Güvenlik Güncellemeleri ve Kaynakları

Android güvenlik ekibi, Android platformu ve Android cihazlarla paket halinde sunulan temel Android uygulamalarının birçoğu.

Android güvenlik ekibi, dahili araştırma aracılığıyla güvenlik açıklarını bulur ve üçüncü tarafların bildirdiği hatalara yanıt verir. Harici hata kaynakları, bildirilen sorunları içerir aracılığıyla güvenlik açığı formu, yayınlanmış ve önceden yayınlanmış akademik araştırma, yukarı akış açık kaynak proje sorumluları, cihaz üreticisi iş ortaklarımızdan gelen bildirimlerin yanı sıra sosyal medyada görüntülenebilir.

Güvenlik sorunlarını bildirme

Herhangi bir geliştirici, Android kullanıcısı veya güvenlik araştırmacısı, Android güvenlik ekibini olası güvenlik sorunlarına karşı koruma, buradan öğrenebilirsiniz.

Güvenlik sorunu olarak işaretlenen hatalar harici olarak görünmez ancak zaman içinde yapılabilir görünür hale getirebilirsiniz. Yama göndermeyi planlıyorsanız Bir güvenlik sorununu çözmek için Uyumluluk Test Paketi (CTS) testi. Lütfen bunu hataya ekleyin. bildirin ve kodu AOSP'ye yüklemeden önce yanıt almayı bekleyin.

Hataları önceliklendirme

Bir güvenlik açığını ele almadaki ilk görev, hatanın önem derecesini belirlemek ve Android'in hangi bileşeninin etkilendiğini. Önem derecesi, sorunun nasıl önceliklendirildiğini belirler Bileşen, hatayı kimin düzelttiğini, kimin bilgilendirileceğini ve düzeltmenin nasıl dağıtılacağını belirler değer teslim eder.

Bağlam türleri

Bu tabloda, donanım ve yazılım güvenliği bağlamlarının tanımları yer almaktadır. Bağlam, genellikle işlediği verilerin hassasiyetine veya çalıştığı alana göre tanımlanır. Değil tüm güvenlik bağlamları tüm sistemler için geçerlidir. Bu tablo en azdan en büyüğe doğru sıralanır gizlidir.

Bağlam türü Tür tanımı
Kısıtlı bağlam Yalnızca en az izinlerin olduğu kısıtlı bir yürütme ortamı sağlar.

Örneğin, korumalı alana alınan bir alanda güvenilmeyen veriler işleyen güvenilir uygulamalar bahsedeceğim.
Ayrıcalığa sahip olmayan içerik Ayrıcalığı olmayan kod tarafından beklenen tipik bir yürütme ortamı.

Örneğin, untrusted_app_all özelliği için de geçerlidir.
Ayrıcalıklı bağlam Üst düzey izinlere ve herkese açık kullanıcı adlarına erişimi olabilecek, ayrıcalıklı bir yürütme ortamı ve/veya sistem bütünlüğünü korumak için kullanılabilir.

Örneğin, kullanıcı tarafından yasaklanacak özelliklere sahip bir Android SELinux untrusted_app alanı veya erişimi olan privileged|signature izinleri.
İşletim sistemi çekirdeği Şu özelliklere sahip işlevler:
  • örneğin,
  • çekirdekle aynı CPU bağlamında çalışır (örneğin, cihaz sürücüleri)
  • çekirdek belleğine (örneğin, cihazdaki donanım bileşenleri) doğrudan erişimi olduğunda
  • komut dosyalarını çekirdek bileşenine (örneğin, eBPF) yükleme özelliğine sahiptir.
  • çekirdek eşdeğeri olarak kabul edilen az sayıda kullanıcı hizmetinden biridir (ör. apexd, bpfloader, init, ueventd, ve vold).
Güvenilir Donanım Tabanı (THB) Genellikle SoC'de kritik öneme sahip işlevsellik sağlayan ayrı donanım bileşenleri (hücresel ana bantlar, DSP'ler, GPU'lar ve makine öğrenimi gibi) cihazın temel kullanım alanlarına için geçerlidir).
Bootloader Zinciri Açılışta cihazı yapılandıran ve ardından kontrolü Android OS'e geçiren bileşen.
Güvenilir Yürütme Ortamı (TEE) Zararlı bir işletim sistemi çekirdeğinden bile korunmak üzere tasarlanmış bileşen (örneğin, TrustZone ve sanal makineleri işletim sisteminden koruyan pKVM gibi hipervizörler çekirdeği) kaldırın.
Güvenli Enclave / Güvenlik Unsuru (SE) Chromebook'taki diğer tüm bileşenlere karşı korunacak şekilde tasarlanmış isteğe bağlı nedeniyle olduğu gibi, fiziksel saldırıdan Güvenlik Unsurlarına Giriş.

