Android のセキュリティ機能とサービスは継続的に改善されています。左側のナビゲーションでリリースごとに強化されている機能の一覧をご覧ください。
Android 14
Android のすべてのリリースで、ユーザーを保護するためにさまざまなセキュリティ機能が強化されています。Android 14 では、次のようなセキュリティ機能が強化されました。
- Android 10 で導入された Hardware Assisted AddressSanitizer(HWASan)は、AddressSanitizer に似たメモリエラー検出ツールです。Android 14 では、HWASan が大幅に改善されました。Android のリリースにバグが混入するのを防ぐのに HWAddressSanitizer がどのように役立つのかをお伝えします。
- Android 14 では、システム実行時の権限ダイアログに、アプリのデータ共有方法を目立つように表示するクリック可能なセクションが追加されました。これは、まずサードパーティと位置情報を共有するアプリから導入され、アプリがサードパーティとデータを共有する理由などの情報が表示されます。
- Android 12 では、モデムレベルで 2G サポートを無効にするオプションが導入されました。これは、2G の時代遅れのセキュリティ モデルに固有であるセキュリティ リスクからユーザーを保護するものです。企業のお客様にとって 2G を無効にすることが非常に重要であることをふまえ、Android 14 では、Android Enterprise でこのセキュリティ機能を利用できるようになりました。IT 管理者は、管理対象デバイスの 2G 接続へのダウングレードを制限できます。
- NULL 暗号化されたモバイル接続を拒否するためのサポートが追加されました。回線交換の音声および SMS トラフィックが常に暗号化され、受動的な無線傍受から保護されるようになります。詳しくは、モバイル接続を強化するための Android のプログラムをご覧ください。
- 複数の IMEI に対するサポートが追加されました。
- Android 14 以降では、高速な暗号化方式に対応したデバイス用のファイル名の暗号化モードとして AES-HCTR2 が推奨されています。
- モバイル接続性
- Android のセーフティ センターにドキュメントが追加されました。
- Android 14 をターゲットとするアプリが動的コードの読み込み(DCL)を使用している場合、動的に読み込まれるファイルはすべて読み取り専用としてマークする必要があります。そうしないと、システムは例外をスローします。アプリでは可能な限り、コードを動的に読み込まないようにすることをおすすめします。コードを動的に読み込むと、コード インジェクションやコードの改ざんによってアプリが不正使用されるリスクが大幅に高まります。
AOSP リリースノートの全文と、デベロッパー向け Android 機能と変更点のリストをご覧ください。
Android 13
Android のすべてのリリースで、ユーザーを保護するためにさまざまなセキュリティ機能が強化されています。Android 13 では、次のようなセキュリティ機能が強化されました。
- Android 13 では、マルチドキュメント プレゼンテーションのサポートが追加されています。 この新しいプレゼンテーション セッション インターフェースを使用することで、アプリは、既存の API では不可能なマルチドキュメント プレゼンテーションを行えるようになります。詳しくは、ID 認証情報をご覧ください。
- Android 13 では、外部アプリから発信されるすべてのインテントは、宣言されたインテント フィルタ要素と一致する場合にのみ、エクスポートされたコンポーネントに配信されます。
- Open Mobile API(OMAPI)は、デバイスのセキュア エレメントとの通信に使用される標準 API です。Android 13 以前では、このインターフェースにアクセスできるのはアプリとフレームワーク モジュールだけでした。HAL モジュールは、これをベンダー安定版インターフェースに変換することにより、OMAPI サービスを介してセキュア エレメントと通信することもできます。詳しくは、OMAPI ベンダー安定版インターフェースについての記事をご覧ください。
- Android 13-QPR より、共有 UID はサポートされなくなりました。 Android 13 以降では、マニフェストに「android:sharedUserMaxSdkVersion="32"」という行を追加する必要があります。このエントリによって、新規ユーザーが共有 UID を取得できないようにします。UID について詳しくは、アプリへの署名をご覧ください。
- Android 13 では、AES(高度暗号化標準)、HMAC(鍵付きハッシュ メッセージ認証コード)などのキーストア対称暗号プリミティブ、および非対称暗号アルゴリズム(Elliptic Curve、RSA2048、RSA4096、Curve 25519 を含む)がサポートされるようになりました。
- Android 13(API レベル 33)以降では、除外対象外に関するアプリからの通知を送信する実行時の権限がサポートされます。これにより、ユーザーはどの権限に関するお知らせを表示するかを設定できます。
- すべてのデバイスログへのアクセスを要求するアプリに、その都度プロンプトを表示する機能を追加することで、ユーザーがアクセスを許可または拒否できるようになりました。
- Android 仮想化フレームワーク(AVF)を導入し、標準化された各種 API を備えた 1 つのフレームワークに、さまざまなハイパーバイザを統合しました。これにより、ハイパーバイザによって分離されたワークロードを実行するための、非公開の安全な実行環境が得られます。
- APK 署名スキーム v3.1を導入しました。apksigner を使用するすべての新しい鍵ローテーションは、Android 13 以降のローテーションをターゲットに、デフォルトで v3.1 の署名スキームを使用することになります。
