Cải tiến bảo mật

Android liên tục cải thiện các khả năng và dịch vụ bảo mật của mình. Xem danh sách các cải tiến theo bản phát hành trong điều hướng bên trái.

Android 14

Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 14:

  • Hardware-assisted AddressSanitizer (HWASan), introduced in Android 10, is a memory error detection tool similar to AddressSanitizer. Android 14 brings significant improvements to HWASan. Learn how it helps prevent bugs from making it into Android releases, HWAddressSanitizer
  • In Android 14, starting with apps that share location data with third-parties, the system runtime permission dialog now includes a clickable section that highlights the app's data-sharing practices, including information such as why an app may decide to share data with third parties.
  • Android 12 introduced an option to disable 2G support at the modem level, which protects users from the inherent security risk from 2G's obsolete security model. Recognizing how critical disabling 2G could be for enterprise customers, Android 14 enables this security feature in Android Enterprise, introducing support for IT admins to restrict the ability of a managed device to downgrade to 2G connectivity.
  • Added support to reject null-ciphered cellular connections, ensuring that circuit-switched voice and SMS traffic is always encrypted and protected from passive over-the-air interception. Learn more about Android's program to harden cellular connectivity.
  • Added support for multiple IMEIs
  • Since Android 14, AES-HCTR2 is the preferred mode of filenames encryption for devices with accelerated cryptography instructions.
  • Cellular connectivity
  • Documentation added for Android Safety Center
  • If your app targets Android 14 and uses Dynamic Code Loading (DCL), all dynamically-loaded files must be marked as read-only. Otherwise, the system throws an exception. We recommend that apps avoid dynamically loading code whenever possible, as doing so greatly increases the risk that an app can be compromised by code injection or code tampering.

Check out our full AOSP release notes and the Android Developer features and changes list.

Android 13

Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 13:

  • Android 13 adds multi-document presentation support. This new Presentation Session interface enables an application to do a multi-document presentation, something which isn't possible with the existing API. For further information, refer to Identity Credential
  • In Android 13, intents originating from external apps are delivered to an exported component if and only if the intents match their declared intent-filter elements.
  • Open Mobile API (OMAPI) is a standard API used to communicate with a device's Secure Element. Before Android 13, only applications and framework modules had access to this interface. By converting it to a vendor stable interface, HAL modules are also capable of communicating with the secure elements through the OMAPI service. For more information, see OMAPI Vendor Stable Interface.
  • As of Android 13-QPR, shared UIDs are deprecated. Users of Android 13 or higher should put the line `android:sharedUserMaxSdkVersion="32"` in their manifest. This entry prevents new users from getting a shared UID. For further information on UIDs, see Application signing.
  • Android 13 added support Keystore symmetric cryptographic primitives such as AES (Advanced Encryption Standard), HMAC (Keyed-Hash Message Authentication Code), and asymmetric cryptographic algorithms (including Elliptic Curve, RSA2048, RSA4096, and Curve 25519)
  • Android 13 (API level 33) and higher supports a runtime permission for sending non-exempt notifications from an app. This gives users control over which permission notifications they see.
  • Added per-use prompt for apps requesting access to all device logs, giving users the ability to allow or deny access.
  • introduced the Android Virtualization Framework (AVF), which brings together different hypervisors under one framework with standardized APIs. It provides secure and private execution environments for executing workloads isolated by hypervisor.
  • Introduced APK signature scheme v3.1 All new key rotations that use apksigner will use the v3.1 signature scheme by default to target rotation for Android 13 and higher.

Check out our full AOSP release notes and the Android Developer features and changes list.

Android 12

Mỗi bản phát hành Android đều bao gồm hàng tá cải tiến bảo mật để bảo vệ người dùng. Dưới đây là một số cải tiến bảo mật chính có trong Android 12:

  • Android 12 giới thiệu API BiometricManager.Strings , cung cấp các chuỗi được bản địa hóa cho các ứng dụng sử dụng BiometricPrompt để xác thực. Các chuỗi này nhằm mục đích nhận biết thiết bị và cung cấp thông tin cụ thể hơn về (các) loại xác thực nào có thể được sử dụng. Android 12 cũng hỗ trợ cảm biến vân tay dưới màn hình
  • Hỗ trợ thêm cho cảm biến vân tay dưới màn hình
  • Giới thiệu Ngôn ngữ định nghĩa giao diện Android vân tay (AIDL)
  • Hỗ trợ AIDL khuôn mặt mới
  • Giới thiệu Rust làm ngôn ngữ phát triển nền tảng
  • Đã thêm tùy chọn để người dùng chỉ cấp quyền truy cập vào vị trí gần đúng của họ
  • Đã thêm chỉ báo Quyền riêng tư trên thanh trạng thái khi ứng dụng đang sử dụng máy ảnh hoặc micrô
  • Lõi điện toán riêng tư (PCC) của Android
  • Đã thêm tùy chọn tắt hỗ trợ 2G

Android 11

Every Android release includes dozens of security enhancements to protect users. For a list of some of the major security enhancements available in Android 11, see the Android Release Notes.

