация об этих уязвимостях была предоставлена ​​членам Open Handset Alliance, а исправления доступны в Android Open Source Project. В целях повышения безопасности некоторые устройства с более ранними версиями Android также могут включать эти исправления.

Android предоставляет многоуровневую модель безопасности, описанную в обзоре безопасности Android . Каждое обновление Android включает в себя десятки улучшений безопасности для защиты пользователей. Ниже приведены некоторые улучшения безопасности, представленные в Android 4.2:

• Проверка приложений. Пользователи могут включить функцию «Проверка приложений» и проверить приложения проверяющим перед установкой. Проверка приложения может предупредить пользователя, если он попытается установить приложение, которое может быть вредоносным; если приложение особенно плохое, оно может заблокировать установку.
• Больше контроля над SMS-сообщениями премиум-класса. Android предоставляет уведомление, если приложение пытается отправить SMS на короткий код, использующий услуги премиум-класса, за которые может взиматься дополнительная плата. Пользователь может выбрать, разрешить ли приложению отправлять сообщение или заблокировать его.
• Always-on VPN: VPN можно настроить так, чтобы приложения не имели доступа к сети до тех пор, пока не будет установлено VPN-соединение. Это не позволяет приложениям отправлять данные в другие сети.
• Закрепление сертификата. Основные библиотеки Android теперь поддерживают закрепление сертификата . Закрепленные домены получают ошибку проверки сертификата, если сертификат не связан с набором ожидаемых сертификатов. Это защищает от возможного компрометации центров сертификации.
• Улучшенное отображение разрешений Android: разрешения организованы в группы, которые более понятны пользователям. Во время просмотра разрешений пользователь может щелкнуть разрешение, чтобы просмотреть более подробную информацию о разрешении.
• Усиление установки installd: демон installd не запускается от имени пользователя root, что уменьшает потенциальную поверхность атаки для повышения привилегий root.
• Усиление сценариев инициализации: сценарии инициализации теперь применяют семантику O_NOFOLLOW для предотвращения атак, связанных с символическими ссылками.
• FORTIFY_SOURCE : Android теперь реализует FORTIFY_SOURCE . Это используется системными библиотеками и приложениями для предотвращения повреждения памяти.
• Конфигурация ContentProvider по умолчанию: в приложениях, ориентированных на уровень API 17, для каждого контент-провайдера по умолчанию установлено export false , что уменьшает поверхность атаки по умолчанию для приложений.
• Криптография: изменены реализации SecureRandom и Cipher.RSA по умолчанию для использования OpenSSL. Добавлена ​​поддержка SSL-сокетов для TLSv1.1 и TLSv1.2 с использованием OpenSSL 1.0.1.
• Исправления безопасности. Обновленные библиотеки с открытым исходным кодом с исправлениями безопасности включают WebKit, libpng, OpenSSL и LibXML. Android 4.2 также включает исправления уязвимостей, характерных для Android. Информация об этих уязвимостях была предоставлена ​​членам Open Handset Alliance, а исправления доступны в Android Open Source Project. В целях повышения безопасности некоторые устройства с более ранними версиями Android также могут включать эти исправления.

Android предоставляет многоуровневую модель безопасности, описанную в обзоре безопасности Android . Каждое обновление Android включает в себя десятки улучшений безопасности для защиты пользователей. Ниже приведены некоторые улучшения безопасности, представленные в Android 4.2:

• Проверка приложений: пользователи могут включить функцию «Проверка приложений» и проверить приложения проверяющим перед установкой. Проверка приложения может предупредить пользователя, если он попытается установить приложение, которое может быть вредоносным; если приложение особенно плохое, оно может заблокировать установку.
• Больше контроля над SMS-сообщениями премиум-класса. Android предоставляет уведомление, если приложение пытается отправить SMS на короткий код, использующий услуги премиум-класса, за которые может взиматься дополнительная плата. Пользователь может выбрать, разрешить ли приложению отправлять сообщение или заблокировать его.
• Always-on VPN: VPN можно настроить так, чтобы приложения не имели доступа к сети до тех пор, пока не будет установлено VPN-соединение. Это не позволяет приложениям отправлять данные в другие сети.
• Закрепление сертификата. Основные библиотеки Android теперь поддерживают закрепление сертификата . Закрепленные домены получают ошибку проверки сертификата, если сертификат не связан с набором ожидаемых сертификатов. Это защищает от возможного компрометации центров сертификации.
• Улучшенное отображение разрешений Android: разрешения организованы в группы, которые более понятны пользователям. Во время просмотра разрешений пользователь может щелкнуть разрешение, чтобы просмотреть более подробную информацию о разрешении.
• Усиление установки installd: демон installd не запускается от имени пользователя root, что уменьшает потенциальную поверхность атаки для повышения привилегий root.
• Усиление сценариев инициализации: сценарии инициализации теперь применяют семантику O_NOFOLLOW для предотвращения атак, связанных с символическими ссылками.
• FORTIFY_SOURCE : Android теперь реализует FORTIFY_SOURCE . Это используется системными библиотеками и приложениями для предотвращения повреждения памяти.
• Конфигурация ContentProvider по умолчанию: в приложениях, ориентированных на уровень API 17, для каждого контент-провайдера по умолчанию установлено export false , что уменьшает поверхность атаки по умолчанию для приложений.
• Криптография: изменены реализации SecureRandom и Cipher.RSA по умолчанию для использования OpenSSL. Добавлена ​​поддержка SSL-сокетов для TLSv1.1 и TLSv1.2 с использованием OpenSSL 1.0.1.
• Исправления безопасности. Обновленные библиотеки с открытым исходным кодом с исправлениями безопасности включают WebKit, libpng, OpenSSL и LibXML. Android 4.2 также включает исправления уязвимостей, характерных для Android. Информация об этих уязвимостях была предоставлена ​​членам Open Handset Alliance, а исправления доступны в Android Open Source Project. В целях повышения безопасности некоторые устройства с более ранними версиями Android также могут включать эти исправления.

