Android migliora costantemente le proprie funzionalità e offerte di sicurezza. Consulta gli elenchi dei miglioramenti per release nel riquadro di navigazione a sinistra.
Android 14
Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 14:
- Hardware-assisted AddressSanitizer (HWASan), introduced in Android 10, is a memory error detection tool similar to AddressSanitizer. Android 14 brings significant improvements to HWASan. Learn how it helps prevent bugs from making it into Android releases, HWAddressSanitizer
- In Android 14, starting with apps that share location data with third-parties, the system runtime permission dialog now includes a clickable section that highlights the app's data-sharing practices, including information such as why an app may decide to share data with third parties.
- Android 12 introduced an option to disable 2G support at the modem level, which protects users from the inherent security risk from 2G's obsolete security model. Recognizing how critical disabling 2G could be for enterprise customers, Android 14 enables this security feature in Android Enterprise, introducing support for IT admins to restrict the ability of a managed device to downgrade to 2G connectivity.
- Added support to reject null-ciphered cellular connections, ensuring that circuit-switched voice and SMS traffic is always encrypted and protected from passive over-the-air interception. Learn more about Android's program to harden cellular connectivity.
- Added support for multiple IMEIs
- Since Android 14, AES-HCTR2 is the preferred mode of filenames encryption for devices with accelerated cryptography instructions.
- Cellular connectivity
- Documentation added for Android Safety Center
- If your app targets Android 14 and uses Dynamic Code Loading (DCL), all dynamically-loaded files must be marked as read-only. Otherwise, the system throws an exception. We recommend that apps avoid dynamically loading code whenever possible, as doing so greatly increases the risk that an app can be compromised by code injection or code tampering.
Check out our full AOSP release notes and the Android Developer features and changes list.
Android 13
Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 13:
- Android 13 adds multi-document presentation support. This new Presentation Session interface enables an app to do a multi-document presentation, something which isn't possible with the existing API. For further information, refer to Identity Credential
- In Android 13, intents originating from external apps are delivered to an exported component if and only if the intents match their declared intent-filter elements.
- Open Mobile API (OMAPI) is a standard API used to communicate with a device's Secure Element. Before Android 13, only apps and framework modules had access to this interface. By converting it to a vendor stable interface, HAL modules are also capable of communicating with the secure elements through the OMAPI service. For more information, see OMAPI Vendor Stable Interface.
- As of Android 13-QPR, shared UIDs are deprecated. Users of Android 13 or higher should put the line `android:sharedUserMaxSdkVersion="32"` in their manifest. This entry prevents new users from getting a shared UID. For further information on UIDs, see App signing.
- Android 13 added support Keystore symmetric cryptographic primitives such as AES (Advanced Encryption Standard), HMAC (Keyed-Hash Message Authentication Code), and asymmetric cryptographic algorithms (including Elliptic Curve, RSA2048, RSA4096, and Curve 25519)
- Android 13 (API level 33) and higher supports a runtime permission for sending non-exempt notifications from an app. This gives users control over which permission notifications they see.
- Added per-use prompt for apps requesting access to all device logs, giving users the ability to allow or deny access.
- introduced the Android Virtualization Framework (AVF), which brings together different hypervisors under one framework with standardized APIs. It provides secure and private execution environments for executing workloads isolated by hypervisor.
- Introduced APK signature scheme v3.1 All new key rotations that use apksigner use the v3.1 signature scheme by default to target rotation for Android 13 and higher.
Check out our full AOSP release notes and the Android Developer features and changes list.
Android 12
Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 12:
- Android 12 introduces the BiometricManager.Strings API, which provides localized strings for apps that use BiometricPrompt for authentication. These strings are intended to be device-aware and provide more specificity about which authentication types might be used. Android 12 also includes support for under-display fingerprint sensors
- Support added for under-display fingerprint sensors
- Introduction of the Fingerprint Android Interface Definition Language (AIDL)
- Support for new Face AIDL
- Introduction of Rust as a language for platform development
- The option for users to grant access only to their approximate location added
- Added Privacy indicators on the status bar when an app is using the camera or microphone
- Android's Private Compute Core (PCC)
- Added an option to disable 2G support
Android 11
Every Android release includes dozens of security enhancements to protect users. For a list of some of the major security enhancements available in Android 11, see the Android Release Notes.