Buna bazı Android cihazlarda bulunan Titan-M çipi dahildir.

Önem derecesi

Bir hatanın önem düzeyi genellikle bir hatanın şu durumlarda oluşabilecek potansiyel zararı yansıtır. başarılı bir şekilde istismar edildi. Önem derecesini belirlemek için aşağıdaki ölçütleri kullanın.

Derecelendirme Başarılı kötüye kullanımın sonucu
Kritik
  • TEE veya SE'de rastgele kod yürütme
  • Güvenlikle ilgili yazılımları veya donanımı önlemek üzere tasarlanmış yazılım mekanizmalarını atlama bozuk çalışmaya bağlı bileşenler (ör. termal koruma)
  • Uzak hizmet kimlik doğrulaması için kullanılan hassas kimlik bilgilerine uzaktan erişim ( hesap şifreleri veya hamiline ait jetonlar gibi)
  • Hiçbir kullanıcı olmadan hücresel ana bant bağlamında uzaktan rastgele kod yürütme etkileşim (örneğin, hücresel radyo hizmetindeki bir hatayı kötüye kullanma)
  • Ayrıcalıklı bir bağlamda, bootloader zincirinde, THB veya işletim sistemi çekirdeği
  • Paket kurulumunda veya eşdeğer bir sistemde kullanıcı etkileşimi gereksinimlerinin uzaktan atlanması davranış
  • Temel geliştirici, güvenlik veya gizlilik ayarları
  • Uzaktan kalıcı hizmet reddi (kalıcı, tüm içeriğin yeniden başlatılmasını gerektirir) işletim sistemini veya fabrika ayarlarına sıfırlamanız gerekir)
  • Uzaktan güvenli başlatma atlama
  • SE tarafından korunan verilere yetkisiz erişim (ör. zayıf anahtarların sağladığı erişim) GD.
Yüksek
  • Temel güvenlik özelliğinin tam atlaması (örneğin, SELinux, FBE veya seccomp) olarak değiştirildi
  • Güvenlik açığına karşı korumada derinlemesine bir savunma veya kötüye kullanım azaltma teknolojisi bootloader zinciri, TEE veya SE
  • İşletim sistemi korumaları için, bellek veya dosya içeriklerini açığa çıkaran genel bir atlama Uygulama, kullanıcı veya profil sınırlarını aşmak
  • SE'ye karşı, güvenliği düşük bir uygulamaya geçilmesine neden olan saldırılar
  • Uzaktan erişilebilen güvenliği ihlal edilmiş fiziksel donanım yazılımından (ör. ana bant, CP/İletişim İşlemcisi) çıplak metal donanım yazılımını AP çekirdeğinden izole etmek için tasarlanmış mekanizmalar
  • Cihaz korumasını/fabrika ayarlarına sıfırlama korumasını/operatör kısıtlamalarını atla
  • TEE tarafından korunan kullanıcı etkileşimi şartları atlanır
  • Uçtan uca protokollere karşı saldırılara izin veren kriptografik güvenlik açığı, Buna aktarım katmanı güvenliği (TLS) ve Bluetooth (BT) karşı saldırılar dahil.
  • Uzak hizmet kimlik doğrulaması için kullanılan hassas kimlik bilgilerine yerel erişim ( hesap şifreleri veya hamiline ait jetonlar gibi)
  • Ayrıcalıklı bir bağlamda, bootloader zincirinde, THB veya işletim sistemi çekirdeği
  • Yerel güvenli başlatma atlama
  • Kilit ekranı atlama
  • Temel geliştirici, güvenlik veya gizlilik için kullanıcı etkileşimi şartlarının yerel olarak atlanması Ayarlar
  • Paket yüklemede veya eşdeğerinde kullanıcı etkileşimi şartlarının yerel olarak atlanması davranış
  • Yerel kalıcı hizmet reddi (kalıcı, tüm içeriğin yeniden başlatılmasını gerektirir) işletim sistemini veya fabrika ayarlarına sıfırlamanız gerekir)