Android 10

Mỗi bản phát hành Android đều bao gồm hàng tá cải tiến bảo mật để bảo vệ người dùng. Android 10 bao gồm một số cải tiến về bảo mật và quyền riêng tư. Xem ghi chú phát hành Android 10 để biết danh sách đầy đủ các thay đổi trong Android 10.

Bảo vệ

Giới hạnKhử trùng

Android 10 triển khai BoundsSanitizer (BoundSan) trong Bluetooth và codec. BoundSan sử dụng chất khử trùng giới hạn của UBSan. Giảm thiểu này được kích hoạt ở cấp độ mỗi mô-đun. Nó giúp giữ an toàn cho các thành phần quan trọng của Android và không nên bị tắt. BoundSan được bật trong các codec sau:

  • libFLAC
  • libavcdec
  • libavcenc
  • libhevcdec
  • libmpeg2
  • libopus
  • libvpx
  • libspeexresampler
  • libvorbisidec
  • libaac
  • libxaac

Bộ nhớ chỉ thực thi

Theo mặc định, các phần mã thực thi cho tệp nhị phân của hệ thống AArch64 được đánh dấu là chỉ thực thi (không thể đọc được) như một biện pháp giảm thiểu tăng cường chống lại các cuộc tấn công tái sử dụng mã đúng lúc. Mã kết hợp dữ liệu và mã với nhau cũng như mã kiểm tra có mục đích các phần này (không ánh xạ lại các phân đoạn bộ nhớ trước để có thể đọc được) sẽ không còn hoạt động nữa. Các ứng dụng có SDK mục tiêu là Android 10 (API cấp 29 trở lên) sẽ bị ảnh hưởng nếu ứng dụng cố đọc các phần mã của thư viện hệ thống hỗ trợ bộ nhớ chỉ thực thi (XOM) trong bộ nhớ mà không đánh dấu phần đó là có thể đọc được trước.

Quyền truy cập mở rộng

Tác nhân tin cậy, cơ chế cơ bản được sử dụng bởi các cơ chế xác thực bậc ba như Smart Lock, chỉ có thể mở rộng khả năng mở khóa trong Android 10. Tác nhân tin cậy không thể mở khóa thiết bị bị khóa nữa và chỉ có thể giữ thiết bị luôn mở khóa trong tối đa 4 giờ.

Xác thực khuôn mặt

Xác thực khuôn mặt cho phép người dùng mở khóa thiết bị của họ chỉ bằng cách nhìn vào mặt trước của thiết bị. Android 10 bổ sung hỗ trợ cho ngăn xếp xác thực khuôn mặt mới có thể xử lý khung camera một cách an toàn, đảm bảo tính bảo mật và quyền riêng tư trong quá trình xác thực khuôn mặt trên phần cứng được hỗ trợ. Android 10 cũng cung cấp một cách dễ dàng để triển khai tuân thủ bảo mật nhằm cho phép tích hợp ứng dụng cho các giao dịch như ngân hàng trực tuyến hoặc các dịch vụ khác.

Vệ sinh tràn số nguyên

Android 10 kích hoạt tính năng Integer Overflow Sanitization (IntSan) trong codec phần mềm. Đảm bảo rằng hiệu suất phát lại có thể chấp nhận được đối với mọi codec không được hỗ trợ trong phần cứng của thiết bị. IntSan được bật trong các codec sau:

  • libFLAC
  • libavcdec
  • libavcenc
  • libhevcdec
  • libmpeg2
  • libopus
  • libvpx
  • libspeexresampler
  • libvorbisidec

Các thành phần hệ thống mô-đun

Android 10 mô-đun hóa một số thành phần hệ thống Android và cho phép chúng được cập nhật ngoài chu kỳ phát hành Android thông thường. Một số mô-đun bao gồm:

OEMCrypto

Android 10 sử dụng API OEMCrypto phiên bản 15.

Scudo

Scudo là một công cụ cấp phát bộ nhớ ở chế độ người dùng động được thiết kế để có khả năng phục hồi tốt hơn trước các lỗ hổng liên quan đến heap. Nó cung cấp các nguyên hàm phân bổ và phân bổ C tiêu chuẩn, cũng như các nguyên hàm C++.

BóngCuộc GọiChồng

ShadowCallStack (SCS) là chế độ thiết bị LLVM bảo vệ chống ghi đè địa chỉ trả về (như tràn bộ đệm ngăn xếp) bằng cách lưu địa chỉ trả về của hàm vào một phiên bản ShadowCallStack được phân bổ riêng trong prolog hàm của các hàm không phải lá và tải địa chỉ trả về từ phiên bản ShadowCallStack trong phần kết của hàm.