Android 10
Every Android release includes dozens of security enhancements to protect users. Android 10 includes several security and privacy enhancements. See the Android 10 release notes for a complete list of changes in Android 10.
Security
BoundsSanitizer
Android 10 deploys BoundsSanitizer (BoundSan) in Bluetooth and codecs. BoundSan uses UBSan's bounds sanitizer. This mitigation is enabled on a per-module level. It helps keep critical components of Android secure and shouldn't be disabled. BoundSan is enabled in the following codecs:
libFLAClibavcdeclibavcenclibhevcdeclibmpeg2libopuslibvpxlibspeexresamplerlibvorbisideclibaaclibxaac
Execute-only memory
By default, executable code sections for AArch64 system binaries are marked execute-only (nonreadable) as a hardening mitigation against just-in-time code reuse attacks. Code that mixes data and code together and code that purposefully inspects these sections (without first remapping the memory segments as readable) no longer functions. Apps with a target SDK of Android 10 (API level 29 or higher) are impacted if the app attempts to read code sections of execute-only memory (XOM) enabled system libraries in memory without first marking the section as readable.
Extended access
Trust agents, the underlying mechanism used by tertiary authentication mechanisms such as Smart Lock, can only extend unlock in Android 10. Trust agents can no longer unlock a locked device and can only keep a device unlocked for a maximum of four hours.
Face authentication
Face authentication allows users to unlock their device simply by looking at the front of their device. Android 10 adds support for a new face authentication stack that can securely process camera frames, preserving security and privacy during face authentication on supported hardware. Android 10 also provides an easy way for security-compliant implementations to enable app integration for transactions such as online banking or other services.
Integer Overflow Sanitization
Android 10 enables Integer Overflow Sanitization (IntSan) in software codecs. Ensure that playback performance is acceptable for any codecs that aren't supported in the device's hardware. IntSan is enabled in the following codecs:
libFLAClibavcdeclibavcenclibhevcdeclibmpeg2libopuslibvpxlibspeexresamplerlibvorbisidec
Modular system components
Android 10 modularizes some Android system components and enables them to be updated outside of the normal Android release cycle. Some modules include:
- Android Runtime
- Conscrypt
- DNS Resolver
- DocumentsUI
- ExtServices
- Media
- ModuleMetadata
- Networking
- PermissionController
- Time Zone Data
OEMCrypto
Android 10 uses OEMCrypto API version 15.
Scudo
Scudo is a dynamic user-mode memory allocator designed to be more resilient against heap-related vulnerabilities. It provides the standard C allocation and deallocation primitives, as well as the C++ primitives.
ShadowCallStack
ShadowCallStack
(SCS) is an LLVM
instrumentation mode that protects against return address overwrites (like
stack buffer overflows) by saving a function's return address to a separately
allocated ShadowCallStack instance in the function prolog of
nonleaf functions and loading the return address from the
ShadowCallStack instance in the function epilog.
WPA3 and Wi-Fi Enhanced Open
Android 10 adds support for the Wi-Fi Protected Access 3 (WPA3) and Wi-Fi Enhanced Open security standards to provide better privacy and robustness against known attacks.
Privacy
App access when targeting Android 9 or lower
If your app runs on Android 10 or higher but targets Android 9 (API level 28) or lower, the platform applies the following behavior:
- If your app declares a
<uses-permission>element for eitherACCESS_FINE_LOCATIONorACCESS_COARSE_LOCATION, the system automatically adds a<uses-permission>element forACCESS_BACKGROUND_LOCATIONduring installation. - If your app requests either
ACCESS_FINE_LOCATIONorACCESS_COARSE_LOCATION, the system automatically addsACCESS_BACKGROUND_LOCATIONto the request.
Background activity restrictions
Starting in Android 10, the system places restrictions
on starting activities from the background. This behavior change helps
minimize interruptions for the user and keeps the user more in control of what's
shown on their screen. As long as your app starts activities as a direct result
of user interaction, your app most likely isn't affected by these restrictions.
To learn more about the recommended alternative to starting activities from
the background, see the guide on how to alert
users of time-sensitive events in your app.
Camera metadata
Android 10 changes the breadth of information that the getCameraCharacteristics()
method returns by default. In particular, your app must have the CAMERA
permission in order to access potentially device-specific metadata that is
included in this method's return value.
