Android liên tục cải thiện các tính năng và dịch vụ bảo mật. Xem danh sách các tính năng nâng cao theo bản phát hành trong bảng điều hướng bên trái.
Android 14
Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 14:
- Hardware-assisted AddressSanitizer (HWASan), introduced in Android 10, is a memory error detection tool similar to AddressSanitizer. Android 14 brings significant improvements to HWASan. Learn how it helps prevent bugs from making it into Android releases, HWAddressSanitizer
- In Android 14, starting with apps that share location data with third-parties, the system runtime permission dialog now includes a clickable section that highlights the app's data-sharing practices, including information such as why an app may decide to share data with third parties.
- Android 12 introduced an option to disable 2G support at the modem level, which protects users from the inherent security risk from 2G's obsolete security model. Recognizing how critical disabling 2G could be for enterprise customers, Android 14 enables this security feature in Android Enterprise, introducing support for IT admins to restrict the ability of a managed device to downgrade to 2G connectivity.
- Added support to reject null-ciphered cellular connections, ensuring that circuit-switched voice and SMS traffic is always encrypted and protected from passive over-the-air interception. Learn more about Android's program to harden cellular connectivity.
- Added support for multiple IMEIs
- Since Android 14, AES-HCTR2 is the preferred mode of filenames encryption for devices with accelerated cryptography instructions.
- Cellular connectivity
- Documentation added for Android Safety Center
- If your app targets Android 14 and uses Dynamic Code Loading (DCL), all dynamically-loaded files must be marked as read-only. Otherwise, the system throws an exception. We recommend that apps avoid dynamically loading code whenever possible, as doing so greatly increases the risk that an app can be compromised by code injection or code tampering.
Check out our full AOSP release notes and the Android Developer features and changes list.
Android 13
Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 13:
- Android 13 adds multi-document presentation support. This new Presentation Session interface enables an app to do a multi-document presentation, something which isn't possible with the existing API. For further information, refer to Identity Credential
- In Android 13, intents originating from external apps are delivered to an exported component if and only if the intents match their declared intent-filter elements.
- Open Mobile API (OMAPI) is a standard API used to communicate with a device's Secure Element. Before Android 13, only apps and framework modules had access to this interface. By converting it to a vendor stable interface, HAL modules are also capable of communicating with the secure elements through the OMAPI service. For more information, see OMAPI Vendor Stable Interface.
- As of Android 13-QPR, shared UIDs are deprecated. Users of Android 13 or higher should put the line `android:sharedUserMaxSdkVersion="32"` in their manifest. This entry prevents new users from getting a shared UID. For further information on UIDs, see App signing.
- Android 13 added support Keystore symmetric cryptographic primitives such as AES (Advanced Encryption Standard), HMAC (Keyed-Hash Message Authentication Code), and asymmetric cryptographic algorithms (including Elliptic Curve, RSA2048, RSA4096, and Curve 25519)
- Android 13 (API level 33) and higher supports a runtime permission for sending non-exempt notifications from an app. This gives users control over which permission notifications they see.
- Added per-use prompt for apps requesting access to all device logs, giving users the ability to allow or deny access.
- introduced the Android Virtualization Framework (AVF), which brings together different hypervisors under one framework with standardized APIs. It provides secure and private execution environments for executing workloads isolated by hypervisor.
- Introduced APK signature scheme v3.1 All new key rotations that use apksigner use the v3.1 signature scheme by default to target rotation for Android 13 and higher.
Check out our full AOSP release notes and the Android Developer features and changes list.
Android 12
Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 12:
- Android 12 introduces the BiometricManager.Strings API, which provides localized strings for apps that use BiometricPrompt for authentication. These strings are intended to be device-aware and provide more specificity about which authentication types might be used. Android 12 also includes support for under-display fingerprint sensors
- Support added for under-display fingerprint sensors
- Introduction of the Fingerprint Android Interface Definition Language (AIDL)
- Support for new Face AIDL
- Introduction of Rust as a language for platform development
- The option for users to grant access only to their approximate location added
- Added Privacy indicators on the status bar when an app is using the camera or microphone
- Android's Private Compute Core (PCC)
- Added an option to disable 2G support
Android 11
Every Android release includes dozens of security enhancements to protect users. For a list of some of the major security enhancements available in Android 11, see the Android Release Notes.
Android 10
Mỗi bản phát hành Android đều có hàng chục tính năng nâng cao bảo mật để bảo vệ người dùng. Android 10 có một số tính năng nâng cao về bảo mật và quyền riêng tư. Hãy xem ghi chú phát hành Android 10 để biết danh sách đầy đủ các thay đổi trong Android 10.
Bảo mật
BoundsSanitizer
Android 10 triển khai BoundsSanitizer (BoundSan) trong Bluetooth và bộ mã hoá và giải mã. BoundSan sử dụng trình dọn dẹp giới hạn của UBSan. Phương pháp giảm thiểu này được bật ở cấp mô-đun. Tính năng này giúp bảo mật các thành phần quan trọng của Android và không được tắt. BoundSan được bật trong các bộ mã hoá và giải mã sau:
libFLAC
libavcdec
libavcenc
libhevcdec
libmpeg2
libopus
libvpx
libspeexresampler
libvorbisidec
libaac
libxaac
Bộ nhớ chỉ thực thi
Theo mặc định, các phần mã thực thi cho tệp nhị phân hệ thống AArch64 được đánh dấu là chỉ thực thi (không đọc được) để giảm thiểu việc tăng cường bảo mật trước các cuộc tấn công tái sử dụng mã đúng thời điểm. Mã kết hợp dữ liệu và mã với nhau và mã kiểm tra có chủ đích các phần này (mà không cần ánh xạ lại các phân đoạn bộ nhớ ở chế độ có thể đọc trước tiên) không còn hoạt động nữa. Các ứng dụng có SDK mục tiêu là Android 10 (API cấp 29 trở lên) sẽ bị ảnh hưởng nếu ứng dụng đó cố gắng đọc các phần mã của thư viện hệ thống đã bật bộ nhớ chỉ thực thi (XOM) trong bộ nhớ mà không đánh dấu trước phần đó là có thể đọc được.