AOSP リリースノートの全文と、デベロッパー向け Android 機能と変更点のリストをご覧ください。
Android 12
Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 12:
- Android 12 introduces the BiometricManager.Strings API, which provides localized strings for apps that use BiometricPrompt for authentication. These strings are intended to be device-aware and provide more specificity about which authentication types might be used. Android 12 also includes support for under-display fingerprint sensors
- Support added for under-display fingerprint sensors
- Introduction of the Fingerprint Android Interface Definition Language (AIDL)
- Support for new Face AIDL
- Introduction of Rust as a language for platform development
- The option for users to grant access only to their approximate location added
- Added Privacy indicators on the status bar when an app is using the camera or microphone
- Android's Private Compute Core (PCC)
- Added an option to disable 2G support
Android 11
Android のすべてのリリースで、ユーザーを保護するためにさまざまなセキュリティ機能が強化されています。Android 11 で利用できる強化されたセキュリティ機能の主なものについては、Android リリースノートをご覧ください。
Android 10
Android のすべてのリリースで、ユーザーを保護するためにさまざまなセキュリティ機能が強化されています。Android 10 では、セキュリティとプライバシーが強化されています。 Android 10 の変更点の一覧については、Android 10 リリースノートをご覧ください。
セキュリティ
BoundsSanitizer
Android 10 は、Bluetooth とコーデックで BoundsSanitizer(BoundSan)をデプロイします。BoundSan は、UBSan の境界サニタイザを使用します。 この緩和は、モジュール単位で有効になります。Android の重要なコンポーネントを安全に保護するものであり、無効にすることはできません。BoundSan は、次のコーデックで有効になっています。
libFLAC
libavcdec
libavcenc
libhevcdec
libmpeg2
libopus
libvpx
libspeexresampler
libvorbisidec
libaac
libxaac
実行専用メモリ
デフォルトでは、AArch64 システム バイナリの実行可能コード セクションは、コードの再利用による Just-In-Time 攻撃を防ぐための強化緩和策として実行専用(読み取り不可)としてマークされています。データとコードを混在させたコードおよび、意図的にこれらのセクションを検査するコード(メモリ セグメントを最初に読み取り可能として再マップしない場合も含む)は機能しなくなりました。Android 10 のターゲット SDK を使用したアプリの API レベル 29 以降は、実行専用メモリ(XOM)セクションを読み取り可能にする必要はありません。
拡張アクセス
Trust Agent は、Smart Lock などの二次的な認証メカニズムの基盤となるメカニズムであり、Android 10 でのみロック解除を拡張できます。ロックされたデバイスのロックを Trust Agent で解除することはできなくなりました。また、デバイスをロック解除状態に保てるのは最長 4 時間です。
顔認証
顔認証を使用すると、ユーザーがデバイスを正面から見るだけでロック解除が可能です。Android 10 では、カメラフレームを安全に処理できる新しい顔認証スタックのサポートが追加されており、サポート対象のハードウェアにおける顔認証時にセキュリティとプライバシーを保護します。また Android 10 では、簡単にセキュリティ要件を満たせる実装方法が用意されており、オンライン バンキングなどのサービス トランザクションでセキュリティ機能をアプリケーションに統合できます。
整数オーバーフロー サニタイズ
Android 10 では、ソフトウェア コーデックで整数オーバーフローの無害化(IntSan)が有効になりました。デバイスのハードウェアでサポートされていないコーデックに対して、再生パフォーマンスが許容可能であることを確認します。IntSan は、次のコーデックで有効になっています。
libFLAC
libavcdec
libavcenc
libhevcdec
libmpeg2
libopus
libvpx
libspeexresampler
libvorbisidec
モジュラー システム コンポーネント
Android 10 は、一部の Android システム コンポーネントをモジュール化しており、Android の通常のリリース サイクル以外で更新できます。モジュールには次のものがあります。
- Android ランタイム
- Conscrypt
- DNS Resolver
- DocumentsUI