To learn more about these changes, see the section about camera
fields that require permission.
Clipboard data
Unless your app is the default input method editor (IME) or is the app that currently has focus, your app cannot access clipboard data on Android 10 or higher.
Device location
To support the additional control that users have over an app's access to
location information, Android 10 introduces the ACCESS_BACKGROUND_LOCATION
permission.
Unlike the ACCESS_FINE_LOCATION
and ACCESS_COARSE_LOCATION
permissions, the ACCESS_BACKGROUND_LOCATION permission only affects
an app's access to location when it runs in the background. An app is considered
to be accessing location in the background unless one of the following
conditions is satisfied:
- An activity belonging to the app is visible.
- The app is running a foreground service that has declared a foreground
service type of
location.
To declare the foreground service type for a service in your app, set your app'stargetSdkVersionorcompileSdkVersionto29or higher. Learn more about how foreground services can continue user-initiated actions that require access to location.
External storage
By default, apps targeting Android 10 and higher are given scoped access into external storage, or scoped storage. Such apps can see the following types of files within an external storage device without needing to request any storage-related user permissions:
- Files in the app-specific directory, accessed using
getExternalFilesDir(). - Photos, videos, and audio clips that the app created from the media store.
To learn more about scoped storage, as well as how to share, access, and modify files that are saved on external storage devices, see the guides on how to manage files in external storage and access and modify media files.
MAC address randomization
On devices that run Android 10 or higher, the system transmits randomized MAC
addresses by default.
If your app handles an enterprise use case, the
platform provides APIs for several operations related to MAC addresses:
- Obtain randomized MAC address: Device owner apps and
profile owner apps can retrieve the randomized MAC address assigned to a
specific network by calling
getRandomizedMacAddress(). - Obtain actual, factory MAC address: Device owner apps can
retrieve a device's actual hardware MAC address by calling
getWifiMacAddress(). This method is useful for tracking fleets of devices.
Non-resettable device identifiers
Starting in Android 10, apps must have the
READ_PRIVILEGED_PHONE_STATE privileged permission in order to
access the device's non-resettable identifiers, which include both IMEI and
serial number.
BuildTelephonyManager
If your app doesn't have the permission and you try asking for information about non-resettable identifiers anyway, the platform's response varies based on target SDK version:
- If your app targets Android 10 or higher, a
SecurityExceptionoccurs. - If your app targets Android 9 (API level 28) or lower, the method returns
nullor placeholder data if the app has theREAD_PHONE_STATEpermission. Otherwise, aSecurityExceptionoccurs.
Physical activity recognition
Android 10 introduces the android.permission.ACTIVITY_RECOGNITION
runtime permission for apps that need to detect the user's step count or
classify the user's physical activity, such as walking, biking, or moving in a
vehicle. This is designed to give users visibility of how device sensor data is
used in Settings.
Some libraries within Google Play services, such as the Activity
Recognition API and the Google
Fit API, don't provide results unless the user has granted your app this
permission.
The only built-in
sensors on the device that require you to declare this permission are the step
counter and step
detector sensors.
If your app targets Android 9 (API level 28) or lower, the system
auto-grants the android.permission.ACTIVITY_RECOGNITION permission
to your app, as needed, if your app satisfies each of the following
conditions:
- The manifest file includes the
com.google.android.gms.permission.ACTIVITY_RECOGNITIONpermission. - The manifest file doesn't include the
android.permission.ACTIVITY_RECOGNITIONpermission.
If the system-auto grants the
android.permission.ACTIVITY_RECOGNITION permission, your app
retains the permission after you update your app to target Android 10. However,
the user can revoke this permission at any time in system settings.
/proc/net filesystem restrictions
On devices that run Android 10 or higher, apps cannot access
/proc/net, which includes information about a device's network
state. Apps that need access to this information, such as VPNs, should use the
NetworkStatsManager
or ConnectivityManager
class.
Permission groups removed from UI
As of Android 10, apps cannot look up how permissions are grouped in the UI.
Removal of contacts affinity
Starting in Android 10, the platform doesn't keep track of contacts affinity
information. As a result, if your app conducts a search on the user's contacts,
the results aren't ordered by frequency of interaction.
The guide about ContactsProvider contains a notice describing
the specific fields
and methods that are obsolete on all devices starting in Android 10.