Quyền truy cập mở rộng
Tác nhân tin cậy, cơ chế cơ bản mà các cơ chế xác thực cấp ba (chẳng hạn như Smart Lock) sử dụng, chỉ có thể kéo dài thời gian mở khoá trong Android 10. Các tác nhân tin cậy không thể mở khoá thiết bị bị khoá nữa và chỉ có thể giữ cho thiết bị mở khoá trong tối đa 4 giờ.
Xác thực khuôn mặt
Tính năng xác thực bằng khuôn mặt cho phép người dùng mở khoá thiết bị chỉ bằng cách nhìn vào mặt trước của thiết bị. Android 10 hỗ trợ thêm một ngăn xếp xác thực khuôn mặt mới có thể xử lý khung hình máy ảnh một cách an toàn, bảo vệ tính bảo mật và quyền riêng tư trong quá trình xác thực khuôn mặt trên phần cứng được hỗ trợ. Android 10 cũng cung cấp một cách dễ dàng để triển khai các biện pháp bảo mật nhằm cho phép tích hợp ứng dụng cho các giao dịch như ngân hàng trực tuyến hoặc các dịch vụ khác.
Xoá dữ liệu tràn số nguyên
Android 10 bật tính năng Xoá lỗi tràn số nguyên (IntSan) trong bộ mã hoá và giải mã phần mềm. Đảm bảo hiệu suất phát ở mức chấp nhận được đối với mọi bộ mã hoá và giải mã không được hỗ trợ trong phần cứng của thiết bị. IntSan được bật trong các bộ mã hoá và giải mã sau:
libFLAC
libavcdec
libavcenc
libhevcdec
libmpeg2
libopus
libvpx
libspeexresampler
libvorbisidec
Thành phần hệ thống mô-đun
Android 10 mô-đun hoá một số thành phần hệ thống Android và cho phép cập nhật các thành phần đó bên ngoài chu kỳ phát hành Android thông thường. Một số mô-đun bao gồm:
- Android Runtime
- Conscrypt
- Trình phân giải DNS
- DocumentsUI
- ExtServices
- Nội dung đa phương tiện
- ModuleMetadata
- Networking
- PermissionController
- Dữ liệu về múi giờ
OEMCrypto
Android 10 sử dụng OEMCrypto API phiên bản 15.
Scudo
Scudo là một trình phân bổ bộ nhớ động ở chế độ người dùng được thiết kế để có khả năng chống chịu tốt hơn trước các lỗ hổng liên quan đến vùng nhớ khối xếp. Thư viện này cung cấp các nguyên hàm phân bổ và giải phóng C tiêu chuẩn, cũng như các nguyên hàm C++.
ShadowCallStack
ShadowCallStack
(SCS)
là chế độ thiết bị đo lường
LLVM giúp bảo vệ khỏi việc ghi đè địa chỉ trả về (như
tràn bộ đệm ngăn xếp) bằng cách lưu địa chỉ trả về của một hàm vào một bản sao ShadowCallStack
được phân bổ riêng trong prolog hàm của các hàm không phải lá và tải địa chỉ trả về từ bản sao ShadowCallStack
trong epilog hàm.
WPA3 và Wi-Fi Enhanced Open
Android 10 hỗ trợ thêm các tiêu chuẩn bảo mật Wi-Fi Protected Access 3 (WPA3) và Wi-Fi Enhanced Open để tăng cường quyền riêng tư và khả năng chống lại các cuộc tấn công đã biết.
Quyền riêng tư
Quyền truy cập của ứng dụng khi nhắm đến Android 9 trở xuống
Nếu ứng dụng của bạn chạy trên Android 10 trở lên nhưng nhắm đến Android 9 (API cấp 28) trở xuống, thì nền tảng sẽ áp dụng hành vi sau:
- Nếu ứng dụng của bạn khai báo phần tử
<uses-permission>
choACCESS_FINE_LOCATION
hoặcACCESS_COARSE_LOCATION
, hệ thống sẽ tự động thêm phần tử<uses-permission>
choACCESS_BACKGROUND_LOCATION
trong quá trình cài đặt. - Nếu ứng dụng của bạn yêu cầu
ACCESS_FINE_LOCATION
hoặcACCESS_COARSE_LOCATION
, hệ thống sẽ tự động thêmACCESS_BACKGROUND_LOCATION
vào yêu cầu.
Hạn chế hoạt động ở chế độ nền
Kể từ Android 10, hệ thống sẽ đặt các quy tắc hạn chế khi bắt đầu hoạt động ở chế độ nền. Thay đổi về hành vi này giúp giảm thiểu sự gián đoạn cho người dùng và giúp người dùng kiểm soát nhiều hơn nội dung hiển thị trên màn hình. Miễn là ứng dụng của bạn bắt đầu các hoạt động do kết quả trực tiếp của hoạt động tương tác của người dùng, thì rất có thể ứng dụng của bạn sẽ không bị ảnh hưởng bởi các quy định hạn chế này.
