Sichern Sie ein Android-Gerät

Android enthält branchenführende Sicherheitsfunktionen und arbeitet mit Entwicklern und Geräteimplementierern zusammen, um die Sicherheit der Android-Plattform und des Ökosystems zu gewährleisten. Ein robustes Sicherheitsmodell ist unerlässlich, um ein leistungsfähiges Ökosystem von Apps und Geräten zu ermöglichen, die auf und um die Android-Plattform herum aufgebaut und von Cloud-Diensten unterstützt werden. Infolgedessen wurde Android während seines gesamten Entwicklungslebenszyklus einem strengen Sicherheitsprogramm unterzogen.

Android ist offen gestaltet. Android-Apps verwenden fortschrittliche Hardware und Software sowie lokale und bereitgestellte Daten, die über die Plattform bereitgestellt werden, um den Verbrauchern Innovation und Mehrwert zu bieten. Um diesen Wert zu realisieren, bietet die Plattform eine App-Umgebung, die die Vertraulichkeit, Integrität und Verfügbarkeit von Benutzern, Daten, Apps, dem Gerät und dem Netzwerk schützt.

Die Absicherung einer offenen Plattform erfordert eine starke Sicherheitsarchitektur und strenge Sicherheitsprogramme. Android wurde mit mehrschichtiger Sicherheit entwickelt, die flexibel genug ist, um eine offene Plattform zu unterstützen und gleichzeitig alle Benutzer der Plattform zu schützen. Weitere Informationen zu Sicherheitsfragen Berichterstattung und den Update - Prozess finden Sie Sicherheits - Updates und Ressourcen .

Android ist für Entwickler gedacht. Sicherheitskontrollen wurden entwickelt, um die Belastung der Entwickler zu verringern. Sicherheitsbewusste Entwickler können problemlos mit flexiblen Sicherheitskontrollen arbeiten und sich auf diese verlassen. Entwickler, die mit Sicherheit weniger vertraut sind, werden durch sichere Standardeinstellungen geschützt.

Android bietet nicht nur eine stabile Plattform, auf der aufgebaut werden kann, sondern bietet Entwicklern in vielerlei Hinsicht zusätzliche Unterstützung. Das Android-Sicherheitsteam sucht nach potenziellen Sicherheitslücken in Apps und schlägt Möglichkeiten zur Behebung dieser Probleme vor. Für Geräte mit Google Play liefert Play Services Sicherheitsupdates für kritische Softwarebibliotheken wie OpenSSL, das zur Sicherung der App-Kommunikation verwendet wird. Android Sicherheit freigegeben ein Tool SSL (zum Testen nogotofail ) , die auf Entwickler finden potenzielle Sicherheitsprobleme hilft Unabhängig davon , welche Plattform sie entwickeln.

Weitere Informationen für Android App - Entwickler finden Sie unter developer.android.com .

Android ist für Benutzer konzipiert. Benutzer erhalten Einblick in die von jeder App angeforderten Berechtigungen und können diese Berechtigungen kontrollieren. Dieses Design beinhaltet die Erwartung, dass Angreifer versuchen würden, gängige Angriffe durchzuführen, z. Android wurde entwickelt, um sowohl die Wahrscheinlichkeit dieser Angriffe zu verringern als auch die Auswirkungen des Angriffs im Erfolgsfall stark zu begrenzen. Die Android-Sicherheit schreitet weiter voran, nachdem das Gerät in den Händen des Benutzers ist. Android arbeitet mit Partnern und der Öffentlichkeit Patches für alle Android - Gerät zu schaffen , die Sicherheitsupdates erhalten wird fortgesetzt.

Weitere Informationen für den Endverbraucher in der gefunden werden Nexus - Hilfe , Pixel - Hilfe oder dem Gerät des Herstellers Hilfe.

Diese Seite skizziert die Ziele des Android-Sicherheitsprogramms, beschreibt die Grundlagen der Android-Sicherheitsarchitektur und beantwortet die wichtigsten Fragen für Systemarchitekten und Sicherheitsanalysten. Es konzentriert sich auf die Sicherheitsfunktionen der Kernplattform von Android und behandelt keine Sicherheitsprobleme, die nur für bestimmte Apps gelten, wie z. B. im Zusammenhang mit der Browser- oder SMS-App.

Hintergrund

Android bietet eine Open-Source-Plattform und eine App-Umgebung für mobile Geräte.