Restricted access to screen contents
To protect users' screen contents, Android 10 prevents silent access to the
device's screen contents by changing the scope of the
READ_FRAME_BUFFER, CAPTURE_VIDEO_OUTPUT, and
CAPTURE_SECURE_VIDEO_OUTPUT permissions. As of Android 10, these
permissions are signature-access
only.
Apps that need to access the device's screen contents should use the
MediaProjection
API, which displays a prompt asking the user to provide consent.
USB device serial number
If your app targets Android 10 or higher, your app cannot read the serial
number until the user has granted your app permission to access the USB device
or accessory.
To learn more about working with USB devices, see the guide on how to configure
USB hosts.
Wi-Fi
Apps targeting Android 10 or higher cannot enable or disable Wi-Fi. The
WifiManager.setWifiEnabled()
method always returns false.
If you need to prompt users to enable and disable Wi-Fi, use a settings
panel.
Restrictions on direct access to configured Wi-Fi networks
To protect user privacy, manual configuration of the list of Wi-Fi networks
is restricted to system apps and device policy
controllers (DPCs). A given DPC can be either the device owner or the
profile owner.
If your app targets Android 10 or higher, and it isn't a system app or a
DPC, then the following methods don't return useful data:
- The
getConfiguredNetworks()method always returns an empty list. - Each network operation method that returns an integer value—
addNetwork()andupdateNetwork()—always returns -1. - Each network operation that returns a boolean value—
removeNetwork(),reassociate(),enableNetwork(),disableNetwork(),reconnect(), anddisconnect()—always returnsfalse.
Android 9
Ogni release di Android include dozzine di miglioramenti della sicurezza per proteggere gli utenti. Per un elenco di alcuni dei principali miglioramenti alla sicurezza disponibili in Android 9, consulta le Note di rilascio di Android.
Android 8
Ogni release di Android include dozzine di miglioramenti della sicurezza per proteggere gli utenti. Di seguito sono riportati alcuni dei principali miglioramenti alla sicurezza disponibili in Android 8.0:
- Crittografia. È stato aggiunto il supporto per l'espulsione della chiave nel profilo di lavoro.
- Avvio verificato. È stato aggiunto l'avvio verificato di Android (AVB). Base di codice di avvio verificata che supporta la protezione del rollback per l'utilizzo nei bootloader aggiunti ad AOSP. Consiglia il supporto del bootloader per la protezione rollback per il sistema operativo di base. Consiglia di sbloccare i bootloader solo tramite l'interazione fisica dell'utente con il dispositivo.
- Schermata di blocco. È stato aggiunto il supporto per l'utilizzo di hardware antimanomissione per verificare la credenziale della schermata di blocco.
- KeyStore. È richiesta l'attestazione della chiave per tutti i dispositivi forniti con Android 8.0 e versioni successive. È stato aggiunto il supporto dell'attestazione dell'ID per migliorare la registrazione zero-touch.
- Limitazione tramite sandbox. Molti componenti sono più rigidamente controllati in una sandbox grazie all'interfaccia standard di Project Treble tra il framework e i componenti specifici del dispositivo. È stato applicato il filtro seccomp a tutte le app non attendibili per ridurre la superficie di attacco del kernel. WebView ora viene eseguito in un processo isolato con accesso molto limitato al resto del sistema.
- Ottimizzazione del kernel. È stata implementata la usercopy rafforzata, l'emulazione PAN, la modalità di sola lettura dopo l'inizializzazione e KASLR.
- Ottimizzazione dello spazio utente. È stato implementato il CFI per lo stack multimediale. Gli overlay delle app non possono più coprire le finestre di sistema critiche e gli utenti hanno un modo per ignorarli.
- Aggiornamento del sistema operativo di streaming. Aggiornamenti attivati su dispositivi con poco spazio su disco.
- Installa app sconosciute. Gli utenti devono concedere l'autorizzazione per installare app da un'origine che non sia uno store proprietario.
- Privacy. L'ID Android (SSAID) ha un valore diverso per ogni app e ogni utente sul dispositivo. Per le app del browser web, l'ID client Widevine
restituisce un valore diverso per ogni nome del pacchetto dell'app e origine web.
net.hostnameè ora vuoto e il client DHCP non invia più un nome host.android.os.Build.SERIALè stato sostituito con l'APIBuild.SERIAL, protetta da un'autorizzazione controllata dall'utente. Miglioramento della randomizzazione dell'indirizzo MAC in alcuni chipset.