Mở rộng WPA3 và Wi-Fi

Android 10 bổ sung hỗ trợ cho các tiêu chuẩn bảo mật Wi-Fi Protected Access 3 (WPA3) và Wi-Fi Enhanced Open để mang lại sự riêng tư tốt hơn và khả năng chống lại các cuộc tấn công đã biết.

Sự riêng tư

Quyền truy cập ứng dụng khi nhắm mục tiêu Android 9 trở xuống

Nếu ứng dụng của bạn chạy trên Android 10 trở lên nhưng nhắm mục tiêu Android 9 (API cấp 28) trở xuống thì nền tảng sẽ áp dụng hành vi sau:

  • Nếu ứng dụng của bạn khai báo phần tử <uses-permission> cho ACCESS_FINE_LOCATION hoặc ACCESS_COARSE_LOCATION thì hệ thống sẽ tự động thêm phần tử <uses-permission> cho ACCESS_BACKGROUND_LOCATION trong khi cài đặt.
  • Nếu ứng dụng của bạn yêu cầu ACCESS_FINE_LOCATION hoặc ACCESS_COARSE_LOCATION thì hệ thống sẽ tự động thêm ACCESS_BACKGROUND_LOCATION vào yêu cầu.

Hạn chế hoạt động nền

Bắt đầu từ Android 10, hệ thống đặt ra các hạn chế về việc bắt đầu các hoạt động từ nền . Thay đổi hành vi này giúp giảm thiểu sự gián đoạn cho người dùng và giúp người dùng kiểm soát nhiều hơn những gì hiển thị trên màn hình của họ. Miễn là ứng dụng của bạn bắt đầu hoạt động do tương tác trực tiếp của người dùng thì rất có thể ứng dụng của bạn sẽ không bị ảnh hưởng bởi những hạn chế này.
Để tìm hiểu thêm về giải pháp thay thế được đề xuất cho việc bắt đầu các hoạt động từ nền, hãy xem hướng dẫn về cách cảnh báo người dùng về các sự kiện nhạy cảm về thời gian trong ứng dụng của bạn.

Siêu dữ liệu máy ảnh

Android 10 thay đổi phạm vi thông tin mà phương thức getCameraCharacteristics() trả về theo mặc định. Đặc biệt, ứng dụng của bạn phải có quyền CAMERA để truy cập vào siêu dữ liệu dành riêng cho thiết bị có trong giá trị trả về của phương thức này.
Để tìm hiểu thêm về những thay đổi này, hãy xem phần về các trường máy ảnh yêu cầu quyền .

Dữ liệu bảng nhớ tạm

Trừ khi ứng dụng của bạn là trình chỉnh sửa phương thức nhập mặc định (IME) hoặc là ứng dụng hiện được tập trung, ứng dụng của bạn không thể truy cập dữ liệu bảng nhớ tạm trên Android 10 trở lên.

Vị trí thiết bị

Để hỗ trợ quyền kiểm soát bổ sung mà người dùng có đối với quyền truy cập của ứng dụng vào thông tin vị trí, Android 10 giới thiệu quyền ACCESS_BACKGROUND_LOCATION .
Không giống như các quyền ACCESS_FINE_LOCATIONACCESS_COARSE_LOCATION , quyền ACCESS_BACKGROUND_LOCATION chỉ ảnh hưởng đến quyền truy cập của ứng dụng vào vị trí khi ứng dụng chạy ở chế độ nền. Một ứng dụng được coi là đang truy cập vị trí ở chế độ nền trừ khi đáp ứng một trong các điều kiện sau:

  • Một hoạt động thuộc ứng dụng được hiển thị.
  • Ứng dụng đang chạy một dịch vụ trên nền trước đã khai báoloại dịch vụ trên nền trướclocation .
    Để khai báo loại dịch vụ nền trước cho một dịch vụ trong ứng dụng của bạn, hãy đặt targetSdkVersion hoặc compileSdkVersion của ứng dụng thành 29 hoặc cao hơn. Tìm hiểu thêm về cách các dịch vụ trên nền trước có thể tiếp tục các hành động do người dùng thực hiện yêu cầu quyền truy cập vào vị trí.

Lưu trữ ngoài

Theo mặc định, các ứng dụng nhắm mục tiêu Android 10 trở lên được cấp quyền truy cập có giới hạn vào bộ nhớ ngoài hoặc bộ nhớ có giới hạn . Những ứng dụng như vậy có thể xem các loại tệp sau trong thiết bị lưu trữ bên ngoài mà không cần yêu cầu bất kỳ quyền nào của người dùng liên quan đến bộ nhớ:

Để tìm hiểu thêm về bộ nhớ có giới hạn cũng như cách chia sẻ, truy cập và sửa đổi tệp được lưu trên thiết bị lưu trữ bên ngoài, hãy xem hướng dẫn về cách quản lý tệp trong bộ nhớ ngoài cũng như truy cập và sửa đổi tệp phương tiện .