- ExtServices
- メディア
- ModuleMetadata
- ネットワーキング
- PermissionController
- Time Zone Data
OEMCrypto
Android 10 は OEMCrypto API バージョン 15 を使用します。
Scudo
Scudo は、ヒープ関連の脆弱性に対する耐性を高めるために設計された、動的なユーザーモード メモリ アロケータです。標準的な C の割り当て、割り当て解除のプリミティブ、C++ のプリミティブを提供します。
ShadowCallStack
ShadowCallStack
(SCS)
は LLVM インストゥルメンテーション モードです。関数の戻りアドレスを非リーフ関数の関数プロローグに別々に割り当てられた ShadowCallStack
インスタンスに保存し、戻りアドレスを関数エピローグの ShadowCallStack
インスタンスから読み込むことで、戻りアドレス(スタック バッファなど)に対する上書きを回避します。
WPA3 と Wi-Fi Enhanced Open
Android 10 には、Wi-Fi Protected Access 3(WPA3)と Wi-Fi Enhanced Open のセキュリティ標準に対するサポートが追加され、既知の攻撃に対するプライバシーと堅牢性が強化されました。
プライバシー
Android 9 以前をターゲットとするアプリのアクセス
Android 9(API レベル 28)以前をターゲットとしているアプリが Android 10 以降で実行されている場合、プラットフォームでは次の動作が適用されます。
- アプリが
ACCESS_FINE_LOCATION
またはACCESS_COARSE_LOCATION
について<uses-permission>
要素を宣言した場合、インストール中にACCESS_BACKGROUND_LOCATION
に<uses-permission>
要素が自動的に追加されます。 - アプリが
ACCESS_FINE_LOCATION
またはACCESS_COARSE_LOCATION
のいずれかをリクエストした場合、そのリクエストに対してACCESS_BACKGROUND_LOCATION
が自動的に追加されます。
バックグラウンドでのアクティビティ制限
Android 10 以降、バックグラウンドからのアクティビティの起動に関する制限が設定されました。この動作変更により、ユーザーに対する割り込みを最小限に抑え、ユーザーは画面内の表示内容により集中できるようになります。ユーザー操作の直接の結果としてアプリがアクティビティを起動する場合、アプリがこの変更の影響を受けることはまずありません。
バックグラウンドからのアクティビティ起動に代わるおすすめの手段について詳しくは、タイミングが重要なイベントをユーザーに通知する方法をご覧ください。
カメラのメタデータ
Android 10 では、getCameraCharacteristics()
メソッドによってデフォルトで返される情報の範囲が変更されています。特に、このメソッドの戻り値に含まれる可能性のあるデバイス固有のメタデータにアクセスするには、アプリに CAMERA
権限が必要です。
これらの変更について詳しくは、権限を必要とするカメラ フィールドに関するセクションをご覧ください。
クリップボード データ
デフォルトのインプット メソッド エディタ(IME)のアプリまたは現在フォーカスのあるアプリでない限り、Android 10 以降ではクリップボード データにアクセスできません。
デバイスの位置情報
位置情報に対するアプリのアクセス権限をユーザーが詳細に制御できるようにするため、Android 10 では ACCESS_BACKGROUND_LOCATION
権限が導入されています。
ACCESS_FINE_LOCATION
権限や ACCESS_COARSE_LOCATION
権限とは異なり、ACCESS_BACKGROUND_LOCATION
権限が位置情報へのアプリのアクセスを制御するのは、そのアプリがバックグラウンドで実行しているときのみです。以下の条件のいずれかに該当する場合を除き、アプリはバックグラウンドで位置情報にアクセスしていると見なされます。
- 対象アプリに属するアクティビティが表示されている。
- フォアグラウンド サービスのタイプ
location
を宣言したフォアグラウンド サービスをアプリが実行している。
アプリのサービスに対してフォアグラウンド サービス タイプを宣言するには、アプリのtargetSdkVersion
またはcompileSdkVersion
を29
以上に設定する必要があります。フォアグラウンド サービスで、位置情報へのアクセスを必要とするユーザー開始アクションを実行し続ける方法についての説明をご覧ください。
外部ストレージ
デフォルトでは、Android 10 以降をターゲットとするアプリには外部ストレージに対するスコープ アクセス、つまり対象範囲別ストレージが付与されます。このようなアプリの場合、次のファイルの種類については、ストレージ関連のユーザー権限をリクエストしなくても外部ストレージ デバイスに表示されます。
- アプリ固有のディレクトリ内にあり、
getExternalFilesDir()
を使用してアクセスするファイル。 - アプリによってメディアストアから作成された写真、動画、音声クリップ。
対象範囲別ストレージについて、および外部ストレージ デバイスに保存されたファイルを共有、アクセス、変更する方法について詳しくは、外部ストレージでファイルを管理する方法、およびメディア ファイルにアクセスして変更する方法をご覧ください。
MAC アドレスのランダム化
Android 10 以降が実行されているデバイスでは、デフォルトでランダム MAC アドレスが送信されます。
エンタープライズ ユースケースを扱うアプリ向けに、プラットフォームには MAC アドレスに関連する操作を行うための API が用意されています。
- ランダムな MAC アドレスを取得する: デバイス所有者アプリとプロフィール所有者アプリは、