Android 7
Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 7.0:
- File-based encryption. Encrypting at the file level, instead of encrypting the entire storage area as a single unit, better isolates and protects individual users and profiles (such as personal and work) on a device.
- Direct Boot. Enabled by file-based encryption, Direct Boot allows certain apps such as alarm clock and accessibility features to run when device is powered on but not unlocked.
- Verified Boot. Verified Boot is now strictly enforced to prevent compromised devices from booting; it supports error correction to improve reliability against non-malicious data corruption.
- SELinux. Updated SELinux configuration and increased seccomp coverage further locks down the Application Sandbox and reduces attack surface.
- Library load-order randomization and improved ASLR. Increased randomness makes some code-reuse attacks less reliable.
- Kernel hardening. Added additional memory protection for newer kernels by marking portions of kernel memory as read-only, restricting kernel access to userspace addresses and further reducing the existing attack surface.
- APK signature scheme v2. Introduced a whole-file signature scheme that improves verification speed and strengthens integrity guarantees.
- Trusted CA store. To make it easier for apps to control access to their secure network traffic, user-installed certificate authorities and those installed through Device Admin APIs are no longer trusted by default for apps targeting API Level 24+. Additionally, all new Android devices must ship with the same trusted CA store.
- Network Security Config. Configure network security and TLS through a declarative configuration file.
Android 6
Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 6.0:
- Runtime Permissions. Apps request permissions at runtime instead of being granted at App install time. Users can toggle permissions on and off for both M and pre-M apps.
- Verified Boot. A set of cryptographic checks of system software are conducted prior to execution to ensure the phone is healthy from the bootloader all the way up to the operating system.
- Hardware-Isolated Security. New Hardware Abstraction Layer (HAL) used by Fingerprint API, Lockscreen, Device Encryption, and Client Certificates to protect keys against kernel compromise and/or local physical attacks
- Fingerprints. Devices can now be unlocked with just a touch. Developers can also take advantage of new APIs to use fingerprints to lock and unlock encryption keys.
- SD Card Adoption. Removable media can be adopted to a device and expand available storage for app local data, photos, videos, etc., but still be protected by block-level encryption.
- Clear Text Traffic. Developers can use a new StrictMode to make sure their app doesn't use cleartext.
- System Hardening. Hardening of the system via policies enforced by SELinux. This offers better isolation between users, IOCTL filtering, reduce threat of exposed services, further tightening of SELinux domains, and extremely limited /proc access.
- USB Access Control: Users must confirm to allow USB access to files, storage, or other functionality on the phone. Default is now charge only with access to storage requiring explicit approval from the user.
Android 5
5,0
Ogni release di Android include dozzine di miglioramenti della sicurezza per proteggere gli utenti. Ecco alcuni dei principali miglioramenti alla sicurezza disponibili in Android 5.0:
- Crittografati per impostazione predefinita. Sui dispositivi su cui è preinstallato L, la crittografia completa del disco è attivata per impostazione predefinita per migliorare la protezione dei dati sui dispositivi smarriti o rubati. I dispositivi aggiornati a L possono essere criptati in Impostazioni > Sicurezza .
- Crittografia completa del disco migliorata. La password utente è protetta dagli attacchi di forza bruta utilizzando
scrypte, se disponibile, la chiave è associata al keystore hardware per impedire gli attacchi al di fuori del dispositivo. Come sempre, il segreto del blocco schermo di Android e la chiave di crittografia del dispositivo non vengono inviati dal dispositivo né esposti a nessuna applicazione. - Sandbox Android rafforzata con SELinux . Ora Android richiede SELinux in modalità di applicazione per tutti i domini. SELinux è un sistema di controllo dell'accesso obbligatorio (MAC) nel kernel di Linux utilizzato per integrare il modello di sicurezza del controllo dell'accesso discrezionale (DAC) esistente. Questo nuovo livello offre una protezione aggiuntiva contro potenziali vulnerabilità di sicurezza.
- Smart Lock. Android ora include trustlet che offrono maggiore flessibilità per sbloccare i dispositivi. Ad esempio, i trustlet possono consentire di sbloccare automaticamente i dispositivi quando sono nelle vicinanze di un altro dispositivo attendibile (tramite NFC, Bluetooth) o quando vengono utilizzati da una persona con un volto attendibile.