Địa chỉ MAC ngẫu nhiên

Trên các thiết bị chạy Android 10 trở lên, hệ thống sẽ truyền địa chỉ MAC ngẫu nhiên theo mặc định.
Nếu ứng dụng của bạn xử lý trường hợp sử dụng của doanh nghiệp thì nền tảng sẽ cung cấp API cho một số hoạt động liên quan đến địa chỉ MAC:

  • Lấy địa chỉ MAC ngẫu nhiên : Ứng dụng của chủ sở hữu thiết bị và ứng dụng của chủ sở hữu hồ sơ có thể truy xuất địa chỉ MAC ngẫu nhiên được gán cho một mạng cụ thể bằng cách gọi getRandomizedMacAddress() .
  • Lấy địa chỉ MAC thực tế của nhà máy: Ứng dụng của chủ sở hữu thiết bị có thể truy xuất địa chỉ MAC phần cứng thực tế của thiết bị bằng cách gọi getWifiMacAddress() . Phương pháp này rất hữu ích để theo dõi nhóm thiết bị.

Mã nhận dạng thiết bị không thể đặt lại

Bắt đầu từ Android 10, các ứng dụng phải có quyền đặc quyền READ_PRIVILEGED_PHONE_STATE để truy cập vào số nhận dạng không thể đặt lại của thiết bị, bao gồm cả IMEI và số sê-ri.

Nếu ứng dụng của bạn không có quyền và bạn vẫn thử hỏi thông tin về số nhận dạng không thể đặt lại thì phản hồi của nền tảng sẽ thay đổi tùy theo phiên bản SDK mục tiêu:

  • Nếu ứng dụng của bạn nhắm mục tiêu Android 10 trở lên thì SecurityException sẽ xảy ra.
  • Nếu ứng dụng của bạn nhắm mục tiêu Android 9 (API cấp 28) trở xuống, phương thức sẽ trả về dữ liệu null hoặc dữ liệu giữ chỗ nếu ứng dụng có quyền READ_PHONE_STATE . Nếu không, SecurityException sẽ xảy ra.

Nhận dạng hoạt động thể chất

Android 10 giới thiệu quyền thời gian chạy android.permission.ACTIVITY_RECOGNITION cho các ứng dụng cần phát hiện số bước của người dùng hoặc phân loại hoạt động thể chất của người dùng, chẳng hạn như đi bộ, đi xe đạp hoặc di chuyển trong phương tiện. Điều này được thiết kế để cung cấp cho người dùng khả năng hiển thị cách sử dụng dữ liệu cảm biến thiết bị trong Cài đặt.
Một số thư viện trong dịch vụ Google Play, chẳng hạn như API nhận dạng hoạt độngAPI Google Fit , không cung cấp kết quả trừ khi người dùng cấp cho ứng dụng của bạn quyền này.
Các cảm biến tích hợp duy nhất trên thiết bị yêu cầu bạn khai báo quyền này là cảm biến bộ đếm bước và cảm biến phát hiện bước .
Nếu ứng dụng của bạn nhắm mục tiêu Android 9 (API cấp 28) trở xuống, hệ thống sẽ tự động cấp quyền android.permission.ACTIVITY_RECOGNITION cho ứng dụng của bạn, nếu cần, nếu ứng dụng của bạn đáp ứng từng điều kiện sau:

  • Tệp kê khai bao gồm quyền com.google.android.gms.permission.ACTIVITY_RECOGNITION .
  • Tệp kê khai không bao gồm quyền android.permission.ACTIVITY_RECOGNITION .

Nếu hệ thống tự động cấp quyền android.permission.ACTIVITY_RECOGNITION thì ứng dụng của bạn vẫn giữ quyền này sau khi bạn cập nhật ứng dụng của mình để nhắm mục tiêu Android 10. Tuy nhiên, người dùng có thể thu hồi quyền này bất kỳ lúc nào trong cài đặt hệ thống.

/proc/net hạn chế hệ thống tập tin

Trên các thiết bị chạy Android 10 trở lên, các ứng dụng không thể truy cập /proc/net , bao gồm thông tin về trạng thái mạng của thiết bị. Các ứng dụng cần quyền truy cập vào thông tin này, chẳng hạn như VPN, nên sử dụng lớp NetworkStatsManager hoặc ConnectivityManager .

Nhóm quyền đã bị xóa khỏi giao diện người dùng

Kể từ Android 10, các ứng dụng không thể tra cứu cách nhóm các quyền trong giao diện người dùng.

Loại bỏ mối quan hệ liên hệ

Bắt đầu từ Android 10, nền tảng này không theo dõi thông tin về mối quan hệ của người liên hệ. Do đó, nếu ứng dụng của bạn tiến hành tìm kiếm trên danh bạ của người dùng thì kết quả sẽ không được sắp xếp theo tần suất tương tác.
Hướng dẫn về ContactsProvider chứa thông báo mô tả các trường và phương thức cụ thể đã lỗi thời trên tất cả các thiết bị bắt đầu từ Android 10.