getRandomizedMacAddress()
を呼び出すことで、特定のネットワークに割り当てられたランダムな MAC アドレスを取得できます。 - 実際の出荷時 MAC アドレスを取得する: デバイス オーナー アプリでは、
getWifiMacAddress()
を呼び出すことで、デバイスの実際のハードウェア MAC アドレスを取得できます。このメソッドは、大量のデバイスをトラッキングする際に便利です。
再設定不可能なデバイス ID
Android 10 以降で IMEI とシリアル番号の両方を含む再設定不可能なデバイス ID にアクセスするには、アプリに READ_PRIVILEGED_PHONE_STATE
特権が必要です。
Build
TelephonyManager
権限を持たないアプリが再設定不可能な ID に関する情報を求めようとした場合、プラットフォームの応答はターゲット SDK のバージョンによって異なります。
- アプリが Android 10 以降を対象にしている場合、
SecurityException
が発生します。 - アプリが Android 9(API レベル 28)以下を対象にしている場合、アプリに
READ_PHONE_STATE
権限があれば、このメソッドはnull
またはプレースホルダ データを返します。それ以外の場合は、SecurityException
が発生します。
操作の認識
Android 10 では、ユーザーの歩数を検出したり、徒歩、サイクリング、車の運転など、ユーザーの操作を分類したりする必要があるアプリ向けに android.permission.ACTIVITY_RECOGNITION
ランタイム権限が導入されています。このアクセス権限は、デバイスのセンサーデータが [設定] 内でどのように使用されているのかをユーザーに表示するように設計されています。
Google Play 開発者サービス内のライブラリの中には、Activity Recognition API や Google Fit API など、ユーザーがアプリに対してこの権限を付与していない限り結果を提供しないものがあります。
デバイス上の組み込みセンサーのうち、この権限の宣言を求めるのは、歩数計と歩行検出のセンサーのみです。
Android 9(API レベル 28)以前をターゲットとしているアプリの場合、アプリが次の条件をすべて満たしていれば、必要に応じてシステムが android.permission.ACTIVITY_RECOGNITION
権限をアプリに自動的に付与します。
- マニフェスト ファイルには
com.google.android.gms.permission.ACTIVITY_RECOGNITION
権限が含まれます。 - マニフェスト ファイルには
android.permission.ACTIVITY_RECOGNITION
権限は含まれません。
システムが android.permission.ACTIVITY_RECOGNITION
権限を自動的に付与した場合、アプリが Android 10 をターゲットにするよう更新された後もアプリはこの権限を保持します。ただし、ユーザーはいつでもシステム設定でこの権限を取り消すことができます。
/proc/net ファイルシステムの制限
Android 10 以降が実行されているデバイスでは、デバイスのネットワーク状態に関する情報が格納されている /proc/net
にアプリがアクセスすることはできません。VPN など、この情報にアクセスする必要のあるアプリは、NetworkStatsManager
クラスや ConnectivityManager
クラスを使用する必要があります。
UI から削除された権限グループ
Android 10 の時点で、UI 内で権限がどのようにグループ化されているかをアプリでは検索できません。
連絡先アフィニティの削除
Android 10 以降、プラットフォームでは連絡先アフィニティ情報を管理しません。そのため、アプリによってユーザーの連絡先に対して検索が行われても、その検索結果はインタラクションの頻度では並べ替えられません。
ContactsProvider
に関するガイドには、Android 10 以降すべてのデバイスでサポートが終了したフィールドとメソッドに関する注意事項が記載されています。
画面コンテンツに対するアクセスの制限
ユーザーの画面コンテンツを保護するため、Android 10 では READ_FRAME_BUFFER
、CAPTURE_VIDEO_OUTPUT
、CAPTURE_SECURE_VIDEO_OUTPUT
の各権限の範囲を変更することで、デバイスの画面コンテンツへのサイレント アクセスを防止します。Android 10 の時点で、これらの権限は signature アクセス専用です。
デバイスの画面コンテンツにアクセスする必要があるアプリでは、MediaProjection
API を使用する必要があります。この API により、ユーザーに同意を求めるプロンプトが表示されます。
USB デバイスのシリアル番号
Android 10 以降をターゲットとしているアプリの場合、ユーザーがアプリに対して USB デバイスや USB アクセサリへのアクセス権限を付与するまで、シリアル番号を読み取ることができません。
USB デバイスの操作の詳細については、USB ホストを設定する方法をご覧ください。
Wi-Fi
Android 10 以降をターゲットとするアプリは、有効 / 無効を切り替えることができません。WifiManager.setWifiEnabled()
メソッドは常に false
を返します。
Wi-Fi の有効 / 無効を切り替えるようにユーザーに促す必要がある場合は、設定パネルを使用します。
設定済み Wi-Fi ネットワークへの直接アクセスに関する制限
ユーザーのプライバシーを保護するために、Wi-Fi ネットワーク リストの手動設定は、システムアプリと Device Policy Controller(DPC)のみに制限されています。特定の DPC をデバイス オーナーまたはプロファイル オーナーのいずれかに指定できます。