- Modalità multiutente, profilo con limitazioni e ospite per smartphone e tablet. Android ora supporta più utenti sugli smartphone e include una modalità ospite che può essere utilizzata per fornire un facile accesso temporaneo al dispositivo senza concedere l'accesso ai dati e alle app.
- Aggiornamenti a WebView senza OTA. Ora WebView può essere aggiornato indipendentemente dal framework e senza un OTA di sistema. In questo modo è possibile rispondere più rapidamente a potenziali problemi di sicurezza in WebView.
- Crittografia aggiornata per HTTPS e TLS/SSL. TLS 1.2 e TLS 1.1 sono ora attivati, la crittografia lato client è ora preferita, AES-GCM è ora attivato e le suite di crittografia deboli (MD5, 3DES e suite di crittografia di esportazione) sono ora disattivate. Per ulteriori dettagli, visita la pagina https://developer.android.com/reference/javax/net/ssl/SSLSocket.html.
- Rimosso il supporto del linker non PIE. Ora Android richiede che tutti gli eseguibili con collegamento dinamico supportino PIE (eseguibili indipendenti dalla posizione). In questo modo viene migliorata l'implementazione della casualizzazione dello spazio degli indirizzi (ASLR) di Android.
- Miglioramenti a FORTIFY_SOURCE. Le seguenti funzioni libc ora implementano le protezioni FORTIFY_SOURCE:
stpcpy(),stpncpy(),read(),recvfrom(),FD_CLR(),FD_SET()eFD_ISSET(). Ciò offre protezione dalle vulnerabilità di corruzione della memoria che coinvolgono queste funzioni. - Correzioni di sicurezza. Android 5.0 include anche correzioni per vulnerabilità specifiche di Android. Le informazioni su queste vulnerabilità sono state fornite ai membri dell'Open Handset Alliance e le correzioni sono disponibili nel progetto open source Android. Per migliorare la sicurezza, alcune versioni precedenti di Android potrebbero includere anche queste correzioni.
Android 4 e versioni precedenti
Ogni release di Android include dozzine di miglioramenti della sicurezza per proteggere gli utenti. Di seguito sono riportati alcuni dei miglioramenti della sicurezza disponibili in Android 4.4:
- Sandbox Android rafforzata con SELinux. Android ora utilizza SELinux in modalità di applicazione. SELinux è un sistema di controllo dell'accesso obbligatorio (MAC) nel kernel di Linux utilizzato per migliorare il modello di sicurezza basato sul controllo dell'accesso discrezionale (DAC) esistente. Ciò fornisce una protezione aggiuntiva contro potenziali vulnerabilità di sicurezza.
- VPN per utente. Sui dispositivi multiutente, le VPN vengono ora applicate per utente. In questo modo, un utente può instradare tutto il traffico di rete tramite una VPN senza influire sugli altri utenti del dispositivo.
- Supporto del provider ECDSA in AndroidKeyStore. Android ora dispone di un provider di keystore che consente l'utilizzo degli algoritmi ECDSA e DSA.
- Avvisi relativi al monitoraggio del dispositivo. Android fornisce agli utenti un avviso se è stato aggiunto al magazzino dei certificati del dispositivo un certificato che potrebbe consentire il monitoraggio del traffico di rete criptato.
- FORTIFY_SOURCE. Android ora supporta il livello 2 di FORTIFY_SOURCE e tutto il codice viene compilato con queste protezioni. FORTIFY_SOURCE è stato migliorato per funzionare con clang.
- Blocco dei certificati. Android 4.4 rileva e impedisce l'uso di certificati Google fraudolenti utilizzati nelle comunicazioni SSL/TLS sicure.
- Correzioni di sicurezza. Android 4.4 include anche correzioni per vulnerabilità specifiche di Android. Le informazioni su queste vulnerabilità sono state fornite ai membri di Open Handset Alliance e le correzioni sono disponibili nell'Android Open Source Project. Per migliorare la sicurezza, alcune versioni precedenti di Android potrebbero includere anche queste correzioni.