Hạn chế truy cập vào nội dung màn hình

Để bảo vệ nội dung trên màn hình của người dùng, Android 10 ngăn chặn quyền truy cập im lặng vào nội dung trên màn hình của thiết bị bằng cách thay đổi phạm vi của các quyền READ_FRAME_BUFFER , CAPTURE_VIDEO_OUTPUTCAPTURE_SECURE_VIDEO_OUTPUT . Kể từ Android 10, các quyền này chỉ có quyền truy cập bằng chữ ký .
Các ứng dụng cần truy cập nội dung màn hình của thiết bị phải sử dụng API MediaProjection , API này sẽ hiển thị lời nhắc yêu cầu người dùng đưa ra sự đồng ý.

Số sê-ri thiết bị USB

Nếu ứng dụng của bạn nhắm mục tiêu Android 10 trở lên thì ứng dụng của bạn không thể đọc số sê-ri cho đến khi người dùng cấp cho ứng dụng của bạn quyền truy cập vào thiết bị hoặc phụ kiện USB.
Để tìm hiểu thêm về cách làm việc với thiết bị USB, hãy xem hướng dẫn về cách định cấu hình máy chủ USB .

Wifi

Các ứng dụng nhắm mục tiêu Android 10 trở lên không thể bật hoặc tắt Wi-Fi. Phương thức WifiManager.setWifiEnabled() luôn trả về false .
Nếu bạn cần nhắc người dùng bật và tắt Wi-Fi, hãy sử dụng bảng cài đặt .

Hạn chế truy cập trực tiếp vào mạng Wi-Fi đã định cấu hình

Để bảo vệ quyền riêng tư của người dùng, việc định cấu hình thủ công danh sách mạng Wi-Fi bị hạn chế ở các ứng dụng hệ thống và bộ điều khiển chính sách thiết bị (DPC) . Một DPC nhất định có thể là chủ sở hữu thiết bị hoặc chủ sở hữu hồ sơ.
Nếu ứng dụng của bạn nhắm mục tiêu Android 10 trở lên và đó không phải là ứng dụng hệ thống hoặc DPC thì các phương pháp sau sẽ không trả về dữ liệu hữu ích:

Android 9

Every Android release includes dozens of security enhancements to protect users. For a list of some of the major security enhancements available in Android 9, see the Android Release Notes.

Android 8

Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 8.0:

  • Encryption. Added support to evict key in work profile.
  • Verified Boot. Added Android Verified Boot (AVB). Verified Boot codebase supporting rollback protection for use in boot loaders added to AOSP. Recommend bootloader support for rollback protection for the HLOS. Recommend boot loaders can only be unlocked by user physically interacting with the device.
  • Lock screen. Added support for using tamper-resistant hardware to verify lock screen credential.
  • KeyStore. Required key attestation for all devices that ship with Android 8.0+. Added ID attestation support to improve Zero Touch Enrollment.
  • Sandboxing. More tightly sandboxed many components using Project Treble's standard interface between framework and device-specific components. Applied seccomp filtering to all untrusted apps to reduce the kernel's attack surface. WebView is now run in an isolated process with very limited access to the rest of the system.
  • Kernel hardening. Implemented hardened usercopy, PAN emulation, read-only after init, and KASLR.
  • Userspace hardening. Implemented CFI for the media stack. App overlays can no longer cover system-critical windows and users have a way to dismiss them.
  • Streaming OS update. Enabled updates on devices that are are low on disk space.
  • Install unknown apps. Users must grant permission to install apps from a source that isn't a first-party app store.
  • Privacy. Android ID (SSAID) has a different value for each app and each user on the device. For web browser apps, Widevine Client ID returns a different value for each app package name and web origin. net.hostname is now empty and the dhcp client no longer sends a hostname. android.os.Build.SERIAL has been replaced with the Build.SERIAL API which is protected behind a user-controlled permission. Improved MAC address randomization in some chipsets.

Android 7

Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 7.0:

  • File-based encryption. Encrypting at the file level, instead of encrypting the entire storage area as a single unit, better isolates and protects individual users and profiles (such as personal and work) on a device.
  • Direct Boot. Enabled by file-based encryption, Direct Boot allows certain apps such as alarm clock and accessibility features to run when device is powered on but not unlocked.
  • Verified Boot. Verified Boot is now strictly enforced to prevent compromised devices from booting; it supports error correction to improve reliability against non-malicious data corruption.
  • SELinux. Updated SELinux configuration and increased seccomp coverage further locks down the application sandbox and reduces attack surface.
  • Library load-order randomization and improved ASLR. Increased randomness makes some code-reuse attacks less reliable.
  • Kernel hardening. Added additional memory protection for newer kernels by marking portions of kernel memory as read-only, restricting kernel access to userspace addresses and further reducing the existing attack surface.
  • APK signature scheme v2. Introduced a whole-file signature scheme that improves verification speed and strengthens integrity guarantees.
  • Trusted CA store. To make it easier for apps to control access to their secure network traffic, user-installed certificate authorities and those installed through Device Admin APIs are no longer trusted by default for apps targeting API Level 24+. Additionally, all new Android devices must ship with the same trusted CA store.
  • Network Security Config. Configure network security and TLS through a declarative configuration file.