Để tìm hiểu thêm về giải pháp thay thế được đề xuất cho việc bắt đầu các hoạt động ở chế độ nền, hãy xem hướng dẫn về cách cảnh báo người dùng về các sự kiện nhạy cảm về thời gian trong ứng dụng.
Siêu dữ liệu của máy ảnh
Android 10 thay đổi phạm vi thông tin mà phương thức getCameraCharacteristics()
trả về theo mặc định. Cụ thể, ứng dụng của bạn phải có quyền CAMERA
để truy cập vào siêu dữ liệu có thể dành riêng cho thiết bị có trong giá trị trả về của phương thức này.
Để tìm hiểu thêm về những thay đổi này, hãy xem phần về các trường máy ảnh cần có quyền.
Dữ liệu bảng nhớ tạm
Trừ phi ứng dụng của bạn là trình chỉnh sửa phương thức nhập (IME) mặc định hoặc là ứng dụng hiện đang có tiêu điểm, ứng dụng của bạn không thể truy cập vào dữ liệu bảng nhớ tạm trên Android 10 trở lên.
Vị trí thiết bị
Để hỗ trợ thêm quyền kiểm soát mà người dùng có đối với quyền truy cập của ứng dụng vào thông tin vị trí, Android 10 ra mắt quyền ACCESS_BACKGROUND_LOCATION
.
Không giống như quyền ACCESS_FINE_LOCATION
và ACCESS_COARSE_LOCATION
, quyền ACCESS_BACKGROUND_LOCATION
chỉ ảnh hưởng đến
quyền truy cập của ứng dụng vào thông tin vị trí khi ứng dụng chạy ở chế độ nền. Một ứng dụng được coi là đang truy cập thông tin vị trí ở chế độ nền trừ phi đáp ứng một trong các điều kiện sau:
- Một hoạt động thuộc ứng dụng đang hiển thị.
- Ứng dụng đang chạy một dịch vụ trên nền trước đã khai báo loại dịch vụ trên nền trước là
location
.
Để khai báo loại dịch vụ trên nền trước cho một dịch vụ trong ứng dụng, hãy đặttargetSdkVersion
hoặccompileSdkVersion
của ứng dụng thành29
trở lên. Tìm hiểu thêm về cách các dịch vụ trên nền trước có thể tiếp tục các thao tác do người dùng khởi tạo cần quyền truy cập thông tin vị trí.
Bộ nhớ ngoài
Theo mặc định, các ứng dụng nhắm đến Android 10 trở lên được cấp quyền truy cập có giới hạn vào bộ nhớ ngoài hoặc bộ nhớ có giới hạn. Những ứng dụng như vậy có thể xem các loại tệp sau trong thiết bị bộ nhớ ngoài mà không cần yêu cầu người dùng cấp bất kỳ quyền nào liên quan đến bộ nhớ:
- Các tệp trong thư mục dành riêng cho ứng dụng, được truy cập bằng
getExternalFilesDir()
. - Ảnh, video và đoạn âm thanh mà ứng dụng tạo từ kho phương tiện.
Để tìm hiểu thêm về bộ nhớ có giới hạn, cũng như cách chia sẻ, truy cập và sửa đổi các tệp được lưu trên thiết bị bộ nhớ ngoài, hãy xem hướng dẫn về cách quản lý tệp trong bộ nhớ ngoài và truy cập và sửa đổi tệp phương tiện.
Gán địa chỉ MAC ngẫu nhiên
Trên các thiết bị chạy Android 10 trở lên, hệ thống sẽ truyền địa chỉ MAC ngẫu nhiên theo mặc định.
Nếu ứng dụng của bạn xử lý một trường hợp sử dụng dành cho doanh nghiệp, thì nền tảng sẽ cung cấp API cho một số thao tác liên quan đến địa chỉ MAC:
- Nhận địa chỉ MAC ngẫu nhiên: Ứng dụng của chủ sở hữu thiết bị và ứng dụng của chủ sở hữu hồ sơ có thể truy xuất địa chỉ MAC ngẫu nhiên được chỉ định cho một mạng cụ thể bằng cách gọi
getRandomizedMacAddress()
. - Nhận địa chỉ MAC thực tế, ban đầu: Ứng dụng của chủ sở hữu thiết bị có thể truy xuất địa chỉ MAC phần cứng thực tế của thiết bị bằng cách gọi
getWifiMacAddress()
. Phương thức này rất hữu ích trong việc theo dõi các nhóm thiết bị.
Giá trị nhận dạng thiết bị không thể đặt lại
Kể từ Android 10, ứng dụng phải có quyền đặc quyền READ_PRIVILEGED_PHONE_STATE
để truy cập vào giá trị nhận dạng không thể đặt lại của thiết bị, bao gồm cả IMEI và số sê-ri.
Build
TelephonyManager
Nếu ứng dụng của bạn không có quyền này và bạn vẫn cố gắng yêu cầu thông tin về giá trị nhận dạng không thể đặt lại, thì phản hồi của nền tảng sẽ khác nhau tuỳ theo phiên bản SDK mục tiêu:
- Nếu ứng dụng của bạn nhắm đến Android 10 trở lên, thì
SecurityException
sẽ xảy ra. - Nếu ứng dụng của bạn nhắm đến Android 9 (API cấp 28) trở xuống, phương thức này sẽ trả về
null
hoặc dữ liệu phần giữ chỗ nếu ứng dụng có quyềnREAD_PHONE_STATE
. Nếu không,SecurityException
sẽ xảy ra.