Android 10 以降をターゲットとしている、システムアプリでも DPC でもないアプリの場合、次のメソッドでは有用なデータが返されません。
getConfiguredNetworks()
メソッドからは常に空のリストが返されます。- 整数値を返すネットワーク操作メソッド(
addNetwork()
およびupdateNetwork()
)はいずれも常に「-1」を返します。 - ブール値を返すネットワーク操作メソッド(
removeNetwork()
、reassociate()
、enableNetwork()
、disableNetwork()
、reconnect()
、disconnect()
)は、常に「false
」を返します。
Android 9
Android のすべてのリリースで、ユーザーを保護するためにさまざまなセキュリティ機能が強化されています。Android 9 で利用できる強化されたセキュリティ機能の主なものについては、Android リリースノートをご覧ください。
Android 8
Android のすべてのリリースで、ユーザーを保護するためにさまざまなセキュリティ機能が強化されています。Android 8.0 では、次のようなセキュリティ機能が強化されました。
- 暗号化。仕事用プロファイルで鍵を除去できるようになりました。
- 確認済みの起動。Android 確認付きブート(AVB)が追加されました。ブートローダーで使用されるロールバック保護をサポートする確認付きブートのコードベースが AOSP に追加されました。HLOS のロールバック保護について、推奨ブートローダーをサポートします。推奨ブートローダーは、物理的にデバイスを操作するユーザーのみがロック解除できます。
- ロック画面。不正使用防止機能を備えたハードウェアを使用してロック画面の認証情報を検証するサポートが追加されました。
- キーストア。Android 8.0 以降を搭載したすべてのデバイスでは、鍵アテステーションが要求されます。ゼロタッチ登録を改善する ID アテステーションのサポートが追加されました。
- サンドボックス化。フレームワークとデバイス固有のコンポーネントの間でプロジェクト Treble の標準インターフェースを使用する多くのコンポーネントが、より厳格にサンドボックス化されました。すべての信頼できないアプリに seccomp フィルタリングが適用され、カーネルの攻撃対象領域が削減されました。WebView は、システムの残りの部分へのアクセスが大幅に制限される独立したプロセスで実行されます。
- カーネルの強化。強化された usercopy、PAN エミュレーション、init 後の読み取り専用処理、KASLR が実装されました。
- ユーザー空間の強化。メディア スタック用に CFI が実装されました。アプリ オーバーレイはシステムにとって不可欠なウィンドウを覆うことができなくなりました。ユーザーはこれを非表示にできます。
- ストリーミング OS アップデート。ディスク容量が少ないデバイスでのアップデートが可能になりました。
- 不明なアプリのインストール。ユーザーがファーストパーティのアプリストア以外のソースからアプリをインストールする際は、権限を付与する必要があります。
- プライバシー。Android ID(SSAID)の値は、デバイス上のアプリとユーザーごとに異なります。ウェブブラウザ アプリの場合、Widevine クライアント ID は、アプリ パッケージ名とウェブオリジンごとに異なる値を返します。
net.hostname
は空になり、DHCP クライアントはホスト名を送信しなくなりました。android.os.Build.SERIAL
は、ユーザーが制御する権限の背後で保護されるBuild.SERIAL
API に置き換えられました。一部のチップセットで、MAC アドレスのランダム化が改善されました。
Android 7
Android のすべてのリリースで、ユーザーを保護するためにさまざまなセキュリティ機能が強化されています。Android 7.0 では、次のようなセキュリティ機能が強化されました。
- ファイルベースの暗号化。ストレージ領域全体を 1 単位として暗号化するのではなく、ファイルレベルで暗号化することで、デバイス上の個々のユーザーとプロファイル(個人用や仕事用など)を適切に切り離して保護できます。
- ダイレクト ブート。ファイルベースの暗号化によって有効化されるダイレクト ブートでは、ロック解除されていなくてもデバイスの電源が入っていれば、アラームやユーザー補助機能などの特定のアプリを実行できます。
- 確認付きブート。不正侵入されたデバイスが起動されないように、確認付きブートが厳格に適用されるようになりました。エラー修正がサポートされ、悪意のないデータの破損に対する信頼性が向上しています。
- SELinux。SELinux 構成が更新され、seccomp の適用範囲が拡大したことで、アプリ サンドボックスをさらにロックして攻撃対象領域を減らします。
- ライブラリのロード順序のランダム化と ASLR の改善。ランダム性を上げることで、コード再利用攻撃の精度が低下します。
- カーネルの強化。カーネルメモリの一部を読み取り専用にしてユーザー空間アドレスへのカーネル アクセスを制限し、既存の攻撃対象領域をさらに減らすことで、新しいカーネルのメモリ保護を強化しました。
- APK 署名スキーム v2。検証速度を改善して整合性に関する保証を強化するファイル全体の署名スキームが導入されました。
- 信頼できる CA ストア。アプリが安全なネットワーク トラフィックへのアクセスを制御しやすくするために、ユーザーがインストールした認証局とデバイス管理 API 経由でインストールされた認証局は、API レベル 24 以降をターゲットとするアプリではデフォルトで信頼されなくなりました。また、すべての新しい Android デバイスに、信頼できる同一の CA ストアが付属している必要があります。
- ネットワーク セキュリティ構成。宣言型構成ファイルを使用して、ネットワーク セキュリティと TLS を構成します。