Android 6

Mỗi bản phát hành Android đều bao gồm hàng tá cải tiến bảo mật để bảo vệ người dùng. Dưới đây là một số cải tiến bảo mật chính có sẵn trong Android 6.0:

  • Quyền thời gian chạy . Các ứng dụng yêu cầu quyền trong thời gian chạy thay vì được cấp vào thời gian cài đặt Ứng dụng. Người dùng có thể bật và tắt quyền cho cả ứng dụng M và trước M.
  • Khởi động đã được xác minh . Một tập hợp các kiểm tra mật mã của phần mềm hệ thống được tiến hành trước khi thực thi để đảm bảo điện thoại hoạt động tốt từ bộ nạp khởi động cho đến hệ điều hành.
  • Bảo mật tách biệt phần cứng . Lớp trừu tượng phần cứng mới (HAL) được sử dụng bởi API vân tay, màn hình khóa, mã hóa thiết bị và chứng chỉ ứng dụng khách để bảo vệ khóa chống lại sự xâm nhập hạt nhân và / hoặc các cuộc tấn công vật lý cục bộ
  • Dấu vân tay . Giờ đây, thiết bị có thể được mở khóa chỉ bằng một cú chạm. Các nhà phát triển cũng có thể tận dụng các API mới để sử dụng dấu vân tay để khóa và mở khóa các khóa mã hóa.
  • Sử dụng thẻ SD . Phương tiện có thể tháo rời có thể được sử dụng cho một thiết bị và mở rộng bộ nhớ khả dụng cho dữ liệu cục bộ của ứng dụng, ảnh, video, v.v., nhưng vẫn được bảo vệ bằng mã hóa cấp khối.
  • Xóa lưu lượng văn bản . Các nhà phát triển có thể sử dụng Chế độ nghiêm ngặt mới để đảm bảo ứng dụng của họ không sử dụng văn bản rõ ràng.
  • Làm cứng hệ thống . Tăng cường hệ thống thông qua các chính sách do SELinux thực thi. Điều này cung cấp khả năng cách ly tốt hơn giữa những người dùng, lọc IOCTL, giảm mối đe dọa từ các dịch vụ bị lộ, thắt chặt hơn nữa các miền SELinux và truy cập cực kỳ hạn chế / proc.
  • Kiểm soát truy cập USB: Người dùng phải xác nhận để cho phép USB truy cập vào các tệp, bộ nhớ hoặc chức năng khác trên điện thoại. Mặc định hiện chỉ bị tính phí khi quyền truy cập vào bộ nhớ yêu cầu sự chấp thuận rõ ràng của người dùng.

Android 5

5.0

Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 5.0:

  • Encrypted by default. On devices that ship with L out-of-the-box, full disk encryption is enabled by default to improve protection of data on lost or stolen devices. Devices that update to L can be encrypted in Settings > Security.
  • Improved full disk encryption. The user password is protected against brute-force attacks using scrypt and, where available, the key is bound to the hardware keystore to prevent off-device attacks. As always, the Android screen lock secret and the device encryption key are not sent off the device or exposed to any application.
  • Android sandbox reinforced with SELinux. Android now requires SELinux in enforcing mode for all domains. SELinux is a mandatory access control (MAC) system in the Linux kernel used to augment the existing discretionary access control (DAC) security model. This new layer provides additional protection against potential security vulnerabilities.
  • Smart Lock. Android now includes trustlets that provide more flexibility for unlocking devices. For example, trustlets can allow devices to be unlocked automatically when close to another trusted device (via NFC, Bluetooth) or being used by someone with a trusted face.
  • Multi user, restricted profile, and guest modes for phones & tablets. Android now provides for multiple users on phones and includes a guest mode that can be used to provide easy temporary access to your device without granting access to your data and apps.
  • Updates to WebView without OTA. WebView can now be updated independent of the framework and without a system OTA. This will allow for faster response to potential security issues in WebView.
  • Updated cryptography for HTTPS and TLS/SSL. TLSv1.2 and TLSv1.1 is now enabled, Forward Secrecy is now preferred, AES-GCM is now enabled, and weak cipher suites (MD5, 3DES, and export cipher suites) are now disabled. See https://developer.android.com/reference/javax/net/ssl/SSLSocket.html for more details.
  • non-PIE linker support removed. Android now requires all dynamically linked executables to support PIE (position-independent executables). This enhances Android’s address space layout randomization (ASLR) implementation.
  • FORTIFY_SOURCE improvements. The following libc functions now implement FORTIFY_SOURCE protections: stpcpy(), stpncpy(), read(), recvfrom(), FD_CLR(), FD_SET(), and FD_ISSET(). This provides protection against memory-corruption vulnerabilities involving those functions.
  • Security Fixes. Android 5.0 also includes fixes for Android-specific vulnerabilities. Information about these vulnerabilities has been provided to Open Handset Alliance members, and fixes are available in Android Open Source Project. To improve security, some devices with earlier versions of Android may also include these fixes.