Nhận dạng hoạt động thể chất
Android 10 ra mắt quyền khi bắt đầu chạy android.permission.ACTIVITY_RECOGNITION
cho các ứng dụng cần phát hiện số bước của người dùng hoặc phân loại hoạt động thể chất của người dùng, chẳng hạn như đi bộ, đi xe đạp hoặc di chuyển bằng xe. Mục đích của tính năng này là giúp người dùng biết cách dữ liệu cảm biến thiết bị được sử dụng trong phần Cài đặt.
Một số thư viện trong Dịch vụ Google Play, chẳng hạn như API Nhận dạng hoạt động và API Google Fit, sẽ không cung cấp kết quả trừ khi người dùng đã cấp cho ứng dụng của bạn quyền này.
Chỉ có các cảm biến tích hợp trên thiết bị yêu cầu bạn khai báo quyền này là cảm biến đếm bước và trình phát hiện bước.
Nếu ứng dụng của bạn nhắm đến Android 9 (API cấp 28) trở xuống, thì hệ thống sẽ tự động cấp quyền android.permission.ACTIVITY_RECOGNITION
cho ứng dụng của bạn (nếu cần) nếu ứng dụng của bạn đáp ứng từng điều kiện sau:
- Tệp kê khai bao gồm quyền
com.google.android.gms.permission.ACTIVITY_RECOGNITION
. - Tệp kê khai không bao gồm quyền
android.permission.ACTIVITY_RECOGNITION
.
Nếu hệ thống tự động cấp quyền android.permission.ACTIVITY_RECOGNITION
, thì ứng dụng của bạn sẽ giữ lại quyền này sau khi bạn cập nhật ứng dụng để nhắm đến Android 10. Tuy nhiên, người dùng có thể thu hồi quyền này bất cứ lúc nào trong phần cài đặt hệ thống.
Các hạn chế về hệ thống tệp /proc/net
Trên các thiết bị chạy Android 10 trở lên, ứng dụng không thể truy cập vào /proc/net
, trong đó có thông tin về trạng thái mạng của thiết bị. Các ứng dụng cần quyền truy cập vào thông tin này, chẳng hạn như VPN, nên sử dụng lớp NetworkStatsManager
hoặc ConnectivityManager
.
Xoá nhóm quyền khỏi giao diện người dùng
Kể từ Android 10, các ứng dụng không thể tra cứu cách nhóm các quyền trong giao diện người dùng.
Xoá mối quan hệ tương đồng của người liên hệ
Kể từ Android 10, nền tảng này không theo dõi thông tin về mối quan hệ tương đồng của người liên hệ. Do đó, nếu ứng dụng của bạn tìm kiếm trên danh bạ của người dùng, thì kết quả sẽ không được sắp xếp theo tần suất tương tác.
Hướng dẫn về ContactsProvider
có một thông báo mô tả các trường và phương thức cụ thể đã lỗi thời trên tất cả thiết bị bắt đầu từ Android 10.
Hạn chế quyền truy cập vào nội dung trên màn hình
Để bảo vệ nội dung trên màn hình của người dùng, Android 10 ngăn chặn việc truy cập thầm vào nội dung trên màn hình của thiết bị bằng cách thay đổi phạm vi của các quyền READ_FRAME_BUFFER
, CAPTURE_VIDEO_OUTPUT
và CAPTURE_SECURE_VIDEO_OUTPUT
. Kể từ Android 10, các quyền này chỉ có quyền truy cập chữ ký.
Các ứng dụng cần truy cập vào nội dung trên màn hình của thiết bị phải sử dụng API
MediaProjection
. API này sẽ hiển thị lời nhắc yêu cầu người dùng đồng ý.
Số sê-ri của thiết bị USB
Nếu ứng dụng của bạn nhắm đến Android 10 trở lên, thì ứng dụng của bạn không thể đọc số sê-ri cho đến khi người dùng cấp cho ứng dụng quyền truy cập vào thiết bị hoặc phụ kiện USB.
Để tìm hiểu thêm về cách làm việc với thiết bị USB, hãy xem hướng dẫn về cách định cấu hình máy chủ USB.
Wi-Fi
Các ứng dụng nhắm đến Android 10 trở lên không thể bật hoặc tắt Wi-Fi. Phương thức WifiManager.setWifiEnabled()
luôn trả về false
.
Nếu bạn cần nhắc người dùng bật và tắt Wi-Fi, hãy sử dụng bảng điều khiển cài đặt.
Hạn chế quyền truy cập trực tiếp vào các mạng Wi-Fi đã định cấu hình
Để bảo vệ quyền riêng tư của người dùng, việc định cấu hình thủ công danh sách mạng Wi-Fi chỉ được phép đối với các ứng dụng hệ thống và trình điều khiển chính sách thiết bị (DPC). Một DPC nhất định có thể là chủ sở hữu thiết bị hoặc chủ sở hữu hồ sơ.
Nếu ứng dụng của bạn nhắm đến Android 10 trở lên và không phải là ứng dụng hệ thống hoặc DPC, thì các phương thức sau sẽ không trả về dữ liệu hữu ích:
- Phương thức
getConfiguredNetworks()
luôn trả về một danh sách trống. - Mỗi phương thức thao tác mạng trả về một giá trị số nguyên –
addNetwork()
vàupdateNetwork()
– luôn trả về -1. - Mỗi thao tác mạng trả về một giá trị boolean –
removeNetwork()
,reassociate()
,enableNetwork()
,disableNetwork()
,reconnect()
vàdisconnect()
– luôn trả vềfalse
.