In den folgenden Abschnitten und Seiten werden die Sicherheitsfunktionen der Android-Plattform beschrieben. Abbildung 1 veranschaulicht die Sicherheitskomponenten und Überlegungen zu den verschiedenen Ebenen des Android-Softwarestapels. Jede Komponente setzt voraus, dass die unten aufgeführten Komponenten ordnungsgemäß befestigt sind. Mit Ausnahme einer kleinen Menge an Android-Betriebssystemcode, der als Root ausgeführt wird, ist der gesamte Code über dem Linux-Kernel durch die Anwendungs-Sandbox eingeschränkt.

Abbildung 1: Android-Software-Stack

Abbildung 1. Android - Software - Stack

Die wichtigsten Bausteine ​​der Android-Plattform sind:

  • Geräte - Hardware: Android läuft auf einer Vielzahl von Hardware-Konfigurationen , einschließlich Handys, Tablets, Uhren, Autos, Smart - TVs, OTT - Gaming - Box und Set-Top-Boxen. Android ist prozessorunabhängig, nutzt jedoch einige hardwarespezifische Sicherheitsfunktionen wie ARM eXecute-Never.
  • Android Betriebssystem: Das Kernbetriebssystem auf dem Linux - Kernel gebaut wird. Auf alle Geräteressourcen wie Kamerafunktionen, GPS-Daten, Bluetooth-Funktionen, Telefoniefunktionen und Netzwerkverbindungen wird über das Betriebssystem zugegriffen.
  • Applikation für Android Runtime: Android - Apps werden am häufigsten in der Programmiersprache Java geschrieben und in der Android - Laufzeit (ART) laufen. Viele Apps, einschließlich der Kerndienste und Apps von Android, sind jedoch native Apps oder enthalten native Bibliotheken. Sowohl ART als auch native Apps werden in derselben Sicherheitsumgebung ausgeführt, die in der Application Sandbox enthalten ist. Apps erhalten einen dedizierten Teil des Dateisystems, in den sie private Daten schreiben können, einschließlich Datenbanken und Rohdateien.

Android-Apps erweitern das Kern-Betriebssystem Android. Es gibt zwei Hauptquellen für Apps:

  • Vorinstallierte Apps: Android enthält eine Reihe von vorinstallierten Anwendungen einschließlich Telefon, E - Mail, Kalender, Web - Browser und Kontakte. Diese fungieren als Benutzer-Apps und bieten wichtige Gerätefunktionen, auf die andere Apps zugreifen können. Vorinstallierte Apps können Teil der Open-Source-Android-Plattform sein oder von einem Gerätehersteller für ein bestimmtes Gerät entwickelt werden.
  • Benutzer installierten Apps: Android bietet eine offene Entwicklungsumgebung , die von Drittanbietern App unterstützt. Google Play bietet Nutzern Hunderttausende von Apps.

Google-Sicherheitsdienste

Google bietet eine Reihe von Cloud-basierten Diensten, die auf kompatiblen Android - Geräte mit verfügbaren Google Mobile Services . Obwohl diese Dienste nicht Teil des Android Open Source Project (AOSP) sind, sind sie auf vielen Android-Geräten enthalten. Weitere Informationen über einige dieser Dienste finden Sie Android Security 2018 Jahr im Rückblick .

Die primären Sicherheitsdienste von Google sind:

  • Google Play: Google Play ist eine Sammlung von Diensten , die Benutzer erlauben , zu entdecken, installieren und Kauf - Apps aus dem Android - Gerät oder im Web. Google Play macht es Entwicklern leicht, Android-Nutzer und potenzielle Kunden zu erreichen. Google Play bietet auch Community Überprüfung App Lizenzprüfung , App Sicherheits - Scans und andere Sicherheitsdienste.
  • Android - Updates: Der Android - Update - Service neue Funktionen und Sicherheits - Updates für ausgewählte Android - Geräte liefert, einschließlich Updates über das Web oder über die Luft (OTA).
  • App Dienste: Karkassen, die Nutzung Cloud - Funktionen Android Apps ermöglichen wie ( Backup ) App - Daten und Einstellungen und Cloud-to-Device - Messaging ( C2DM ) für Push - Messaging.
  • Stellen Sie sicher , Apps: Warnen oder automatisch die Installation von schädlichen Anwendungen blockieren, und ständig Scan - Anwendungen auf dem Gerät, Warnung vor oder Entfernen von schädlichen Apps .
  • SafetyNet: Ein Wahrung der Privatsphäre Intrusion - Detection - System zu unterstützen Google Tracking, mildert bekannte Sicherheitsbedrohungen und neue Sicherheitsbedrohungen identifizieren.
  • SafetyNet Attestation: Third-Party - API , um zu bestimmen , ob das Gerät ist CTS kompatibel. Attestation kann auch den Android - App mit dem App - Server kommuniziert identifizieren.
  • Android Geräte - Manager: Ein Web - App und Android App verloren gegangene oder gestohlenes Gerät zu orten.

