Android liên tục cải thiện các khả năng và dịch vụ bảo mật của mình. Xem danh sách các cải tiến theo bản phát hành trong điều hướng bên trái.
Android 14
Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 14:
- Hardware-assisted AddressSanitizer (HWASan), introduced in Android 10, is a memory error detection tool similar to AddressSanitizer. Android 14 brings significant improvements to HWASan. Learn how it helps prevent bugs from making it into Android releases, HWAddressSanitizer
- In Android 14, starting with apps that share location data with third-parties, the system runtime permission dialog now includes a clickable section that highlights the app's data-sharing practices, including information such as why an app may decide to share data with third parties.
- Android 12 introduced an option to disable 2G support at the modem level, which protects users from the inherent security risk from 2G's obsolete security model. Recognizing how critical disabling 2G could be for enterprise customers, Android 14 enables this security feature in Android Enterprise, introducing support for IT admins to restrict the ability of a managed device to downgrade to 2G connectivity.
- Added support to reject null-ciphered cellular connections, ensuring that circuit-switched voice and SMS traffic is always encrypted and protected from passive over-the-air interception. Learn more about Android's program to harden cellular connectivity.
- Added support for multiple IMEIs
- Since Android 14, AES-HCTR2 is the preferred mode of filenames encryption for devices with accelerated cryptography instructions.
- Cellular connectivity
- Documentation added for Android Safety Center
- If your app targets Android 14 and uses Dynamic Code Loading (DCL), all dynamically-loaded files must be marked as read-only. Otherwise, the system throws an exception. We recommend that apps avoid dynamically loading code whenever possible, as doing so greatly increases the risk that an app can be compromised by code injection or code tampering.
Check out our full AOSP release notes and the Android Developer features and changes list.
Android 13
Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 13:
- Android 13 adds multi-document presentation support. This new Presentation Session interface enables an application to do a multi-document presentation, something which isn't possible with the existing API. For further information, refer to Identity Credential
- In Android 13, intents originating from external apps are delivered to an exported component if and only if the intents match their declared intent-filter elements.
- Open Mobile API (OMAPI) is a standard API used to communicate with a device's Secure Element. Before Android 13, only applications and framework modules had access to this interface. By converting it to a vendor stable interface, HAL modules are also capable of communicating with the secure elements through the OMAPI service. For more information, see OMAPI Vendor Stable Interface.
- As of Android 13-QPR, shared UIDs are deprecated. Users of Android 13 or higher should put the line `android:sharedUserMaxSdkVersion="32"` in their manifest. This entry prevents new users from getting a shared UID. For further information on UIDs, see Application signing.
- Android 13 added support Keystore symmetric cryptographic primitives such as AES (Advanced Encryption Standard), HMAC (Keyed-Hash Message Authentication Code), and asymmetric cryptographic algorithms (including Elliptic Curve, RSA2048, RSA4096, and Curve 25519)
- Android 13 (API level 33) and higher supports a runtime permission for sending non-exempt notifications from an app. This gives users control over which permission notifications they see.
- Added per-use prompt for apps requesting access to all device logs, giving users the ability to allow or deny access.
- introduced the Android Virtualization Framework (AVF), which brings together different hypervisors under one framework with standardized APIs. It provides secure and private execution environments for executing workloads isolated by hypervisor.
- Introduced APK signature scheme v3.1 All new key rotations that use apksigner will use the v3.1 signature scheme by default to target rotation for Android 13 and higher.
Check out our full AOSP release notes and the Android Developer features and changes list.
Android 12
Mỗi bản phát hành Android đều bao gồm hàng tá cải tiến bảo mật để bảo vệ người dùng. Dưới đây là một số cải tiến bảo mật chính có trong Android 12:
- Android 12 giới thiệu API BiometricManager.Strings , cung cấp các chuỗi được bản địa hóa cho các ứng dụng sử dụng BiometricPrompt để xác thực. Các chuỗi này nhằm mục đích nhận biết thiết bị và cung cấp thông tin cụ thể hơn về (các) loại xác thực nào có thể được sử dụng. Android 12 cũng hỗ trợ cảm biến vân tay dưới màn hình
- Hỗ trợ thêm cho cảm biến vân tay dưới màn hình
- Giới thiệu Ngôn ngữ định nghĩa giao diện Android vân tay (AIDL)
- Hỗ trợ AIDL khuôn mặt mới
- Giới thiệu Rust làm ngôn ngữ phát triển nền tảng
- Đã thêm tùy chọn để người dùng chỉ cấp quyền truy cập vào vị trí gần đúng của họ
- Đã thêm chỉ báo Quyền riêng tư trên thanh trạng thái khi ứng dụng đang sử dụng máy ảnh hoặc micrô
- Lõi điện toán riêng tư (PCC) của Android
- Đã thêm tùy chọn tắt hỗ trợ 2G
Android 11
Every Android release includes dozens of security enhancements to protect users. For a list of some of the major security enhancements available in Android 11, see the Android Release Notes.