  • Korunan verilere (yani ayrıcalıklı bir veriyle sınırlı verilere) uzaktan erişim bağlam)
  • Ayrıcalıksız bir bağlamda uzaktan rastgele kod yürütme
  • Kullanıcı etkileşimi olmadan hücresel veya kablosuz hizmete erişimin uzaktan engellenmesi (için örneğin, hücresel radyo hizmetinin bozuk bir paketle kilitlenmesi)
  • Kullanıcı etkileşimi gereksinimlerinin uzaktan atlanması (işlevsellik veya verilere erişim, kullanıcı tarafından başlatılması veya kullanıcı izni gerektirmesi gerekir)
  • Acil durum hizmetlerine erişimin hedefli bir şekilde engellenmesi
  • Güvenli olmayan bir ağ protokolü üzerinden hassas bilgilerin aktarılması (örneğin, HTTP ve şifrelenmemiş Bluetooth) kullandığınızdan emin olun. Not Kablosuz şifreleme için geçerli değil (WEP gibi)
  • Zayıf anahtarların etkinleştirdiği erişim dahil olmak üzere, TEE tarafından korunan verilere yetkisiz erişim TEE'de
Orta
  • Bir güvenlik açığında derinlikli savunma veya kötüye kullanım azaltma teknolojisi için özel bağlam, THB veya işletim sistemi çekirdeği
  • İşletim sistemi korumaları için işlem durumunu veya Uygulama, kullanıcı veya profil sınırları genelinde meta veriler
  • Kablosuz ağ şifrelemesini veya kimlik doğrulamasını atlama
  • Standart kriptografilerde, verilerin sızdırılmasına izin veren kriptografik güvenlik açığı şifrelenmemiş metin (TLS'de kullanılan temel öğeler değil)
  • Korunan verilere (ayrıcalıklı bir bağlamla sınırlı veriler) yerel erişim
  • Ayrıcalıksız bir bağlamda yerel rastgele kod yürütme
  • Kullanıcı etkileşimi gereksinimlerinin yerel olarak atlanması (işlevlere veya verilere erişim, normalde kullanıcının başlatılmasını veya kullanıcı izni gerektirir.)
  • Korumasız verilere (yani normalde yerel olarak herkesin erişebildiği verilere) yüklü uygulama)
  • Sınırlı bir bağlamda uzaktan rastgele kod yürütme
  • Cihazın uzaktan geçici hizmet reddi (uzaktan askıya alma veya yeniden başlatma)
Düşük
  • Google Cloud'da kullanıcı düzeyinde savunma veya kötüye kullanım azaltma teknolojisi için ayrıcalıksız bir bağlam
  • Normalin atlanması koruma düzeyi izin
  • Standart dışı kullanım sırasında kriptografik güvenlik açığı
  • Şu gibi cihaz üzerinde kişiselleştirme özelliklerinin genel olarak atlanması: Voice Match veya Face Match
  • Güvenlik açığına neden olabilecek yanlış belgeler
  • Sınırlı bir bağlamda yerel rastgele kod yürütme
  • Yanlış sonuç veren yanıltıcı bir açıklama içeren, sistem tarafından tanımlanmış metin güvenlik beklentisi
Yetersiz Güvenlik Etkisi (NSI)
  • Etkisi bir veya daha fazla derecelendirme değiştiriciyle azaltılmış olan ya da sürüme özgü mimari değişiklikleri, etkili önem düzeyi Düşük, temel kod sorunu devam edebilir, ancak
  • Hatalı biçimlendirilmiş bir dosya sistemi gerektiren herhangi bir güvenlik açığı (söz konusu dosya sistemi her zaman kabul edilmesi/şifrelenmesi gerekir.
  • Yerel geçici hizmet reddi (ör. cihazın yeniden başlatılması veya yüklemesinin kaldırılmasıyla sorunun çözülebileceği durumlar) tetikleyici uygulamadır.