Ogni release di Android include dozzine di miglioramenti della sicurezza per proteggere gli utenti. Di seguito sono riportati alcuni dei miglioramenti della sicurezza disponibili in Android 4.3:
- Sandbox Android rafforzata con SELinux. Questa release rafforza la sandbox di Android utilizzando il sistema di controllo dell'accesso obbligatorio (MAC) SELinux nel kernel di Linux. Il rafforzamento di SELinux è invisibile a utenti e sviluppatori e aggiunge robustezza al modello di sicurezza Android esistente, mantenendo la compatibilità con le app esistenti. Per garantire la compatibilità, questa release consente l'utilizzo di SELinux in una modalità permissiva. Questa modalità registra eventuali violazioni delle norme, ma non blocca le app né influisce sul comportamento del sistema.
- Nessun programma
setuidosetgid. È stato aggiunto il supporto delle funzionalità del file system ai file di sistema di Android e sono stati rimossi tutti i programmisetuidosetgid. In questo modo si riduce la superficie di attacco del root e la probabilità di potenziali vulnerabilità di sicurezza. - Autenticazione ADB. A partire da Android 4.2.2, le connessioni ad ADB vengono autenticate con una coppia di chiavi RSA. In questo modo viene impedito l'uso non autorizzato di ADB se l'utente malintenzionato ha accesso fisico a un dispositivo.
- Limita Setuid dalle app Android.
La partizione
/systemè ora montata nosuid per i processi generati da zygote, impedendo alle app Android di eseguire programmisetuid. In questo modo si riduce la superficie di attacco del root e la probabilità di potenziali vulnerabilità di sicurezza. - Limitazione delle funzionalità.
Ora zygote di Android e ADB utilizzano
prctl(PR_CAPBSET_DROP)per rimuovere le funzionalità non necessarie prima di eseguire le app. In questo modo, le app Android e le app avviate dalla shell non possono acquisire funzionalità con privilegi. - Provider AndroidKeyStore. Android ora dispone di un provider di archivi chiavi che consente alle app di creare chiavi di utilizzo esclusivo. In questo modo, le app dispongono di un'API per creare o archiviare chiavi private che non possono essere utilizzate da altre app.
- Portachiavi
isBoundKeyAlgorithm. L'API Keychain ora fornisce un metodo (isBoundKeyType) che consente alle app di verificare che le chiavi di sistema siano associate a un'autorità di certificazione hardware per il dispositivo. In questo modo, hai un luogo per creare o memorizzare chiavi private che non possono essere esportate dal dispositivo, anche in caso di compromissione del root. NO_NEW_PRIVS. Ora il zygote di Android utilizzaprctl(PR_SET_NO_NEW_PRIVS)per bloccare l'aggiunta di nuovi privilegi prima dell'esecuzione del codice dell'app. In questo modo, viene impedito alle app Android di eseguire operazioni che possono elevare i privilegi tramite execve. (questa operazione richiede la versione 3.5 o successive del kernel Linux).- Miglioramenti di
FORTIFY_SOURCE. È stato attivatoFORTIFY_SOURCEsu Android x86 e MIPS e sono state rinforzate le chiamatestrchr(),strrchr(),strlen()eumask(). In questo modo è possibile rilevare potenziali vulnerabilità di corruzione della memoria o costanti di stringa non terminate. - Protezioni per il trasferimento. Sono state attivate le riallocazioni di sola lettura (relro) per gli eseguibili con link statico e sono state rimosse tutte le riallocazioni di testo nel codice di Android. In questo modo, viene garantita una difesa in profondità contro potenziali vulnerabilità legate alla corruzione della memoria.
- EntropyMixer migliorato. EntropyMixer ora scrive l'entropia all'arresto o al riavvio, oltre alla miscelazione periodica. Ciò consente di conservare tutta l'entropia generata durante l'accensione dei dispositivi ed è particolarmente utile per i dispositivi che vengono riavviati immediatamente dopo il provisioning.
- Correzioni relative alla sicurezza. Android 4.3 include anche correzioni per le vulnerabilità specifiche di Android. Le informazioni su queste vulnerabilità sono state fornite ai membri di Open Handset Alliance e le correzioni sono disponibili nell'Android Open Source Project. Per migliorare la sicurezza, anche alcuni dispositivi con versioni precedenti di Android potrebbero includere queste correzioni.