Android 10
Mỗi bản phát hành Android đều bao gồm hàng tá cải tiến bảo mật để bảo vệ người dùng. Android 10 bao gồm một số cải tiến về bảo mật và quyền riêng tư. Xem ghi chú phát hành Android 10 để biết danh sách đầy đủ các thay đổi trong Android 10.
Bảo vệ
Giới hạnKhử trùng
Android 10 triển khai BoundsSanitizer (BoundSan) trong Bluetooth và codec. BoundSan sử dụng chất khử trùng giới hạn của UBSan. Giảm thiểu này được kích hoạt ở cấp độ mỗi mô-đun. Nó giúp giữ an toàn cho các thành phần quan trọng của Android và không nên bị tắt. BoundSan được bật trong các codec sau:
-
libFLAC
-
libavcdec
-
libavcenc
-
libhevcdec
-
libmpeg2
-
libopus
-
libvpx
-
libspeexresampler
-
libvorbisidec
-
libaac
-
libxaac
Bộ nhớ chỉ thực thi
Theo mặc định, các phần mã thực thi cho tệp nhị phân của hệ thống AArch64 được đánh dấu là chỉ thực thi (không thể đọc được) như một biện pháp giảm thiểu tăng cường chống lại các cuộc tấn công tái sử dụng mã đúng lúc. Mã kết hợp dữ liệu và mã với nhau cũng như mã kiểm tra có mục đích các phần này (không ánh xạ lại các phân đoạn bộ nhớ trước để có thể đọc được) sẽ không còn hoạt động nữa. Các ứng dụng có SDK mục tiêu là Android 10 (API cấp 29 trở lên) sẽ bị ảnh hưởng nếu ứng dụng cố đọc các phần mã của thư viện hệ thống hỗ trợ bộ nhớ chỉ thực thi (XOM) trong bộ nhớ mà không đánh dấu phần đó là có thể đọc được trước.
Quyền truy cập mở rộng
Tác nhân tin cậy, cơ chế cơ bản được sử dụng bởi các cơ chế xác thực bậc ba như Smart Lock, chỉ có thể mở rộng khả năng mở khóa trong Android 10. Tác nhân tin cậy không thể mở khóa thiết bị bị khóa nữa và chỉ có thể giữ thiết bị luôn mở khóa trong tối đa 4 giờ.
Xác thực khuôn mặt
Xác thực khuôn mặt cho phép người dùng mở khóa thiết bị của họ chỉ bằng cách nhìn vào mặt trước của thiết bị. Android 10 bổ sung hỗ trợ cho ngăn xếp xác thực khuôn mặt mới có thể xử lý khung camera một cách an toàn, đảm bảo tính bảo mật và quyền riêng tư trong quá trình xác thực khuôn mặt trên phần cứng được hỗ trợ. Android 10 cũng cung cấp một cách dễ dàng để triển khai tuân thủ bảo mật nhằm cho phép tích hợp ứng dụng cho các giao dịch như ngân hàng trực tuyến hoặc các dịch vụ khác.
Vệ sinh tràn số nguyên
Android 10 kích hoạt tính năng Integer Overflow Sanitization (IntSan) trong codec phần mềm. Đảm bảo rằng hiệu suất phát lại có thể chấp nhận được đối với mọi codec không được hỗ trợ trong phần cứng của thiết bị. IntSan được bật trong các codec sau:
-
libFLAC
-
libavcdec
-
libavcenc
-
libhevcdec
-
libmpeg2
-
libopus
-
libvpx
-
libspeexresampler
-
libvorbisidec
Các thành phần hệ thống mô-đun
Android 10 mô-đun hóa một số thành phần hệ thống Android và cho phép chúng được cập nhật ngoài chu kỳ phát hành Android thông thường. Một số mô-đun bao gồm:
- Thời gian chạy Android
- Đồng hóa
- Trình phân giải DNS
- Tài liệuUI
- Dịch vụ mở rộng
- Phương tiện truyền thông
- Siêu dữ liệu mô-đun
- Mạng
- Bộ điều khiển quyền
- Dữ liệu múi giờ
OEMCrypto
Android 10 sử dụng API OEMCrypto phiên bản 15.
Scudo
Scudo là một công cụ cấp phát bộ nhớ ở chế độ người dùng động được thiết kế để có khả năng phục hồi tốt hơn trước các lỗ hổng liên quan đến heap. Nó cung cấp các nguyên hàm phân bổ và phân bổ C tiêu chuẩn, cũng như các nguyên hàm C++.
BóngCuộc GọiChồng
ShadowCallStack (SCS)
là chế độ thiết bị LLVM bảo vệ chống ghi đè địa chỉ trả về (như tràn bộ đệm ngăn xếp) bằng cách lưu địa chỉ trả về của hàm vào một phiên bản ShadowCallStack
được phân bổ riêng trong prolog hàm của các hàm không phải lá và tải địa chỉ trả về từ phiên bản ShadowCallStack
trong phần kết của hàm.