Puan değiştiriciler

Güvenlik açıklarının önem derecesi genellikle kolayca belirlense de derecelendirmeler değişebilir. nasıl empati gösterebilirsiniz.

Neden Efekt
Saldırıyı yürütmek için ayrıcalıklı bağlam olarak çalıştırmayı gerektirir (TEE, SE, pKVM gibi hipervizörler) -1 Önem derecesi
Güvenlik açığına özgü ayrıntılar, sorunun etkisini sınırlar -1 Önem derecesi
Doğrudan cihazdan biyometrik bilgi gerektiren biyometrik kimlik doğrulama atlama cihaz sahibi -1 Önem derecesi
Derleyici veya platform yapılandırmaları, kaynak kodundaki güvenlik açığını azaltır Temel güvenlik açığı Orta veya daha yüksek ise Önem Düzeyi Orta Düzey
Cihazın dahili özelliklerine fiziksel erişim gerektirir ve cihaz kapalıyken veya açıldığından beri kilidi açılmadı -1 Önem derecesi
Cihaz açıkken ve daha önce etkinleştirildiğinde cihazın dahili öğelerine fiziksel erişim gerektirir kilidi açıldı -2 Önem derecesi
Bootloader zincirinin kilidinin açılmasını gerektiren yerel bir saldırı Düşükten yüksek değil
Aşağıdaki işlemler için Geliştirici Modu veya herhangi bir kalıcı geliştirici modu ayarı gerektiren yerel bir saldırı Geçerli olarak cihazda etkinleştirilmiş olması gerekir (ve Geliştirici Modu'nda bir hata değildir). Düşükten yüksek değil
İşlemi Google tarafından sağlanan SEPolicy kapsamında hiçbir SELinux alanı gerçekleştiremiyorsa Düşük Düzeyde Güvenlik Etkisi

Yerel mi, Proksimal mi, Uzak mı?

Uzaktan saldırı vektörü, bir uygulama yüklenmeden veya yazılım yüklenmeden bu hatadan yararlanılabileceğini gösterir. erişimi olmayan kullanıcılar için geçerlidir. Bu, bir e-posta okuma, SMS mesajı alma veya saldırgan bir ağa bağlanma.

Proksimal saldırı vektörleri uzak olarak kabul edilir. Bunlar, yalnızca istismar edilebilecek hataları içerir saldırgan tarafından hedef cihazın yakınında bulunan bir saldırgan tarafından (ör. bozuk kablosuz ağ veya Bluetooth paketleri göndermek. Ultra geniş bant (UWB) ve NFC tabanlı olabilir. ve dolayısıyla uzak olarak nitelendirilebilir.

Yerel saldırılar, saldırganın kurbana önceden erişim sahibi olmasını gerektirir. Varsayımsal bir örnek olarak, mağdurun yüklediği kötü amaçlı bir uygulama veya bir Sahip oldukları Hazır Uygulama çalışmasını kabul eder.

Başarıyla eşlenen cihazlar (ör. Bluetooth tamamlayıcı cihazlar) yerel olarak kabul edilir. Biz eşlenen cihaz ile eşlemeye katılan cihaz arasında ayrım yapma akışı sağlar.

  • Kullanıcının eşlendiği diğer cihazı tanımlama becerisini azaltan hatalar (ör. kimlik doğrulama) yakın ve dolayısıyla uzak olarak kabul edilir.
  • Eşleme akışı sırasında, ancak kullanıcı izni (ör. yetkilendirme) olarak kabul edilir.
  • Kullanıcı izni alındıktan sonra ortaya çıkan hatalar, başarısız olur.