Android 9
Every Android release includes dozens of security enhancements to protect users. For a list of some of the major security enhancements available in Android 9, see the Android Release Notes.
Android 8
Mỗi bản phát hành Android đều có hàng chục tính năng nâng cao bảo mật để bảo vệ người dùng. Sau đây là một số tính năng nâng cao bảo mật chính có trong Android 8.0:
- Mã hoá. Thêm tính năng hỗ trợ để xoá khoá trong hồ sơ công việc.
- Xác minh quy trình khởi động. Thêm tính năng Xác minh quy trình khởi động của Android (AVB). Thêm cơ sở mã Boot đã xác minh hỗ trợ tính năng bảo vệ rollback để sử dụng trong trình tải khởi động vào AOSP. Đề xuất hỗ trợ trình tải khởi động để bảo vệ tính năng khôi phục cho HLOS. Đề xuất chỉ người dùng có thể tương tác thực tế với thiết bị mới có thể mở khoá trình tải khởi động.
- Màn hình khoá. Thêm tính năng hỗ trợ sử dụng phần cứng chống can thiệp để xác minh thông tin xác thực trên màn hình khoá.
- KeyStore. Bắt buộc phải chứng thực khoá đối với tất cả thiết bị chạy Android 8.0 trở lên. Thêm tính năng hỗ trợ chứng thực danh tính để cải thiện tính năng Đăng ký không tiếp xúc.
- Cơ chế hộp cát. Đặt nhiều thành phần vào hộp cát chặt chẽ hơn bằng cách sử dụng giao diện tiêu chuẩn của Project Treble giữa khung và các thành phần dành riêng cho thiết bị. Áp dụng bộ lọc seccomp cho tất cả ứng dụng không đáng tin cậy để giảm bề mặt tấn công của hạt nhân. WebView hiện chạy trong một quy trình riêng biệt với quyền truy cập rất hạn chế vào phần còn lại của hệ thống.
- Cải thiện độ bảo mật của hạt nhân. Triển khai usercopy tăng cường, mô phỏng PAN, chỉ có thể đọc sau khi khởi tạo và KASLR.
- Cải thiện không gian người dùng. Triển khai CFI cho ngăn xếp nội dung nghe nhìn. Lớp phủ ứng dụng không còn có thể che các cửa sổ quan trọng đối với hệ thống và người dùng có cách để đóng các lớp phủ đó.
- Cập nhật hệ điều hành qua mạng. Đã bật bản cập nhật trên các thiết bị sắp hết dung lượng ổ đĩa.
- Cài đặt ứng dụng không xác định. Người dùng phải cấp quyền để cài đặt ứng dụng từ một nguồn không phải cửa hàng ứng dụng bên thứ nhất.
- Quyền riêng tư. Mã nhận dạng Android (SSAID) có giá trị khác nhau cho mỗi ứng dụng và mỗi người dùng trên thiết bị. Đối với ứng dụng trình duyệt web, Mã ứng dụng khách Widevine sẽ trả về một giá trị khác nhau cho mỗi tên gói ứng dụng và nguồn gốc web.
net.hostname
hiện trống và ứng dụng dhcp không còn gửi tên máy chủ.android.os.Build.SERIAL
đã được thay thế bằngBuild.SERIAL
API được bảo vệ bằng một quyền do người dùng kiểm soát. Cải thiện tính năng tạo địa chỉ MAC ngẫu nhiên trong một số chipset.
Android 7
Mỗi bản phát hành Android đều có hàng chục tính năng nâng cao bảo mật để bảo vệ người dùng. Sau đây là một số điểm cải tiến bảo mật chính có trong Android 7.0:
- Mã hoá dựa trên tệp. Việc mã hoá ở cấp tệp thay vì mã hoá toàn bộ vùng bộ nhớ dưới dạng một đơn vị sẽ giúp tách biệt và bảo vệ tốt hơn từng người dùng và hồ sơ (chẳng hạn như hồ sơ cá nhân và hồ sơ công việc) trên một thiết bị.
- Khởi động trực tiếp. Được bật bằng phương thức mã hoá dựa trên tệp, tính năng Khởi động trực tiếp cho phép một số ứng dụng như đồng hồ báo thức và tính năng hỗ trợ tiếp cận chạy khi thiết bị bật nguồn nhưng chưa mở khoá.
- Xác minh quy trình khởi động. Tính năng Xác minh quy trình khởi động hiện được thực thi nghiêm ngặt để ngăn chặn các thiết bị bị xâm nhập khởi động; tính năng này hỗ trợ sửa lỗi để cải thiện độ tin cậy trước tình trạng hỏng dữ liệu không phải do hành vi độc hại.
- SELinux. Cập nhật cấu hình SELinux và tăng phạm vi seccomp để khoá chặt hơn Hộp cát ứng dụng và giảm bề mặt tấn công.
- Tính năng ngẫu nhiên hoá thứ tự tải thư viện và cải thiện ASLR. Việc tăng tính ngẫu nhiên khiến một số cuộc tấn công tái sử dụng mã trở nên kém tin cậy hơn.
- Cải thiện độ bảo mật của hạt nhân. Thêm tính năng bảo vệ bộ nhớ bổ sung cho các nhân mới hơn bằng cách đánh dấu các phần bộ nhớ nhân là chỉ có thể đọc, hạn chế quyền truy cập của nhân vào địa chỉ không gian người dùng và giảm thêm bề mặt tấn công hiện có.