Mở rộng WPA3 và Wi-Fi
Android 10 bổ sung hỗ trợ cho các tiêu chuẩn bảo mật Wi-Fi Protected Access 3 (WPA3) và Wi-Fi Enhanced Open để mang lại sự riêng tư tốt hơn và khả năng chống lại các cuộc tấn công đã biết.
Sự riêng tư
Quyền truy cập ứng dụng khi nhắm mục tiêu Android 9 trở xuống
Nếu ứng dụng của bạn chạy trên Android 10 trở lên nhưng nhắm mục tiêu Android 9 (API cấp 28) trở xuống thì nền tảng sẽ áp dụng hành vi sau:
- Nếu ứng dụng của bạn khai báo phần tử
<uses-permission>
choACCESS_FINE_LOCATION
hoặcACCESS_COARSE_LOCATION
thì hệ thống sẽ tự động thêm phần tử<uses-permission>
choACCESS_BACKGROUND_LOCATION
trong khi cài đặt. - Nếu ứng dụng của bạn yêu cầu
ACCESS_FINE_LOCATION
hoặcACCESS_COARSE_LOCATION
thì hệ thống sẽ tự động thêmACCESS_BACKGROUND_LOCATION
vào yêu cầu.
Hạn chế hoạt động nền
Bắt đầu từ Android 10, hệ thống đặt ra các hạn chế về việc bắt đầu các hoạt động từ nền . Thay đổi hành vi này giúp giảm thiểu sự gián đoạn cho người dùng và giúp người dùng kiểm soát nhiều hơn những gì hiển thị trên màn hình của họ. Miễn là ứng dụng của bạn bắt đầu hoạt động do tương tác trực tiếp của người dùng thì rất có thể ứng dụng của bạn sẽ không bị ảnh hưởng bởi những hạn chế này.
Để tìm hiểu thêm về giải pháp thay thế được đề xuất cho việc bắt đầu các hoạt động từ nền, hãy xem hướng dẫn về cách cảnh báo người dùng về các sự kiện nhạy cảm về thời gian trong ứng dụng của bạn.
Siêu dữ liệu máy ảnh
Android 10 thay đổi phạm vi thông tin mà phương thức getCameraCharacteristics()
trả về theo mặc định. Đặc biệt, ứng dụng của bạn phải có quyền CAMERA
để truy cập vào siêu dữ liệu dành riêng cho thiết bị có trong giá trị trả về của phương thức này.
Để tìm hiểu thêm về những thay đổi này, hãy xem phần về các trường máy ảnh yêu cầu quyền .
Dữ liệu bảng nhớ tạm
Trừ khi ứng dụng của bạn là trình chỉnh sửa phương thức nhập mặc định (IME) hoặc là ứng dụng hiện được tập trung, ứng dụng của bạn không thể truy cập dữ liệu bảng nhớ tạm trên Android 10 trở lên.
Vị trí thiết bị
Để hỗ trợ quyền kiểm soát bổ sung mà người dùng có đối với quyền truy cập của ứng dụng vào thông tin vị trí, Android 10 giới thiệu quyền ACCESS_BACKGROUND_LOCATION
.
Không giống như các quyền ACCESS_FINE_LOCATION
và ACCESS_COARSE_LOCATION
, quyền ACCESS_BACKGROUND_LOCATION
chỉ ảnh hưởng đến quyền truy cập của ứng dụng vào vị trí khi ứng dụng chạy ở chế độ nền. Một ứng dụng được coi là đang truy cập vị trí ở chế độ nền trừ khi đáp ứng một trong các điều kiện sau:
- Một hoạt động thuộc ứng dụng được hiển thị.
- Ứng dụng đang chạy một dịch vụ trên nền trước đã khai báoloại dịch vụ trên nền trước là
location
.
Để khai báo loại dịch vụ nền trước cho một dịch vụ trong ứng dụng của bạn, hãy đặttargetSdkVersion
hoặccompileSdkVersion
của ứng dụng thành29
hoặc cao hơn. Tìm hiểu thêm về cách các dịch vụ trên nền trước có thể tiếp tục các hành động do người dùng thực hiện yêu cầu quyền truy cập vào vị trí.
Lưu trữ ngoài
Theo mặc định, các ứng dụng nhắm mục tiêu Android 10 trở lên được cấp quyền truy cập có giới hạn vào bộ nhớ ngoài hoặc bộ nhớ có giới hạn . Những ứng dụng như vậy có thể xem các loại tệp sau trong thiết bị lưu trữ bên ngoài mà không cần yêu cầu bất kỳ quyền nào của người dùng liên quan đến bộ nhớ:
- Các tệp trong thư mục dành riêng cho ứng dụng, được truy cập bằng
getExternalFilesDir()
. - Ảnh, video và clip âm thanh mà ứng dụng đã tạo từ kho phương tiện .
Để tìm hiểu thêm về bộ nhớ có giới hạn cũng như cách chia sẻ, truy cập và sửa đổi tệp được lưu trên thiết bị lưu trữ bên ngoài, hãy xem hướng dẫn về cách quản lý tệp trong bộ nhớ ngoài cũng như truy cập và sửa đổi tệp phương tiện .