Android fornisce un modello di sicurezza multilivello descritto nella Panoramica della sicurezza Android. Ogni aggiornamento di Android include decine di miglioramenti alla sicurezza per proteggere gli utenti. Di seguito sono riportati alcuni dei miglioramenti della sicurezza introdotti in Android 4.2:
- Verifica app:gli utenti possono scegliere di attivare la Verifica app e di far esaminare le app da un verificatore di app prima dell'installazione. La verifica dell'app può avvisare l'utente se tenta di installare un'app potenzialmente dannosa. Se un'app è particolarmente dannosa, può bloccarne l'installazione.
- Maggiore controllo sugli SMS premium: Android fornisce una notifica se un'app tenta di inviare un SMS a un codice corto che utilizza servizi premium che potrebbero comportare addebiti aggiuntivi. L'utente può scegliere se consentire all'app di inviare il messaggio o bloccarlo.
- VPN sempre attiva:la VPN può essere configurata in modo che le app non abbiano accesso alla rete finché non viene stabilita una connessione VPN. In questo modo, le app non possono inviare dati su altre reti.
- Blocco dei certificati: le librerie di base di Android ora supportano il blocco dei certificati. I domini bloccati ricevono un errore di convalida del certificato se il certificato non è collegato a un insieme di certificati previsti. In questo modo, è possibile proteggersi da una possibile compromissione delle autorità di certificazione.
- Visualizzazione migliorata delle autorizzazioni Android: le autorizzazioni sono organizzate in gruppi più facilmente comprensibili dagli utenti. Durante la revisione delle autorizzazioni, l'utente può fare clic sull'autorizzazione per visualizzare informazioni più dettagliate.
- Ottimizzazione di installd:il daemon
installdnon viene eseguito come utenteinstalld, riducendo la potenziale superficie di attacco per l'escalation dei privilegi diinstalld. - Ottimizzazione script di inizializzazione: gli script di inizializzazione ora applicano la semantica
O_NOFOLLOWper difendersi dagli attacchi correlati ai link simbolici. FORTIFY_SOURCE: ora Android implementaFORTIFY_SOURCE. Viene utilizzato dalle librerie di sistema e dalle app per evitare la corruzione della memoria.- Configurazione predefinita di ContentProvider: per impostazione predefinita, le app che hanno come target il livello 17 dell'API hanno
exportimpostato sufalseper ogni ContentProvider, riducendo la superficie di attacco predefinita per le app. - Crittografia: sono state modificate le implementazioni predefinite di SecureRandom e Cipher.RSA per utilizzare OpenSSL. È stato aggiunto il supporto delle socket SSL per TLSv1.1 e TLSv1.2 utilizzando OpenSSL 1.0.1
- Correzioni di sicurezza: le librerie open source di cui è stato eseguito l'upgrade con le correzioni di sicurezza includono WebKit, libpng, OpenSSL e LibXML. Android 4.2 include anche correzioni per vulnerabilità specifiche di Android. Le informazioni su queste vulnerabilità sono state fornite ai membri di Open Handset Alliance e le correzioni sono disponibili nel progetto open source Android. Per migliorare la sicurezza, alcune versioni precedenti di Android potrebbero includere anche queste correzioni.
Android provides a multi-layered security model described in the Android Security Overview. Each update to Android includes dozens of security enhancements to protect users. The following are some of the security enhancements introduced in Android versions 1.5 through 4.1:
- Android 1.5
- ProPolice to prevent stack buffer overruns (-fstack-protector)
- safe_iop to reduce integer overflows
- Extensions to OpenBSD dlmalloc to prevent double free() vulnerabilities and to prevent chunk consolidation attacks. Chunk consolidation attacks are a common way to exploit heap corruption.
- OpenBSD calloc to prevent integer overflows during memory allocation
- Android 2.3
- Format string vulnerability protections (-Wformat-security -Werror=format-security)
- Hardware-based No eXecute (NX) to prevent code execution on the stack and heap
- Linux mmap_min_addr to mitigate null pointer dereference privilege escalation (further enhanced in Android 4.1)
- Android 4.0
- Address Space Layout Randomization (ASLR) to randomize key locations in memory
- Android 4.1
- PIE (Position Independent Executable) support
- Read-only relocations / immediate binding (-Wl,-z,relro -Wl,-z,now)
- dmesg_restrict enabled (avoid leaking kernel addresses)
- kptr_restrict enabled (avoid leaking kernel addresses)