- Lược đồ chữ ký APK phiên bản 2. Giới thiệu một lược đồ chữ ký toàn bộ tệp giúp cải thiện tốc độ xác minh và tăng cường đảm bảo tính toàn vẹn.
- Cửa hàng CA đáng tin cậy. Để giúp ứng dụng dễ dàng kiểm soát quyền truy cập vào lưu lượng truy cập mạng bảo mật, các tổ chức phát hành chứng chỉ do người dùng cài đặt và các tổ chức phát hành chứng chỉ được cài đặt thông qua API Quản trị thiết bị không còn được tin cậy theo mặc định đối với các ứng dụng nhắm đến API cấp 24 trở lên. Ngoài ra, tất cả thiết bị Android mới phải đi kèm với cùng một kho CA đáng tin cậy.
- Cấu hình bảo mật mạng. Định cấu hình bảo mật mạng và TLS thông qua tệp cấu hình khai báo.
Android 6
Mỗi bản phát hành Android đều có hàng chục tính năng nâng cao bảo mật để bảo vệ người dùng. Sau đây là một số điểm cải tiến bảo mật chính có trong Android 6.0:
- Quyền khi bắt đầu chạy. Ứng dụng yêu cầu cấp quyền khi bắt đầu chạy thay vì được cấp quyền tại thời điểm cài đặt ứng dụng. Người dùng có thể bật và tắt quyền cho cả ứng dụng M và ứng dụng trước M.
- Xác minh quy trình khởi động. Một bộ kiểm tra mã hoá của phần mềm hệ thống được tiến hành trước khi thực thi để đảm bảo điện thoại hoạt động tốt từ trình tải khởi động cho đến hệ điều hành.
- Bảo mật được tách biệt bằng phần cứng. Lớp trừu tượng hoá phần cứng (HAL) mới do API vân tay, Màn hình khoá, Mã hoá thiết bị và Chứng chỉ máy khách sử dụng để bảo vệ khoá khỏi bị xâm phạm hạt nhân và/hoặc các cuộc tấn công vật lý cục bộ
- Vân tay. Giờ đây, bạn có thể mở khoá thiết bị chỉ bằng một thao tác chạm. Nhà phát triển cũng có thể tận dụng các API mới để sử dụng vân tay nhằm khoá và mở khoá khoá mã hoá.
- Sử dụng thẻ SD. Bạn có thể sử dụng phương tiện có thể tháo rời cho một thiết bị và mở rộng bộ nhớ có sẵn cho dữ liệu cục bộ của ứng dụng, ảnh, video, v.v., nhưng vẫn được bảo vệ bằng phương thức mã hoá cấp khối.
- Lưu lượng truy cập qua văn bản thô. Nhà phát triển có thể sử dụng StrictMode mới để đảm bảo ứng dụng của họ không sử dụng văn bản thô.
- Củng cố hệ thống. Củng cố hệ thống thông qua các chính sách do SELinux thực thi. Điều này giúp tách biệt tốt hơn giữa người dùng, lọc IOCTL, giảm mối đe doạ của các dịch vụ bị lộ, thắt chặt hơn các miền SELinux và hạn chế tối đa quyền truy cập /proc.
- Kiểm soát quyền truy cập USB: Người dùng phải xác nhận để cho phép USB truy cập vào các tệp, bộ nhớ hoặc chức năng khác trên điện thoại. Chế độ mặc định hiện là chỉ tính phí với quyền truy cập vào bộ nhớ yêu cầu người dùng phê duyệt rõ ràng.
Android 5
5
Mỗi bản phát hành Android đều có hàng chục tính năng nâng cao bảo mật để bảo vệ người dùng. Sau đây là một số điểm cải tiến chính về bảo mật có trong Android 5.0:
- Được mã hoá theo mặc định. Trên các thiết bị đi kèm với L ngay từ đầu, tính năng mã hoá toàn bộ ổ đĩa được bật theo mặc định để cải thiện khả năng bảo vệ dữ liệu trên các thiết bị bị mất hoặc bị đánh cắp. Bạn có thể mã hoá các thiết bị cập nhật lên L trong phần Cài đặt > Bảo mật .
- Cải tiến tính năng mã hoá toàn bộ ổ đĩa. Mật khẩu người dùng được bảo vệ khỏi các cuộc tấn công bằng phương thức brute-force bằng
scrypt
và nếu có, khoá sẽ được liên kết với kho khoá phần cứng để ngăn chặn các cuộc tấn công bên ngoài thiết bị. Như mọi khi, khoá bí mật màn hình Android và khoá mã hoá thiết bị sẽ không được gửi ra khỏi thiết bị hoặc hiển thị cho bất kỳ ứng dụng nào. - Hộp cát Android được tăng cường bằng SELinux . Giờ đây, Android yêu cầu SELinux ở chế độ thực thi cho tất cả các miền. SELinux là một hệ thống kiểm soát quyền truy cập bắt buộc (MAC) trong nhân Linux dùng để tăng cường mô hình bảo mật kiểm soát quyền truy cập tuỳ ý (DAC) hiện có. Lớp mới này giúp tăng cường bảo vệ trước các lỗ hổng bảo mật tiềm ẩn.
- Smart Lock. Android hiện có các trustlet giúp tăng tính linh hoạt khi mở khoá thiết bị. Ví dụ: trustlet có thể cho phép tự động mở khoá thiết bị khi ở gần một thiết bị tin cậy khác (thông qua NFC, Bluetooth) hoặc khi thiết bị được một người có khuôn mặt được tin cậy sử dụng.