Android 6
Android のすべてのリリースで、ユーザーを保護するためにさまざまなセキュリティ機能が強化されています。Android 6.0 では、次のようなセキュリティ機能が強化されました。
- 実行時の権限。アプリはインストール時に権限を付与されるのではなく、実行時に権限をリクエストします。ユーザーは、M と M より前のアプリの両方で、権限のオンとオフを切り替えることができます。
- 確認付きブート。スマートフォンがブートローダーからオペレーティング システムまですべて正常な状態であることを確認するため、実行に先立ってシステム ソフトウェアの一連の暗号チェックが実施されます。
- ハードウェアから分離されたセキュリティ。カーネルの侵害やローカルの物理攻撃から鍵を保護するため、Fingerprint API、ロック画面、デバイスの暗号化、クライアント証明書では新しいハードウェア抽象化レイヤ(HAL)が使用されます。
- 指紋。一度タッチするだけでデバイスをロック解除できるようになりました。デベロッパーは、指紋を使用して暗号鍵をロックおよびロック解除する新しい API も利用できます。
- SD カードの導入。デバイスにリムーバブル メディアを導入して、アプリのローカルのデータ、写真、動画などに利用できるストレージを拡張できます。なお、それらは引き続きブロックレベルの暗号化によって保護されます。
- クリアテキストのトラフィック。デベロッパーは、新しい StrictMode を使用して、アプリがクリアテキストを使用しないことを保証できます。
- システムの強化。SELinux によって適用されるポリシーによってシステムが強化されました。これには、ユーザー間の分離の改善、IOCTL フィルタリングの提供、公開サービスの脅威の軽減、SELinux ドメインのさらなる厳格化、/proc アクセスの大幅な制限が含まれます。
- USB アクセス制御。ユーザーは、スマートフォン上のファイル、ストレージ、またはその他の機能に対する USB アクセスを許可するかどうか確認を求められます。現在のところデフォルトは充電のみで、ストレージへのアクセスについてユーザーの明示的な同意が求められます。
Android 5
5.0
Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 5.0:
- Encrypted by default. On devices that ship with L out-of-the-box, full disk encryption is enabled by default to improve protection of data on lost or stolen devices. Devices that update to L can be encrypted in Settings > Security .
- Improved full disk encryption. The user password is
protected against brute-force attacks using
scrypt
and, where available, the key is bound to the hardware keystore to prevent off-device attacks. As always, the Android screen lock secret and the device encryption key are not sent off the device or exposed to any application. - Android sandbox reinforced with SELinux . Android now requires SELinux in enforcing mode for all domains. SELinux is a mandatory access control (MAC) system in the Linux kernel used to augment the existing discretionary access control (DAC) security model. This new layer provides additional protection against potential security vulnerabilities.
- Smart Lock. Android now includes trustlets that provide more flexibility for unlocking devices. For example, trustlets can allow devices to be unlocked automatically when close to another trusted device (through NFC, Bluetooth) or being used by someone with a trusted face.
- Multi user, restricted profile, and guest modes for phones and tablets. Android now provides for multiple users on phones and includes a guest mode that can be used to provide easy temporary access to your device without granting access to your data and apps.
- Updates to WebView without OTA. WebView can now be updated independent of the framework and without a system OTA. This allows for faster response to potential security issues in WebView.