Địa chỉ MAC ngẫu nhiên
Trên các thiết bị chạy Android 10 trở lên, hệ thống sẽ truyền địa chỉ MAC ngẫu nhiên theo mặc định.
Nếu ứng dụng của bạn xử lý trường hợp sử dụng của doanh nghiệp thì nền tảng sẽ cung cấp API cho một số hoạt động liên quan đến địa chỉ MAC:
- Lấy địa chỉ MAC ngẫu nhiên : Ứng dụng của chủ sở hữu thiết bị và ứng dụng của chủ sở hữu hồ sơ có thể truy xuất địa chỉ MAC ngẫu nhiên được gán cho một mạng cụ thể bằng cách gọi
getRandomizedMacAddress()
. - Lấy địa chỉ MAC thực tế của nhà máy: Ứng dụng của chủ sở hữu thiết bị có thể truy xuất địa chỉ MAC phần cứng thực tế của thiết bị bằng cách gọi
getWifiMacAddress()
. Phương pháp này rất hữu ích để theo dõi nhóm thiết bị.
Mã nhận dạng thiết bị không thể đặt lại
Bắt đầu từ Android 10, các ứng dụng phải có quyền đặc quyền READ_PRIVILEGED_PHONE_STATE
để truy cập vào số nhận dạng không thể đặt lại của thiết bị, bao gồm cả IMEI và số sê-ri.
-
Build
-
TelephonyManager
Nếu ứng dụng của bạn không có quyền và bạn vẫn thử hỏi thông tin về số nhận dạng không thể đặt lại thì phản hồi của nền tảng sẽ thay đổi tùy theo phiên bản SDK mục tiêu:
- Nếu ứng dụng của bạn nhắm mục tiêu Android 10 trở lên thì
SecurityException
sẽ xảy ra. - Nếu ứng dụng của bạn nhắm mục tiêu Android 9 (API cấp 28) trở xuống, phương thức sẽ trả về dữ liệu
null
hoặc dữ liệu giữ chỗ nếu ứng dụng có quyềnREAD_PHONE_STATE
. Nếu không,SecurityException
sẽ xảy ra.
Nhận dạng hoạt động thể chất
Android 10 giới thiệu quyền thời gian chạy android.permission.ACTIVITY_RECOGNITION
cho các ứng dụng cần phát hiện số bước của người dùng hoặc phân loại hoạt động thể chất của người dùng, chẳng hạn như đi bộ, đi xe đạp hoặc di chuyển trong phương tiện. Điều này được thiết kế để cung cấp cho người dùng khả năng hiển thị cách sử dụng dữ liệu cảm biến thiết bị trong Cài đặt.
Một số thư viện trong dịch vụ Google Play, chẳng hạn như API nhận dạng hoạt động và API Google Fit , không cung cấp kết quả trừ khi người dùng cấp cho ứng dụng của bạn quyền này.
Các cảm biến tích hợp duy nhất trên thiết bị yêu cầu bạn khai báo quyền này là cảm biến bộ đếm bước và cảm biến phát hiện bước .
Nếu ứng dụng của bạn nhắm mục tiêu Android 9 (API cấp 28) trở xuống, hệ thống sẽ tự động cấp quyền android.permission.ACTIVITY_RECOGNITION
cho ứng dụng của bạn, nếu cần, nếu ứng dụng của bạn đáp ứng từng điều kiện sau:
- Tệp kê khai bao gồm quyền
com.google.android.gms.permission.ACTIVITY_RECOGNITION
. - Tệp kê khai không bao gồm quyền
android.permission.ACTIVITY_RECOGNITION
.
Nếu hệ thống tự động cấp quyền android.permission.ACTIVITY_RECOGNITION
thì ứng dụng của bạn vẫn giữ quyền này sau khi bạn cập nhật ứng dụng của mình để nhắm mục tiêu Android 10. Tuy nhiên, người dùng có thể thu hồi quyền này bất kỳ lúc nào trong cài đặt hệ thống.
/proc/net hạn chế hệ thống tập tin
Trên các thiết bị chạy Android 10 trở lên, các ứng dụng không thể truy cập /proc/net
, bao gồm thông tin về trạng thái mạng của thiết bị. Các ứng dụng cần quyền truy cập vào thông tin này, chẳng hạn như VPN, nên sử dụng lớp NetworkStatsManager
hoặc ConnectivityManager
.
Nhóm quyền đã bị xóa khỏi giao diện người dùng
Kể từ Android 10, các ứng dụng không thể tra cứu cách nhóm các quyền trong giao diện người dùng.
Loại bỏ mối quan hệ liên hệ
Bắt đầu từ Android 10, nền tảng này không theo dõi thông tin về mối quan hệ của người liên hệ. Do đó, nếu ứng dụng của bạn tiến hành tìm kiếm trên danh bạ của người dùng thì kết quả sẽ không được sắp xếp theo tần suất tương tác.
