استخدِم الميزات الموضّحة في هذا القسم لجعل أجهزة Android التي تطوّرها آمنة قدر الإمكان.
وضع الحماية للتطبيق
تستفيد منصة Android من الحماية المستندة إلى المستخدم في Linux لتحديد موارد التطبيقات وعزلها. ولإجراء ذلك، يخصّص نظام التشغيل Android معرّف مستخدم فريدًا (UID) لكل تطبيق Android ويشغّله في عملية خاصة به. يستخدم نظام التشغيل Android هذا المعرّف UID لإعداد "وضع حماية التطبيق" على مستوى النواة.
توقيع التطبيق
تتيح ميزة "توقيع التطبيق" للمطوّرين تحديد مؤلف التطبيق وتحديثه بدون إنشاء واجهات وأذونات معقّدة. يجب أن يوقّع المطوّر على كل تطبيق يعمل على نظام Android الأساسي.
المصادقة
يتضمّن نظام التشغيل Android مفهوم أدوات مصادقة المستخدم التي يمكنها فتح قفل الجهاز وتنفيذ مهام أخرى، وهي:
- يُجري النظام الفرعي Gatekeeper عملية مصادقة النقش أو كلمة المرور للجهاز في بيئة تنفيذ موثوقة (TEE).
- يُجري مكوّن Weaver الاختياري مصادقة النقش أو كلمة المرور في عنصر آمن منفصل.
- تتيح الأجهزة التي تحتوي على مستشعر بصمات الإصبع استخدام بصمات الإصبع المسجّلة.
- يمكن أن تتيح الأجهزة مصادقة الوجه.
يتيح نظام التشغيل Android أيضًا استخدام مفاتيح تشفير مستنِدة إلى الأجهزة لا يمكن استخدامها إلا بعد مصادقة المستخدم بإحدى هذه الآليات.
المقاييس الحيوية
يتضمّن الإصدار 9 من نظام التشغيل Android والإصدارات الأحدث BiometricPromptفئة يمكن لمطوّري التطبيقات استخدامها لدمج المصادقة بالمقاييس الحيوية في تطبيقاتهم بطريقة مستقلة عن الجهاز وطريقة المصادقة. يمكن دمج المقاييس الحيوية القوية فقط مع BiometricPrompt.
التشفير
بعد تشفير الجهاز، يتم تلقائيًا تشفير جميع البيانات التي ينشئها المستخدم قبل حفظها على القرص، كما يتم تلقائيًا فك تشفير جميع عمليات القراءة قبل إرجاعها إلى العملية التي طلبتها. يضمن التشفير أنّه حتى إذا حاول طرف غير مصرّح له الوصول إلى البيانات، لن يتمكّن من قراءتها.
ملف تخزين المفاتيح
يتيح نظام التشغيل Android استخدام مخزن مفاتيح مستنِد إلى الأجهزة يوفّر وظائف تشفيرية يتم فيها تخزين مواد المفاتيح في بيئة آمنة. يتيح Android Keystore إنشاء واستيراد المفاتيح المتماثلة وغير المتماثلة، بالإضافة إلى أدوات التشفير وفك التشفير والتوقيع واتفاق المفاتيح.
Security-Enhanced Linux
كجزء من نموذج أمان Android، يستخدم Android نظام Security-Enhanced Linux (SELinux) لفرض التحكّم الإلزامي في الوصول (MAC) على جميع العمليات، حتى العمليات التي يتم تشغيلها بامتيازات الجذر أو المستخدم المتميّز (إمكانات Linux).
بيئة تنفيذ موثوقة (TEE) من Trusty
بيئة تنفيذ موثوقة (TEE) من Trusty
Trusty هو نظام تشغيل آمن يوفّر بيئة تنفيذ موثوقة (TEE) لنظام Android. يعمل نظام التشغيل Trusty على المعالج نفسه الذي يعمل عليه نظام التشغيل Android، ولكن يتم عزل Trusty عن بقية النظام من خلال كل من الأجهزة والبرامج.
التشغيل المتحقَّق منه
تم تصميم ميزة التشغيل المتحقّق منه لضمان أنّ جميع الرموز التي يتم تنفيذها صادرة من مصدر موثوق به (عادةً ما يكون المصنّع الأصلي للجهاز) بدلاً من مصدر مهاجم أو تلف. تنشئ ميزة "التحقّق من صحة التمهيد" سلسلة كاملة من الثقة، بدءًا من جذر الثقة المحمي بواسطة الأجهزة إلى برنامج الإقلاع، ثم إلى قسم التمهيد والأقسام الأخرى التي تم التحقّق منها.