- Chế độ nhiều người dùng, hồ sơ bị hạn chế và chế độ khách cho điện thoại và máy tính bảng. Android hiện hỗ trợ nhiều người dùng trên điện thoại và có chế độ khách có thể dùng để dễ dàng cấp quyền truy cập tạm thời vào thiết bị mà không cần cấp quyền truy cập vào dữ liệu và ứng dụng của bạn.
- Cập nhật WebView mà không cần OTA. Giờ đây, bạn có thể cập nhật WebView độc lập với khung và không cần hệ thống OTA. Điều này cho phép phản hồi nhanh hơn các vấn đề bảo mật tiềm ẩn trong WebView.
- Cập nhật thuật toán mã hoá cho HTTPS và TLS/SSL. TLSv1.2 và TLSv1.1 hiện đã được bật, tính năng Bảo mật chuyển tiếp hiện được ưu tiên, AES-GCM hiện đã được bật và các bộ thuật toán mật mã yếu (MD5, 3DES và bộ thuật toán mật mã xuất) hiện đã bị tắt. Hãy xem https://developer.android.com/reference/javax/net/ssl/SSLSocket.html để biết thêm thông tin chi tiết.
- Xoá tính năng hỗ trợ trình liên kết không phải PIE. Android hiện yêu cầu tất cả các tệp thực thi được liên kết động đều phải hỗ trợ PIE (tệp thực thi độc lập với vị trí). Điều này giúp cải thiện việc triển khai tính năng bố cục không gian địa chỉ ngẫu nhiên (ASLR) của Android.
- Các điểm cải tiến về FORTIFY_SOURCE. Các hàm libc sau đây hiện triển khai biện pháp bảo vệ FORTIFY_SOURCE:
stpcpy()
,stpncpy()
,read()
,recvfrom()
,FD_CLR()
,FD_SET()
vàFD_ISSET()
. Điều này giúp bảo vệ khỏi các lỗ hổng hỏng bộ nhớ liên quan đến các hàm đó. - Bản sửa lỗi bảo mật. Android 5.0 cũng bao gồm các bản sửa lỗi cho các lỗ hổng dành riêng cho Android. Thông tin về các lỗ hổng này đã được cung cấp cho các thành viên của Liên minh điện thoại mở và các bản sửa lỗi có trong Dự án nguồn mở Android. Để cải thiện tính bảo mật, một số thiết bị chạy các phiên bản Android cũ hơn cũng có thể bao gồm các bản sửa lỗi này.
Android 4 trở xuống
Mỗi bản phát hành Android đều có hàng chục tính năng nâng cao bảo mật để bảo vệ người dùng. Sau đây là một số tính năng nâng cao bảo mật có trong Android 4.4:
- Hộp cát Android được tăng cường bằng SELinux. Android hiện sử dụng SELinux ở chế độ thực thi. SELinux là một hệ thống kiểm soát quyền truy cập (MAC) bắt buộc trong nhân Linux dùng để tăng cường mô hình bảo mật hiện có dựa trên kiểm soát quyền truy cập tuỳ ý (DAC). Điều này giúp tăng cường bảo vệ trước các lỗ hổng bảo mật tiềm ẩn.
- Mạng riêng ảo (VPN) cho mỗi người dùng. Trên thiết bị nhiều người dùng, VPN hiện được áp dụng cho từng người dùng. Điều này có thể cho phép người dùng định tuyến tất cả lưu lượng truy cập mạng thông qua VPN mà không ảnh hưởng đến người dùng khác trên thiết bị.
- Hỗ trợ Nhà cung cấp ECDSA trong AndroidKeyStore. Android hiện có một trình cung cấp kho khoá cho phép sử dụng các thuật toán ECDSA và DSA.
- Cảnh báo về hoạt động giám sát thiết bị. Android sẽ cảnh báo người dùng nếu có bất kỳ chứng chỉ nào được thêm vào kho chứng chỉ của thiết bị có thể cho phép giám sát lưu lượng truy cập mạng đã mã hoá.
- FORTIFY_SOURCE. Android hiện hỗ trợ FORTIFY_SOURCE cấp 2 và tất cả mã được biên dịch bằng các biện pháp bảo vệ này. FORTIFY_SOURCE đã được cải tiến để hoạt động với clang.
- Ghim chứng chỉ. Android 4.4 phát hiện và ngăn chặn việc sử dụng chứng chỉ Google gian lận được dùng trong giao tiếp SSL/TLS bảo mật.
- Bản sửa lỗi bảo mật. Android 4.4 cũng bao gồm các bản sửa lỗi cho các lỗ hổng dành riêng cho Android. Thông tin về các lỗ hổng này đã được cung cấp cho các thành viên của Open Handset Alliance và các bản sửa lỗi có trong Dự án nguồn mở Android. Để cải thiện tính bảo mật, một số thiết bị chạy các phiên bản Android cũ hơn cũng có thể bao gồm các bản sửa lỗi này.
Every Android release includes dozens of security enhancements to protect users. The following are some of the security enhancements available in Android 4.3:
- Android sandbox reinforced with SELinux. This release strengthens the Android sandbox using the SELinux mandatory access control system (MAC) in the Linux kernel. SELinux reinforcement is invisible to users and developers, and adds robustness to the existing Android security model while maintaining compatibility with existing apps. To ensure continued compatibility this release allows the use of SELinux in a permissive mode. This mode logs any policy violations, but will not break apps or affect system behavior.