Hướng dẫn về ContactsProvider
chứa thông báo mô tả các trường và phương thức cụ thể đã lỗi thời trên tất cả các thiết bị bắt đầu từ Android 10.
Hạn chế truy cập vào nội dung màn hình
Để bảo vệ nội dung trên màn hình của người dùng, Android 10 ngăn chặn quyền truy cập im lặng vào nội dung trên màn hình của thiết bị bằng cách thay đổi phạm vi của các quyền READ_FRAME_BUFFER
, CAPTURE_VIDEO_OUTPUT
và CAPTURE_SECURE_VIDEO_OUTPUT
. Kể từ Android 10, các quyền này chỉ có quyền truy cập bằng chữ ký .
Các ứng dụng cần truy cập nội dung màn hình của thiết bị phải sử dụng API MediaProjection
, API này sẽ hiển thị lời nhắc yêu cầu người dùng đưa ra sự đồng ý.
Số sê-ri thiết bị USB
Nếu ứng dụng của bạn nhắm mục tiêu Android 10 trở lên thì ứng dụng của bạn không thể đọc số sê-ri cho đến khi người dùng cấp cho ứng dụng của bạn quyền truy cập vào thiết bị hoặc phụ kiện USB.
Để tìm hiểu thêm về cách làm việc với thiết bị USB, hãy xem hướng dẫn về cách định cấu hình máy chủ USB .
Wifi
Các ứng dụng nhắm mục tiêu Android 10 trở lên không thể bật hoặc tắt Wi-Fi. Phương thức WifiManager.setWifiEnabled()
luôn trả về false
.
Nếu bạn cần nhắc người dùng bật và tắt Wi-Fi, hãy sử dụng bảng cài đặt .
Hạn chế truy cập trực tiếp vào mạng Wi-Fi đã định cấu hình
Để bảo vệ quyền riêng tư của người dùng, việc định cấu hình thủ công danh sách mạng Wi-Fi bị hạn chế ở các ứng dụng hệ thống và bộ điều khiển chính sách thiết bị (DPC) . Một DPC nhất định có thể là chủ sở hữu thiết bị hoặc chủ sở hữu hồ sơ.
Nếu ứng dụng của bạn nhắm mục tiêu Android 10 trở lên và đó không phải là ứng dụng hệ thống hoặc DPC thì các phương pháp sau sẽ không trả về dữ liệu hữu ích:
- Phương thức
getConfiguredNetworks()
luôn trả về một danh sách trống. - Mỗi phương thức vận hành mạng trả về một giá trị số nguyên—
addNetwork()
vàupdateNetwork()
—luôn trả về -1. - Mỗi thao tác mạng trả về một giá trị boolean—
removeNetwork()
,reassociate()
,enableNetwork()
,disableNetwork()
,reconnect()
vàdisconnect()
—luôn trả vềfalse
.
Android 9
Every Android release includes dozens of security enhancements to protect users. For a list of some of the major security enhancements available in Android 9, see the Android Release Notes.
Android 8
Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 8.0:
- Encryption. Added support to evict key in work profile.
- Verified Boot. Added Android Verified Boot (AVB). Verified Boot codebase supporting rollback protection for use in boot loaders added to AOSP. Recommend bootloader support for rollback protection for the HLOS. Recommend boot loaders can only be unlocked by user physically interacting with the device.
- Lock screen. Added support for using tamper-resistant hardware to verify lock screen credential.
- KeyStore. Required key attestation for all devices that ship with Android 8.0+. Added ID attestation support to improve Zero Touch Enrollment.
- Sandboxing. More tightly sandboxed many components using Project Treble's standard interface between framework and device-specific components. Applied seccomp filtering to all untrusted apps to reduce the kernel's attack surface. WebView is now run in an isolated process with very limited access to the rest of the system.
- Kernel hardening. Implemented hardened usercopy, PAN emulation, read-only after init, and KASLR.
- Userspace hardening. Implemented CFI for the media stack. App overlays can no longer cover system-critical windows and users have a way to dismiss them.
- Streaming OS update. Enabled updates on devices that are are low on disk space.
- Install unknown apps. Users must grant permission to install apps from a source that isn't a first-party app store.
- Privacy. Android ID (SSAID) has a different value for
each app and each user on the device. For web browser apps, Widevine Client ID
returns a different value for each app package name and web origin.
net.hostname
is now empty and the dhcp client no longer sends a hostname.android.os.Build.SERIAL
has been replaced with theBuild.SERIAL
API which is protected behind a user-controlled permission. Improved MAC address randomization in some chipsets.
Android 7
Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 7.0:
- File-based encryption. Encrypting at the file level, instead of encrypting the entire storage area as a single unit, better isolates and protects individual users and profiles (such as personal and work) on a device.
- Direct Boot. Enabled by file-based encryption, Direct Boot allows certain apps such as alarm clock and accessibility features to run when device is powered on but not unlocked.
- Verified Boot. Verified Boot is now strictly enforced to prevent compromised devices from booting; it supports error correction to improve reliability against non-malicious data corruption.