Android 4 trở xuống

Every Android release includes dozens of security enhancements to protect users. The following are some of the security enhancements available in Android 4.4:

  • Android sandbox reinforced with SELinux. Android now uses SELinux in enforcing mode. SELinux is a mandatory access control (MAC) system in the Linux kernel used to augment the existing discretionary access control (DAC) based security model. This provides additional protection against potential security vulnerabilities.
  • Per User VPN. On multi-user devices, VPNs are now applied per user. This can allow a user to route all network traffic through a VPN without affecting other users on the device.
  • ECDSA Provider support in AndroidKeyStore. Android now has a keystore provider that allows use of ECDSA and DSA algorithms.
  • Device Monitoring Warnings. Android provides users with a warning if any certificate has been added to the device certificate store that could allow monitoring of encrypted network traffic.
  • FORTIFY_SOURCE. Android now supports FORTIFY_SOURCE level 2, and all code is compiled with these protections. FORTIFY_SOURCE has been enhanced to work with clang.
  • Certificate Pinning. Android 4.4 detects and prevents the use of fraudulent Google certificates used in secure SSL/TLS communications.
  • Security Fixes. Android 4.4 also includes fixes for Android-specific vulnerabilities. Information about these vulnerabilities has been provided to Open Handset Alliance members and fixes are available in Android Open Source Project. To improve security, some devices with earlier versions of Android may also include these fixes.

Every Android release includes dozens of security enhancements to protect users. The following are some of the security enhancements available in Android 4.3:

  • Android sandbox reinforced with SELinux. This release strengthens the Android sandbox using the SELinux mandatory access control system (MAC) in the Linux kernel. SELinux reinforcement is invisible to users and developers, and adds robustness to the existing Android security model while maintaining compatibility with existing applications. To ensure continued compatibility this release allows the use of SELinux in a permissive mode. This mode logs any policy violations, but will not break applications or affect system behavior.
  • No setuid/setgid programs. Added support for filesystem capabilities to Android system files and removed all setuid/setguid programs.  This reduces root attack surface and the likelihood of potential security vulnerabilities.
  • ADB Authentication. Since Android 4.2.2, connections to ADB are authenticated with an RSA keypair. This prevents unauthorized use of ADB where the attacker has physical access to a device.
  • Restrict Setuid from Android Apps. The /system partition is now mounted nosuid for zygote-spawned processes, preventing Android applications from executing setuid programs. This reduces root attack surface and the likelihood of potential security vulnerabilities.
  • Capability bounding. Android zygote and ADB now use prctl(PR_CAPBSET_DROP) to drop unnecessary capabilities prior to executing applications. This prevents Android applications and applications launched from the shell from acquiring privileged capabilities.
  • AndroidKeyStore Provider. Android now has a keystore provider that allows applications to create exclusive use keys. This provides applications with an API to create or store private keys that cannot be used by other applications.
  • KeyChain isBoundKeyAlgorithm. Keychain API now provides a method (isBoundKeyType) that allows applications to confirm that system-wide keys are bound to a hardware root of trust for the device. This provides a place to create or store private keys that cannot be exported off the device, even in the event of a root compromise.
  • NO_NEW_PRIVS. Android zygote now uses prctl(PR_SET_NO_NEW_PRIVS) to block addition of new privileges prior to execution application code. This prevents Android applications from performing operations which can elevate privileges via execve. (This requires Linux kernel version 3.5 or greater).
  • FORTIFY_SOURCE enhancements. Enabled FORTIFY_SOURCE on Android x86 and MIPS and fortified strchr(), strrchr(), strlen(), and umask() calls. This can detect potential memory corruption vulnerabilities or unterminated string constants.
  • Relocation protections. Enabled read only relocations (relro) for statically linked executables and removed all text relocations in Android code. This provides defense in depth against potential memory corruption vulnerabilities.
  • Improved EntropyMixer. EntropyMixer now writes entropy at shutdown / reboot, in addition to periodic mixing. This allows retention of all entropy generated while devices are powered on, and is especially useful for devices that are rebooted immediately after provisioning.
  • Security Fixes. Android 4.3 also includes fixes for Android-specific vulnerabilities. Information about these vulnerabilities has been provided to Open Handset Alliance members and fixes are available in Android Open Source Project. To improve security, some devices with earlier versions of Android may also include these fixes.