Fiziksel saldırı vektörleri yerel kabul edilir. Bunlar, yalnızca Search Console'da kötüye kullanıma yönelik Cihaza fiziksel erişimi olan bir saldırgan (örneğin, kilit ekranındaki bir hata veya USB kablosu takmayı gerektirir. Cihazların, cihaz kullanırken veya hareket halindeyken USB bağlantısı gerektiren saldırılar, kilitsiz şekilde açılabilir.

Ağ güvenliği

Android, tüm ağların saldırgan olduğunu ve saldırı ya da casusluk yapabileceğini varsayar. yardımcı olur. Bağlantı katmanı güvenliği (örneğin, kablosuz ağ şifreleme) iletişimi korurken bağlı olduğu Erişim Noktası arasında bağlantı kurmadığı sürece cihaz ile iletişim kurduğu sunucular arasındaki zincirde kalan bağlantılar.

Buna karşın HTTPS, genellikle iletişimin tamamını uçtan uca korur ve verileri şifreleyerek ve yalnızca son hedefine ulaştığında şifresini çözer ve doğrular. Bu nedenle, bağlantı katmanı ağ güvenliğini tehlikeye atan güvenlik açıkları daha az derecelendirilir HTTPS/TLS'deki güvenlik açıklarından ciddi düzeydedir: Kablosuz şifreleme, çoğu kullanıcı internette iletişim kurma konusunda size yardımcı olabilirler.

Biyometrik kimlik doğrulama

Biyometrik kimlik doğrulama zor bir alandır ve en iyi sistemler bile yakın eşleşme (bkz. Android Geliştiricileri Blogu: Android 11'de kilit ekranı ve kimlik doğrulama iyileştirmeleri). Bu önem dereceleri, iki saldırı sınıfını birbirinden ayırır ve son kullanıcı için gerçek riski yansıtmalıdır.

Birinci saldırı sınıfı, biyometrik kimlik doğrulamanın genel bir yöntemle atlanmasını sağlar. sahibinin yüksek kaliteli biyometrik verileri olmadan. Örneğin bir saldırgan, bir parmak izi sensörünün üzerinde bulunan sakız parçası ve soldaki kalıntılara göre cihaza erişim izni veriyor bu işlem, duyarlı cihazlara gerçekleşebilecek basit bir saldırıdır. Google veya cihaz sahibinin bilgisi gerekmez. Genelleştirilebilir ve kapsamlı olduğu için daha fazla sayıda kullanıcıyı etkilediğini fark ederseniz bu saldırı, (örneğin, Kilit Ekranı atlama için Yüksek).

Diğer saldırı sınıfı, genellikle saldırıya dayalı sunum aracı (adres sahteciliği) içerir. izni bulunur. Bazen bu biyometrik bilgilere ulaşmak nispeten daha kolaydır ( Örneğin bir kişinin sosyal medyadaki profil resmi biyometrik kimlik doğrulamayı kandırmak için yeterliyse biyometrik atlama, önem derecesinin tamamını alır). Ancak bir saldırgan, doğrudan cihaz sahibinden biyometrik veri almak için (örneğin, bu da etkilenen kişilerin sayısını sınırlandıracak kadar büyük bir engel, bu yüzden -1 değiştiricisi var.

SYSTEM_ALERT_WINDOW ve Tapjacking

SYSTEM_ALERT_WINDOW ve temassız ödeme ile ilgili politikalarımız hakkında bilgi edinmek için, "Güvenlik açısından kritik olmayan bir ekranda dokunma/yer paylaşımlı SYSTEM_ALERT_WINDOW güvenlik açığı"na bakın BugHunter Üniversitesi'nin Güvenlik üzerinde etkisi olmayan hatalar sayfasını ziyaret edin.