- No
setuid
orsetgid
programs. Added support for filesystem capabilities to Android system files and removed allsetuid
orsetgid
programs. This reduces root attack surface and the likelihood of potential security vulnerabilities. - ADB authentication. Starting in Android 4.2.2, connections to ADB are authenticated with an RSA keypair. This prevents unauthorized use of ADB where the attacker has physical access to a device.
- Restrict Setuid from Android Apps.
The
/system
partition is now mounted nosuid for zygote-spawned processes, preventing Android apps from executingsetuid
programs. This reduces root attack surface and the likelihood of potential security vulnerabilities. - Capability bounding.
Android zygote and ADB now use
prctl(PR_CAPBSET_DROP)
to drop unnecessary capabilities prior to executing apps. This prevents Android apps and apps launched from the shell from acquiring privileged capabilities. - AndroidKeyStore Provider. Android now has a keystore provider that allows apps to create exclusive use keys. This provides apps with an API to create or store private keys that cannot be used by other apps.
- KeyChain
isBoundKeyAlgorithm
. Keychain API now provides a method (isBoundKeyType
) that allows apps to confirm that system-wide keys are bound to a hardware root of trust for the device. This provides a place to create or store private keys that can't be exported off the device, even in the event of a root compromise. NO_NEW_PRIVS
. Android zygote now usesprctl(PR_SET_NO_NEW_PRIVS)
to block addition of new privileges prior to execution app code. This prevents Android apps from performing operations that can elevate privileges through execve. (This requires Linux kernel version 3.5 or greater).FORTIFY_SOURCE
enhancements. EnabledFORTIFY_SOURCE
on Android x86 and MIPS and fortifiedstrchr()
,strrchr()
,strlen()
, andumask()
calls. This can detect potential memory corruption vulnerabilities or unterminated string constants.- Relocation protections. Enabled read only relocations (relro) for statically linked executables and removed all text relocations in Android code. This provides defense in depth against potential memory corruption vulnerabilities.
- Improved EntropyMixer. EntropyMixer now writes entropy at shutdown or reboot, in addition to periodic mixing. This allows retention of all entropy generated while devices are powered on, and is especially useful for devices that are rebooted immediately after provisioning.
- Security fixes. Android 4.3 also includes fixes for Android-specific vulnerabilities. Information about these vulnerabilities has been provided to Open Handset Alliance members and fixes are available in Android Open Source Project. To improve security, some devices with earlier versions of Android may also include these fixes.
Android provides a multi-layered security model described in the Android Security Overview. Each update to Android includes dozens of security enhancements to protect users. The following are some of the security enhancements introduced in Android 4.2:
- App verification: Users can choose to enable Verify Apps and have apps screened by an app verifier, prior to installation. App verification can alert the user if they try to install an app that might be harmful; if an app is especially bad, it can block installation.
- More control of premium SMS: Android provides a notification if an app attempts to send SMS to a short code that uses premium services that might cause additional charges. The user can choose whether to allow the app to send the message or block it.
- Always-on VPN: VPN can be configured so that apps won't have access to the network until a VPN connection is established. This prevents apps from sending data across other networks.
- Certificate pinning: The Android core libraries now support certificate pinning. Pinned domains receive a certificate validation failure if the certificate doesn't chain to a set of expected certificates. This protects against possible compromise of certificate authorities.
- Improved display of Android permissions: Permissions are organized into groups that are more easily understood by users. During review of the permissions, the user can click on the permission to see more detailed information about the permission.
- installd hardening: The
installd
daemon does not run as the root user, reducing potential attack surface for root privilege escalation. - init script hardening: init scripts now apply
O_NOFOLLOW
semantics to prevent symlink related attacks. FORTIFY_SOURCE
: Android now implementsFORTIFY_SOURCE
. This is used by system libraries and apps to prevent memory corruption.- ContentProvider default configuration: Apps that target API
level 17 have
export
set tofalse
by default for each Content Provider, reducing default attack surface for apps. - Cryptography: Modified the default implementations of SecureRandom and Cipher.RSA to use OpenSSL. Added SSL Socket support for TLSv1.1 and TLSv1.2 using OpenSSL 1.0.1
- Security fixes: Upgraded open source libraries with security fixes include WebKit, libpng, OpenSSL, and LibXML. Android 4.2 also includes fixes for Android-specific vulnerabilities. Information about these vulnerabilities has been provided to Open Handset Alliance members and fixes are available in Android Open Source Project. To improve security, some devices with earlier versions of Android may also include these fixes.
Android provides a multi-layered security model described in the Android Security Overview. Each update to Android includes dozens of security enhancements to protect users. The following are some of the security enhancements introduced in Android versions 1.5 through 4.1:
- Android 1.5
- ProPolice to prevent stack buffer overruns (-fstack-protector)
- safe_iop to reduce integer overflows
- Extensions to OpenBSD dlmalloc to prevent double free() vulnerabilities and to prevent chunk consolidation attacks. Chunk consolidation attacks are a common way to exploit heap corruption.
- OpenBSD calloc to prevent integer overflows during memory allocation
- Android 2.3
- Format string vulnerability protections (-Wformat-security -Werror=format-security)
- Hardware-based No eXecute (NX) to prevent code execution on the stack and heap
- Linux mmap_min_addr to mitigate null pointer dereference privilege escalation (further enhanced in Android 4.1)
- Android 4.0
- Address Space Layout Randomization (ASLR) to randomize key locations in memory
- Android 4.1
- PIE (Position Independent Executable) support
- Read-only relocations / immediate binding (-Wl,-z,relro -Wl,-z,now)
- dmesg_restrict enabled (avoid leaking kernel addresses)
- kptr_restrict enabled (avoid leaking kernel addresses)