- SELinux. Updated SELinux configuration and increased seccomp coverage further locks down the application sandbox and reduces attack surface.
- Library load-order randomization and improved ASLR. Increased randomness makes some code-reuse attacks less reliable.
- Kernel hardening. Added additional memory protection for newer kernels by marking portions of kernel memory as read-only, restricting kernel access to userspace addresses and further reducing the existing attack surface.
- APK signature scheme v2. Introduced a whole-file signature scheme that improves verification speed and strengthens integrity guarantees.
- Trusted CA store. To make it easier for apps to control access to their secure network traffic, user-installed certificate authorities and those installed through Device Admin APIs are no longer trusted by default for apps targeting API Level 24+. Additionally, all new Android devices must ship with the same trusted CA store.
- Network Security Config. Configure network security and TLS through a declarative configuration file.
Android 6
Mỗi bản phát hành Android đều bao gồm hàng tá cải tiến bảo mật để bảo vệ người dùng. Dưới đây là một số cải tiến bảo mật chính có sẵn trong Android 6.0:
- Quyền thời gian chạy . Các ứng dụng yêu cầu quyền trong thời gian chạy thay vì được cấp vào thời gian cài đặt Ứng dụng. Người dùng có thể bật và tắt quyền cho cả ứng dụng M và trước M.
- Khởi động đã được xác minh . Một tập hợp các kiểm tra mật mã của phần mềm hệ thống được tiến hành trước khi thực thi để đảm bảo điện thoại hoạt động tốt từ bộ nạp khởi động cho đến hệ điều hành.
- Bảo mật tách biệt phần cứng . Lớp trừu tượng phần cứng mới (HAL) được sử dụng bởi API vân tay, màn hình khóa, mã hóa thiết bị và chứng chỉ ứng dụng khách để bảo vệ khóa chống lại sự xâm nhập hạt nhân và / hoặc các cuộc tấn công vật lý cục bộ
- Dấu vân tay . Giờ đây, thiết bị có thể được mở khóa chỉ bằng một cú chạm. Các nhà phát triển cũng có thể tận dụng các API mới để sử dụng dấu vân tay để khóa và mở khóa các khóa mã hóa.
- Sử dụng thẻ SD . Phương tiện có thể tháo rời có thể được sử dụng cho một thiết bị và mở rộng bộ nhớ khả dụng cho dữ liệu cục bộ của ứng dụng, ảnh, video, v.v., nhưng vẫn được bảo vệ bằng mã hóa cấp khối.
- Xóa lưu lượng văn bản . Các nhà phát triển có thể sử dụng Chế độ nghiêm ngặt mới để đảm bảo ứng dụng của họ không sử dụng văn bản rõ ràng.
- Làm cứng hệ thống . Tăng cường hệ thống thông qua các chính sách do SELinux thực thi. Điều này cung cấp khả năng cách ly tốt hơn giữa những người dùng, lọc IOCTL, giảm mối đe dọa từ các dịch vụ bị lộ, thắt chặt hơn nữa các miền SELinux và truy cập cực kỳ hạn chế / proc.
- Kiểm soát truy cập USB: Người dùng phải xác nhận để cho phép USB truy cập vào các tệp, bộ nhớ hoặc chức năng khác trên điện thoại. Mặc định hiện chỉ bị tính phí khi quyền truy cập vào bộ nhớ yêu cầu sự chấp thuận rõ ràng của người dùng.
Android 5
5.0
Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 5.0:
- Encrypted by default. On devices that ship with L out-of-the-box, full disk encryption is enabled by default to improve protection of data on lost or stolen devices. Devices that update to L can be encrypted in Settings > Security.
- Improved full disk encryption. The user password is
protected against brute-force attacks using
scrypt
and, where available, the key is bound to the hardware keystore to prevent off-device attacks. As always, the Android screen lock secret and the device encryption key are not sent off the device or exposed to any application. - Android sandbox reinforced with SELinux. Android now requires SELinux in enforcing mode for all domains. SELinux is a mandatory access control (MAC) system in the Linux kernel used to augment the existing discretionary access control (DAC) security model. This new layer provides additional protection against potential security vulnerabilities.
- Smart Lock. Android now includes trustlets that provide more flexibility for unlocking devices. For example, trustlets can allow devices to be unlocked automatically when close to another trusted device (via NFC, Bluetooth) or being used by someone with a trusted face.
- Multi user, restricted profile, and guest modes for phones & tablets. Android now provides for multiple users on phones and includes a guest mode that can be used to provide easy temporary access to your device without granting access to your data and apps.
- Updates to WebView without OTA. WebView can now be updated independent of the framework and without a system OTA. This will allow for faster response to potential security issues in WebView.
- Updated cryptography for HTTPS and TLS/SSL. TLSv1.2 and TLSv1.1 is now enabled, Forward Secrecy is now preferred, AES-GCM is now enabled, and weak cipher suites (MD5, 3DES, and export cipher suites) are now disabled. See https://developer.android.com/reference/javax/net/ssl/SSLSocket.html for more details.