- Updated cryptography for HTTPS and TLS/SSL. TLSv1.2 and TLSv1.1 is now enabled, Forward Secrecy is now preferred, AES-GCM is now enabled, and weak cipher suites (MD5, 3DES, and export cipher suites) are now disabled. See https://developer.android.com/reference/javax/net/ssl/SSLSocket.html for more details.
- non-PIE linker support removed. Android now requires all dynamically linked executables to support PIE (position-independent executables). This enhances Android's address space layout randomization (ASLR) implementation.
- FORTIFY_SOURCE improvements. The following libc
functions now implement FORTIFY_SOURCE protections:
stpcpy()
,stpncpy()
,read()
,recvfrom()
,FD_CLR()
,FD_SET()
, andFD_ISSET()
. This provides protection against memory-corruption vulnerabilities involving those functions. - Security Fixes. Android 5.0 also includes fixes for Android-specific vulnerabilities. Information about these vulnerabilities has been provided to Open Handset Alliance members, and fixes are available in Android Open Source Project. To improve security, some devices with earlier versions of Android may also include these fixes.
Android 4 以前
Android のすべてのリリースで、ユーザーを保護するためにさまざまなセキュリティ機能が強化されています。Android 4.4 では、次のようなセキュリティ機能が強化されました。
- SELinux による Android サンドボックスの強化。Android で、enforcing モードの SELinux が使用されるようになりました。SELinux は、既存の任意アクセス制御(DAC)ベースのセキュリティ モデルを強化するために使用される、Linux カーネルの強制アクセス制御(MAC)システムです。これにより、潜在的なセキュリティの脆弱性に対する保護が強化されます。
- ユーザー別 VPN。マルチユーザー デバイスで、VPN がユーザーごとに適用されるようになりました。これにより、デバイスの他のユーザーに影響を与えることなく、VPN 経由ですべてのネットワーク トラフィックをルーティングできます。
- AndroidKeyStore での ECDSA プロバイダのサポート。ECDSA アルゴリズムと DSA アルゴリズムを使用できるキーストア プロバイダが Android に追加されました。
- デバイス モニタリングに関する警告。Android で、暗号化されたネットワーク トラフィックのモニタリングが可能なデバイス証明書ストアに証明書が追加された場合に警告が表示されます。
- FORTIFY_SOURCE。Android で FORTIFY_SOURCE レベル 2 がサポートされるようになったため、コードはすべてこれらの保護機能でコンパイルされます。FORTIFY_SOURCE は clang で動作するように拡張されました。
- 証明書の固定。Android 4.4 は、セキュア SSL/TLS 通信での不正な Google 証明書の使用を検出して阻止します。
- セキュリティに関する修正。Android 4.4 では、Android 固有の脆弱性に対する修正も行われています。これらの脆弱性に関する情報は、オープン ハンドセット アライアンスのメンバーに提供されています。修正プログラムは Android オープンソース プロジェクトで入手できます。また、Android の以前のバージョンがインストールされている一部のデバイスでも、セキュリティ強化のために修正プログラムが適用されている場合があります。
Every Android release includes dozens of security enhancements to protect users. The following are some of the security enhancements available in Android 4.3:
- Android sandbox reinforced with SELinux. This release strengthens the Android sandbox using the SELinux mandatory access control system (MAC) in the Linux kernel. SELinux reinforcement is invisible to users and developers, and adds robustness to the existing Android security model while maintaining compatibility with existing apps. To ensure continued compatibility this release allows the use of SELinux in a permissive mode. This mode logs any policy violations, but will not break apps or affect system behavior.
- No
setuid
orsetgid
programs. Added support for filesystem capabilities to Android system files and removed allsetuid
orsetgid
programs. This reduces root attack surface and the likelihood of potential security vulnerabilities. - ADB authentication. Starting in Android 4.2.2, connections to ADB are authenticated with an RSA keypair. This prevents unauthorized use of ADB where the attacker has physical access to a device.
- Restrict Setuid from Android Apps.
The
/system
partition is now mounted nosuid for zygote-spawned processes, preventing Android apps from executingsetuid
programs. This reduces root attack surface and the likelihood of potential security vulnerabilities. - Capability bounding.
Android zygote and ADB now use
prctl(PR_CAPBSET_DROP)
to drop unnecessary capabilities prior to executing apps. This prevents Android apps and apps launched from the shell from acquiring privileged capabilities. - AndroidKeyStore Provider. Android now has a keystore provider that allows apps to create exclusive use keys. This provides apps with an API to create or store private keys that cannot be used by other apps.