Android Automotive OS'te çok kullanıcılı güvenlik

Android Automotive OS, çok kullanıcılı bir güvenlik modelini benimser diğer form faktörlerinden farklıdır. Her Android kullanıcısı farklı bir kullanıcı tarafından kullanılmak üzere tasarlanmıştır. gerçek kişidir. Örneğin geçici misafir kullanıcı, ödünç alan bir arkadaşa atanabilir araç sahibinden. Bunun gibi kullanım alanlarına uygun olması için kullanıcılar varsayılan olarak aracı kullanmak için gereken kablosuz ve hücresel ağ gibi bileşenlere erişim Ayarlar'da devre dışı bırakabilirsiniz.

Etkilenen bileşen

Hatayı düzeltmekten sorumlu geliştirme ekibi, hatanın hangi bileşende olduğuna bağlıdır. Android platformunun temel bir bileşeni, orijinal bir sunucu tarafından sağlanan bir çekirdek sürücüsü, ekipman üreticisi (OEM) veya Pixel cihazlardaki önceden yüklenmiş uygulamalardan birini içerir.

AOSP kodundaki hatalar, Android mühendislik ekibi tarafından düzeltilmektedir. Düşük önem düzeyine sahip hatalar bilinen belirli bileşenlerin veya hataların doğrudan halka açık AOSP ana şubesi; aksi takdirde dahili depolarımızda düzeltilir tıklayın.

Bileşen, kullanıcıların güncelleme alma şeklini de etkiler. Çerçeve veya çekirdekteki bir hata her OEM'in aktarması gereken kablosuz (OTA) donanım yazılımı güncellemesi gerekir. Uygulamadaki bir hata veya veya Google Play'de yayınlanan bir kitaplığı (örneğin, Gmail, Google Play Hizmetleri veya WebView) .

İş ortakları bilgilendiriliyor

AOSP'deki bir güvenlik açığı Android Güvenlik Bülteni'nde düzeltildiğinde, Android, sorun ayrıntılarının iş ortakları ve yamalar sağlar. Geri bağlantı noktası destekli sürümlerin listesi her yeni Android sürümüyle birlikte değişiyor. Aşağıdakilerin listesi için cihazınızın üreticisiyle iletişime geçin cihazlar.

AOSP'ye kod yayınlama

Güvenlik hatası bir AOSP bileşenindeyse düzeltme, OTA yayınlandı. Önem derecesi düşük olan sorunların düzeltmeleri doğrudan AOSP ana sayfasına gönderilebilir dalını çözmeniz gerekir.

Android güncellemeleri alma

Android sistemindeki güncellemeler genellikle cihazlara OTA güncelleme paketleri aracılığıyla iletilir. Bu güncellemeler, cihazı üreten OEM veya sağlayan operatör tarafından yapılabilir. söz konusu olabilir. Google Pixel cihaz güncellemeleri, Google Pixel Ekibi'nden taşıyıcı firma teknik kabul (TA) test prosedürü yoluyla edinilebilir. Google ayrıca Pixel fabrika imajları farklı cihazlarda yükleyebilirsiniz.

Google hizmetleri güncelleniyor

Android güvenlik ekibi, güvenlik hataları için yama sağlamanın yanı sıra kullanarak, kullanıcıları korumanın başka yollarının olup olmadığını kontrol eder. Örneğin, Google Play tüm web sayfalarını uygulama ve güvenlik hatasından yararlanmaya çalışan uygulamaları kaldırır. Şuradan yüklenen uygulamalar için: Google Play dışındaki cihazlarda, Google Play Hizmetleri'ne sahip cihazlar da Uyarı için Uygulamaları Doğrula özelliği kullanıcıları zararlı olabilecek uygulamalarla ilgili bilgilendirerek.

Diğer kaynaklar

Android uygulama geliştiriciler için bilgiler: https://developer.android.com

Android Açık Kaynak ve Geliştirici sitelerinde güvenlik bilgileri mevcuttur. İyi başlangıç noktaları:

Raporlar

Bazen Android Güvenlik ekibi raporlar veya teknik belgeler yayınlar. Görüntüleyin Ayrıntılı bilgi için Güvenlik Raporları başlıklı makaleyi inceleyin.