- non-PIE linker support removed. Android now requires all dynamically linked executables to support PIE (position-independent executables). This enhances Android’s address space layout randomization (ASLR) implementation.
- FORTIFY_SOURCE improvements. The following libc
functions now implement FORTIFY_SOURCE protections:
stpcpy()
,stpncpy()
,read()
,recvfrom()
,FD_CLR()
,FD_SET()
, andFD_ISSET()
. This provides protection against memory-corruption vulnerabilities involving those functions. - Security Fixes. Android 5.0 also includes fixes for Android-specific vulnerabilities. Information about these vulnerabilities has been provided to Open Handset Alliance members, and fixes are available in Android Open Source Project. To improve security, some devices with earlier versions of Android may also include these fixes.
Android 4 trở xuống
Every Android release includes dozens of security enhancements to protect users. The following are some of the security enhancements available in Android 4.4:
- Android sandbox reinforced with SELinux. Android now uses SELinux in enforcing mode. SELinux is a mandatory access control (MAC) system in the Linux kernel used to augment the existing discretionary access control (DAC) based security model. This provides additional protection against potential security vulnerabilities.
- Per User VPN. On multi-user devices, VPNs are now applied per user. This can allow a user to route all network traffic through a VPN without affecting other users on the device.
- ECDSA Provider support in AndroidKeyStore. Android now has a keystore provider that allows use of ECDSA and DSA algorithms.
- Device Monitoring Warnings. Android provides users with a warning if any certificate has been added to the device certificate store that could allow monitoring of encrypted network traffic.
- FORTIFY_SOURCE. Android now supports FORTIFY_SOURCE level 2, and all code is compiled with these protections. FORTIFY_SOURCE has been enhanced to work with clang.
- Certificate Pinning. Android 4.4 detects and prevents the use of fraudulent Google certificates used in secure SSL/TLS communications.
- Security Fixes. Android 4.4 also includes fixes for Android-specific vulnerabilities. Information about these vulnerabilities has been provided to Open Handset Alliance members and fixes are available in Android Open Source Project. To improve security, some devices with earlier versions of Android may also include these fixes.
Every Android release includes dozens of security enhancements to protect users. The following are some of the security enhancements available in Android 4.3:
- Android sandbox reinforced with SELinux. This release strengthens the Android sandbox using the SELinux mandatory access control system (MAC) in the Linux kernel. SELinux reinforcement is invisible to users and developers, and adds robustness to the existing Android security model while maintaining compatibility with existing applications. To ensure continued compatibility this release allows the use of SELinux in a permissive mode. This mode logs any policy violations, but will not break applications or affect system behavior.
- No setuid/setgid programs. Added support for filesystem capabilities to Android system files and removed all setuid/setguid programs. This reduces root attack surface and the likelihood of potential security vulnerabilities.
- ADB Authentication. Since Android 4.2.2, connections to ADB are authenticated with an RSA keypair. This prevents unauthorized use of ADB where the attacker has physical access to a device.
- Restrict Setuid from Android Apps. The /system partition is now mounted nosuid for zygote-spawned processes, preventing Android applications from executing setuid programs. This reduces root attack surface and the likelihood of potential security vulnerabilities.
- Capability bounding. Android zygote and ADB now use prctl(PR_CAPBSET_DROP) to drop unnecessary capabilities prior to executing applications. This prevents Android applications and applications launched from the shell from acquiring privileged capabilities.
- AndroidKeyStore Provider. Android now has a keystore provider that allows applications to create exclusive use keys. This provides applications with an API to create or store private keys that cannot be used by other applications.
- KeyChain isBoundKeyAlgorithm. Keychain API now provides a method (isBoundKeyType) that allows applications to confirm that system-wide keys are bound to a hardware root of trust for the device. This provides a place to create or store private keys that cannot be exported off the device, even in the event of a root compromise.
- NO_NEW_PRIVS. Android zygote now uses prctl(PR_SET_NO_NEW_PRIVS) to block addition of new privileges prior to execution application code. This prevents Android applications from performing operations which can elevate privileges via execve. (This requires Linux kernel version 3.5 or greater).
- FORTIFY_SOURCE enhancements. Enabled FORTIFY_SOURCE on Android x86 and MIPS and fortified strchr(), strrchr(), strlen(), and umask() calls. This can detect potential memory corruption vulnerabilities or unterminated string constants.
- Relocation protections. Enabled read only relocations (relro) for statically linked executables and removed all text relocations in Android code. This provides defense in depth against potential memory corruption vulnerabilities.
- Improved EntropyMixer. EntropyMixer now writes entropy at shutdown / reboot, in addition to periodic mixing. This allows retention of all entropy generated while devices are powered on, and is especially useful for devices that are rebooted immediately after provisioning.
- Security Fixes. Android 4.3 also includes fixes for Android-specific vulnerabilities. Information about these vulnerabilities has been provided to Open Handset Alliance members and fixes are available in Android Open Source Project. To improve security, some devices with earlier versions of Android may also include these fixes.