Android предоставляет многоуровневую модель безопасности, описанную в обзоре безопасности Android . Каждое обновление Android включает в себя десятки улучшений безопасности для защиты пользователей. Ниже приведены некоторые улучшения безопасности, представленные в Android 4.2:

• Проверка приложений: пользователи могут включить функцию «Проверка приложений» и проверить приложения проверяющим перед установкой. Проверка приложения может предупредить пользователя, если он попытается установить приложение, которое может быть вредоносным; если приложение особенно плохое, оно может заблокировать установку.
• Больше контроля над SMS-сообщениями премиум-класса. Android предоставляет уведомление, если приложение пытается отправить SMS на короткий код, использующий услуги премиум-класса, за которые может взиматься дополнительная плата. Пользователь может выбрать, разрешить ли приложению отправлять сообщение или заблокировать его.
• Always-on VPN: VPN можно настроить так, чтобы приложения не имели доступа к сети до тех пор, пока не будет установлено VPN-соединение. Это не позволяет приложениям отправлять данные в другие сети.
• Закрепление сертификата. Основные библиотеки Android теперь поддерживают закрепление сертификата . Закрепленные домены получают ошибку проверки сертификата, если сертификат не связан с набором ожидаемых сертификатов. Это защищает от возможного компрометации центров сертификации.
• Улучшенное отображение разрешений Android: разрешения организованы в группы, которые более понятны пользователям. Во время просмотра разрешений пользователь может щелкнуть разрешение, чтобы просмотреть более подробную информацию о разрешении.
• Усиление установки installd: демон installd не запускается от имени пользователя root, что уменьшает потенциальную поверхность атаки для повышения привилегий root.
• Усиление сценариев инициализации: сценарии инициализации теперь применяют семантику O_NOFOLLOW для предотвращения атак, связанных с символическими ссылками.
• FORTIFY_SOURCE : Android теперь реализует FORTIFY_SOURCE . Это используется системными библиотеками и приложениями для предотвращения повреждения памяти.
• Конфигурация ContentProvider по умолчанию: в приложениях, ориентированных на уровень API 17, для каждого контент-провайдера по умолчанию установлено export false , что уменьшает поверхность атаки по умолчанию для приложений.
• Криптография: изменены реализации SecureRandom и Cipher.RSA по умолчанию для использования OpenSSL. Добавлена ​​поддержка SSL-сокетов для TLSv1.1 и TLSv1.2 с использованием OpenSSL 1.0.1.
• Исправления безопасности. Обновленные библиотеки с открытым исходным кодом с исправлениями безопасности включают WebKit, libpng, OpenSSL и LibXML. Android 4.2 также включает исправления уязвимостей, характерных для Android. Информация об этих уязвимостях была предоставлена ​​членам Open Handset Alliance, а исправления доступны в Android Open Source Project. В целях повышения безопасности некоторые устройства с более ранними версиями Android также могут включать эти исправления.

Android provides a multi-layered security model described in the Android Security Overview. Each update to Android includes dozens of security enhancements to protect users. The following are some of the security enhancements introduced in Android versions 1.5 through 4.1:

Android 1.5

• ProPolice to prevent stack buffer overruns (-fstack-protector)
• safe_iop to reduce integer overflows
• Extensions to OpenBSD dlmalloc to prevent double free() vulnerabilities and to prevent chunk consolidation attacks. Chunk consolidation attacks are a common way to exploit heap corruption.
• OpenBSD calloc to prevent integer overflows during memory allocation

Android 2.3

• Format string vulnerability protections (-Wformat-security -Werror=format-security)
• Hardware-based No eXecute (NX) to prevent code execution on the stack and heap
• Linux mmap_min_addr to mitigate null pointer dereference privilege escalation (further enhanced in Android 4.1)

Android 4.0

Address Space Layout Randomization (ASLR) to randomize key locations in memory

Android 4.1

• PIE (Position Independent Executable) support
• Read-only relocations / immediate binding (-Wl,-z,relro -Wl,-z,now)
• dmesg_restrict enabled (avoid leaking kernel addresses)
• kptr_restrict enabled (avoid leaking kernel addresses)