Android cung cấp mô hình bảo mật nhiều lớp được mô tả trong Tổng quan về bảo mật Android . Mỗi bản cập nhật cho Android bao gồm hàng tá cải tiến bảo mật để bảo vệ người dùng. Sau đây là một số cải tiến bảo mật được giới thiệu trong Android 4.2:

  • Xác minh ứng dụng - Người dùng có thể chọn bật “Xác minh ứng dụng" và để người xác minh ứng dụng sàng lọc ứng dụng trước khi cài đặt. Xác minh ứng dụng có thể cảnh báo người dùng nếu họ cố gắng cài đặt ứng dụng có thể gây hại; nếu ứng dụng đặc biệt tồi tệ, nó có thể chặn cài đặt.
  • Kiểm soát nhiều hơn đối với SMS cao cấp - Android sẽ cung cấp thông báo nếu một ứng dụng cố gắng gửi SMS tới một mã ngắn sử dụng các dịch vụ cao cấp có thể gây ra các khoản phí bổ sung. Người dùng có thể chọn cho phép ứng dụng gửi tin nhắn hoặc chặn tin nhắn đó.
  • VPN luôn bật - VPN có thể được định cấu hình để các ứng dụng sẽ không có quyền truy cập vào mạng cho đến khi kết nối VPN được thiết lập. Điều này ngăn các ứng dụng gửi dữ liệu qua các mạng khác.
  • Ghim chứng chỉ - Các thư viện lõi của Android hiện hỗ trợ tính năng ghim chứng chỉ . Các miền được ghim sẽ nhận được lỗi xác thực chứng chỉ nếu chứng chỉ không liên kết với một tập hợp các chứng chỉ mong đợi. Điều này bảo vệ khỏi sự xâm phạm có thể xảy ra của Tổ chức phát hành chứng chỉ.
  • Cải thiện hiển thị các quyền của Android - Các quyền đã được sắp xếp thành các nhóm để người dùng dễ hiểu hơn. Trong quá trình xem xét quyền, người dùng có thể nhấp vào quyền để xem thông tin chi tiết hơn về quyền.
  • cứng installd - Daemon installd không chạy với tư cách là người dùng root, làm giảm khả năng tấn công bề mặt để leo thang đặc quyền root.
  • init script cứng lại - init script hiện áp dụng ngữ nghĩa O_NOFOLLOW để ngăn chặn các cuộc tấn công liên quan đến liên kết biểu tượng.
  • FORTIFY_SOURCE - Android hiện triển khai FORTIFY_SOURCE . Điều này được sử dụng bởi các thư viện hệ thống và các ứng dụng để ngăn ngừa hỏng bộ nhớ.
  • Cấu hình mặc định của ContentProvider - Các ứng dụng nhắm mục tiêu API cấp 17 sẽ có "xuất" được đặt thành "false" theo mặc định cho mỗi Nhà cung cấp nội dung , giảm bề mặt tấn công mặc định cho các ứng dụng.
  • Cryptography - Đã sửa đổi các triển khai mặc định của SecureRandom và Cipher.RSA để sử dụng OpenSSL. Đã thêm hỗ trợ SSL Socket cho TLSv1.1 và TLSv1.2 bằng OpenSSL 1.0.1
  • Các bản sửa lỗi bảo mật - Các thư viện nguồn mở được nâng cấp với các bản sửa lỗi bảo mật bao gồm WebKit, libpng, OpenSSL và LibXML. Android 4.2 cũng bao gồm các bản sửa lỗi cho các lỗ hổng dành riêng cho Android. Thông tin về các lỗ hổng này đã được cung cấp cho các thành viên của Open Handset Alliance và các bản sửa lỗi có sẵn trong Dự án nguồn mở Android. Để cải thiện bảo mật, một số thiết bị có phiên bản Android cũ hơn cũng có thể bao gồm các bản sửa lỗi này.

Android provides a multi-layered security model described in the Android Security Overview. Each update to Android includes dozens of security enhancements to protect users. The following are some of the security enhancements introduced in Android versions 1.5 through 4.1:

Android 1.5
  • ProPolice to prevent stack buffer overruns (-fstack-protector)
  • safe_iop to reduce integer overflows
  • Extensions to OpenBSD dlmalloc to prevent double free() vulnerabilities and to prevent chunk consolidation attacks. Chunk consolidation attacks are a common way to exploit heap corruption.
  • OpenBSD calloc to prevent integer overflows during memory allocation
Android 2.3
  • Format string vulnerability protections (-Wformat-security -Werror=format-security)
  • Hardware-based No eXecute (NX) to prevent code execution on the stack and heap
  • Linux mmap_min_addr to mitigate null pointer dereference privilege escalation (further enhanced in Android 4.1)
Android 4.0
Address Space Layout Randomization (ASLR) to randomize key locations in memory
Android 4.1
  • PIE (Position Independent Executable) support
  • Read-only relocations / immediate binding (-Wl,-z,relro -Wl,-z,now)
  • dmesg_restrict enabled (avoid leaking kernel addresses)
  • kptr_restrict enabled (avoid leaking kernel addresses)