Android cung cấp mô hình bảo mật nhiều lớp được mô tả trong Tổng quan về bảo mật Android . Mỗi bản cập nhật cho Android bao gồm hàng tá cải tiến bảo mật để bảo vệ người dùng. Sau đây là một số cải tiến bảo mật được giới thiệu trong Android 4.2:
- Xác minh ứng dụng - Người dùng có thể chọn bật “Xác minh ứng dụng" và để người xác minh ứng dụng sàng lọc ứng dụng trước khi cài đặt. Xác minh ứng dụng có thể cảnh báo người dùng nếu họ cố gắng cài đặt ứng dụng có thể gây hại; nếu ứng dụng đặc biệt tồi tệ, nó có thể chặn cài đặt.
- Kiểm soát nhiều hơn đối với SMS cao cấp - Android sẽ cung cấp thông báo nếu một ứng dụng cố gắng gửi SMS tới một mã ngắn sử dụng các dịch vụ cao cấp có thể gây ra các khoản phí bổ sung. Người dùng có thể chọn cho phép ứng dụng gửi tin nhắn hoặc chặn tin nhắn đó.
- VPN luôn bật - VPN có thể được định cấu hình để các ứng dụng sẽ không có quyền truy cập vào mạng cho đến khi kết nối VPN được thiết lập. Điều này ngăn các ứng dụng gửi dữ liệu qua các mạng khác.
- Ghim chứng chỉ - Các thư viện lõi của Android hiện hỗ trợ tính năng ghim chứng chỉ . Các miền được ghim sẽ nhận được lỗi xác thực chứng chỉ nếu chứng chỉ không liên kết với một tập hợp các chứng chỉ mong đợi. Điều này bảo vệ khỏi sự xâm phạm có thể xảy ra của Tổ chức phát hành chứng chỉ.
- Cải thiện hiển thị các quyền của Android - Các quyền đã được sắp xếp thành các nhóm để người dùng dễ hiểu hơn. Trong quá trình xem xét quyền, người dùng có thể nhấp vào quyền để xem thông tin chi tiết hơn về quyền.
- cứng installd - Daemon
installd
không chạy với tư cách là người dùng root, làm giảm khả năng tấn công bề mặt để leo thang đặc quyền root. - init script cứng lại - init script hiện áp dụng ngữ nghĩa
O_NOFOLLOW
để ngăn chặn các cuộc tấn công liên quan đến liên kết biểu tượng. - FORTIFY_SOURCE - Android hiện triển khai
FORTIFY_SOURCE
. Điều này được sử dụng bởi các thư viện hệ thống và các ứng dụng để ngăn ngừa hỏng bộ nhớ. - Cấu hình mặc định của ContentProvider - Các ứng dụng nhắm mục tiêu API cấp 17 sẽ có "xuất" được đặt thành "false" theo mặc định cho mỗi Nhà cung cấp nội dung , giảm bề mặt tấn công mặc định cho các ứng dụng.
- Cryptography - Đã sửa đổi các triển khai mặc định của SecureRandom và Cipher.RSA để sử dụng OpenSSL. Đã thêm hỗ trợ SSL Socket cho TLSv1.1 và TLSv1.2 bằng OpenSSL 1.0.1
- Các bản sửa lỗi bảo mật - Các thư viện nguồn mở được nâng cấp với các bản sửa lỗi bảo mật bao gồm WebKit, libpng, OpenSSL và LibXML. Android 4.2 cũng bao gồm các bản sửa lỗi cho các lỗ hổng dành riêng cho Android. Thông tin về các lỗ hổng này đã được cung cấp cho các thành viên của Open Handset Alliance và các bản sửa lỗi có sẵn trong Dự án nguồn mở Android. Để cải thiện bảo mật, một số thiết bị có phiên bản Android cũ hơn cũng có thể bao gồm các bản sửa lỗi này.
Android provides a multi-layered security model described in the Android Security Overview. Each update to Android includes dozens of security enhancements to protect users. The following are some of the security enhancements introduced in Android versions 1.5 through 4.1:
- Android 1.5
- ProPolice to prevent stack buffer overruns (-fstack-protector)
- safe_iop to reduce integer overflows
- Extensions to OpenBSD dlmalloc to prevent double free() vulnerabilities and to prevent chunk consolidation attacks. Chunk consolidation attacks are a common way to exploit heap corruption.
- OpenBSD calloc to prevent integer overflows during memory allocation
- Android 2.3
- Format string vulnerability protections (-Wformat-security -Werror=format-security)
- Hardware-based No eXecute (NX) to prevent code execution on the stack and heap
- Linux mmap_min_addr to mitigate null pointer dereference privilege escalation (further enhanced in Android 4.1)
- Android 4.0
- Address Space Layout Randomization (ASLR) to randomize key locations in memory
- Android 4.1
- PIE (Position Independent Executable) support
- Read-only relocations / immediate binding (-Wl,-z,relro -Wl,-z,now)
- dmesg_restrict enabled (avoid leaking kernel addresses)
- kptr_restrict enabled (avoid leaking kernel addresses)