- KeyChain
isBoundKeyAlgorithm
. Keychain API now provides a method (isBoundKeyType
) that allows apps to confirm that system-wide keys are bound to a hardware root of trust for the device. This provides a place to create or store private keys that can't be exported off the device, even in the event of a root compromise. NO_NEW_PRIVS
. Android zygote now usesprctl(PR_SET_NO_NEW_PRIVS)
to block addition of new privileges prior to execution app code. This prevents Android apps from performing operations that can elevate privileges through execve. (This requires Linux kernel version 3.5 or greater).FORTIFY_SOURCE
enhancements. EnabledFORTIFY_SOURCE
on Android x86 and MIPS and fortifiedstrchr()
,strrchr()
,strlen()
, andumask()
calls. This can detect potential memory corruption vulnerabilities or unterminated string constants.- Relocation protections. Enabled read only relocations (relro) for statically linked executables and removed all text relocations in Android code. This provides defense in depth against potential memory corruption vulnerabilities.
- Improved EntropyMixer. EntropyMixer now writes entropy at shutdown or reboot, in addition to periodic mixing. This allows retention of all entropy generated while devices are powered on, and is especially useful for devices that are rebooted immediately after provisioning.
- Security fixes. Android 4.3 also includes fixes for Android-specific vulnerabilities. Information about these vulnerabilities has been provided to Open Handset Alliance members and fixes are available in Android Open Source Project. To improve security, some devices with earlier versions of Android may also include these fixes.
Android provides a multi-layered security model described in the Android Security Overview. Each update to Android includes dozens of security enhancements to protect users. The following are some of the security enhancements introduced in Android 4.2:
- App verification: Users can choose to enable Verify Apps and have apps screened by an app verifier, prior to installation. App verification can alert the user if they try to install an app that might be harmful; if an app is especially bad, it can block installation.
- More control of premium SMS: Android provides a notification if an app attempts to send SMS to a short code that uses premium services that might cause additional charges. The user can choose whether to allow the app to send the message or block it.
- Always-on VPN: VPN can be configured so that apps won't have access to the network until a VPN connection is established. This prevents apps from sending data across other networks.
- Certificate pinning: The Android core libraries now support certificate pinning. Pinned domains receive a certificate validation failure if the certificate doesn't chain to a set of expected certificates. This protects against possible compromise of certificate authorities.
- Improved display of Android permissions: Permissions are organized into groups that are more easily understood by users. During review of the permissions, the user can click on the permission to see more detailed information about the permission.
- installd hardening: The
installd
daemon does not run as the root user, reducing potential attack surface for root privilege escalation. - init script hardening: init scripts now apply
O_NOFOLLOW
semantics to prevent symlink related attacks. FORTIFY_SOURCE
: Android now implementsFORTIFY_SOURCE
. This is used by system libraries and apps to prevent memory corruption.- ContentProvider default configuration: Apps that target API
level 17 have
export
set tofalse
by default for each Content Provider, reducing default attack surface for apps. - Cryptography: Modified the default implementations of SecureRandom and Cipher.RSA to use OpenSSL. Added SSL Socket support for TLSv1.1 and TLSv1.2 using OpenSSL 1.0.1
- Security fixes: Upgraded open source libraries with security fixes include WebKit, libpng, OpenSSL, and LibXML. Android 4.2 also includes fixes for Android-specific vulnerabilities. Information about these vulnerabilities has been provided to Open Handset Alliance members and fixes are available in Android Open Source Project. To improve security, some devices with earlier versions of Android may also include these fixes.
Android では、Android のセキュリティの概要に記載の多層的なセキュリティ モデルを提供しています。Android の各アップデートでは、ユーザーを保護するために多くのセキュリティ機能が強化されます。Android 1.5~4.1 では、次のようなセキュリティ機能が強化されました。
- Android 1.5
- スタック バッファ オーバーランを防ぐ ProPolice(-fstack-protector)
- 整数オーバーフローを削減する safe_iop
- double free() の脆弱性を防止し、チャンク統合攻撃を阻止する OpenBSD dlmalloc の拡張。チャンク統合攻撃は、ヒープの破損を悪用する一般的な方法です。
- メモリ割り当て時の整数オーバーフローを防止する OpenBSD calloc
- Android 2.3
- 書式文字列の脆弱性に対する保護機能(-Wformat-security -Werror=format-security)
- スタックとヒープでコードが実行されないようにするハードウェアベースの No eXecute(NX)
- null ポインタ逆参照の権限昇格を軽減する Linux の mmap_min_addr(Android 4.1 でさらに強化)
- Android 4.0
- メモリ内の鍵の場所をランダム化するアドレス空間配置のランダム化(ASLR)
- Android 4.1
- PIE(位置独立実行形式)のサポート
- 読み取り専用再配置と即時バインディング(-Wl、-z、relro -Wl、-z、now)
- dmesg_restrict の有効化(カーネル アドレスの漏洩の回避)
- kptr_restrict の有効化(カーネル アドレスの漏洩の回避)