Übersicht über das Sicherheitsprogramm

Zu den wichtigsten Komponenten des Android-Sicherheitsprogramms gehören:

  • Design Review: Der Android - Sicherheitsprozess beginnt in den frühen Entwicklungszyklus mit der Schaffung eines reichen und konfigurierbare Sicherheitsmodell und Design. Jedes Hauptmerkmal der Plattform wird von Technik- und Sicherheitsressourcen überprüft, wobei geeignete Sicherheitskontrollen in die Architektur des Systems integriert sind.
  • Penetrationstests und Code - Review: Bei der Entwicklung der Plattform, Android erstellte und Open - Source - Komponenten sind unter starken Sicherheitsüberprüfungen. Diese Überprüfungen werden vom Android Security Team, dem Information Security Engineering Team von Google und unabhängigen Sicherheitsberatern durchgeführt. Ziel dieser Überprüfungen ist es, Schwachstellen und mögliche Schwachstellen bereits vor der Veröffentlichung von Major Releases zu identifizieren und die Arten von Analysen zu simulieren, die von externen Sicherheitsexperten bei der Veröffentlichung durchgeführt werden.
  • Open Source und Community - Bewertung: AOSP ermöglicht breite Sicherheitsüberprüfung durch eine interessierte Partei. Android verwendet auch Open-Source-Technologien, die einer umfangreichen externen Sicherheitsüberprüfung unterzogen wurden, wie beispielsweise der Linux-Kernel. Google Play bietet Nutzern und Unternehmen ein Forum, um Nutzern direkt Informationen zu bestimmten Apps zur Verfügung zu stellen.
  • Incident Response: Auch mit diesen Vorsichtsmaßnahmen, Sicherheitsfragen nach Versand auftreten können, weshalb das Android - Projekt einen umfassenden Sicherheitsantwortprozess geschaffen hat. Vollzeit Android Sicherheit Teammitglieder überwachen , um die Android-spezifische und die allgemeine Sicherheitsgemeinschaft für die Diskussion über mögliche Schwachstellen und Überprüfung Sicherheitslücken im Android Bug - Datenbank abgelegt. Bei der Entdeckung legitimer Probleme verfügt das Android-Team über einen Reaktionsprozess, der die schnelle Behebung von Sicherheitslücken ermöglicht, um sicherzustellen, dass potenzielle Risiken für alle Android-Benutzer minimiert werden. Diese Cloud-unterstützten Antworten können das Aktualisieren der Android-Plattform (AOSP-Updates), das Entfernen von Apps aus Google Play und das Entfernen von Apps von Geräten im Feld umfassen.
  • Monatliches Sicherheitsupdates: Das Android - Sicherheitsteam bietet monatliches Updates auf Google Android - Geräte und alle unsere Geräteherstellerpartner.

Sicherheitsarchitektur der Plattform

Android strebt danach, das sicherste und benutzerfreundlichste Betriebssystem für mobile Plattformen zu sein, indem es traditionelle Sicherheitskontrollen des Betriebssystems umfunktioniert, um:

  • App- und Benutzerdaten schützen
  • Schützen Sie die Systemressourcen (einschließlich des Netzwerks)
  • Sorgen Sie für eine App-Isolierung vom System, anderen Apps und vom Benutzer

Um diese Ziele zu erreichen, bietet Android die folgenden wichtigen Sicherheitsfunktionen:

  • Robuste Sicherheit auf Betriebssystemebene durch den Linux-Kernel
  • Obligatorische App-Sandbox für alle Apps
  • Sichere Interprozesskommunikation
  • App-Signatur
  • App-definierte und vom Benutzer gewährte Berechtigungen