Android, güvenlik yeteneklerini ve tekliflerini sürekli olarak geliştirmektedir. Sol gezinme bölümünde sürüme göre geliştirmelerin listesine bakın.
Android14
Her Android sürümünde korumak için onlarca güvenlik geliştirmesi bulunur yardımcı olur. Android 14'teki önemli güvenlik geliştirmelerinden bazıları şunlardır:
- Android 10'da kullanıma sunulan donanım destekli AddressSanitizer (HWASan), AddressSanitizer'a benzer bir bellek hatası algılama aracıdır. Android 14, HWASan'da önemli iyileştirmeler sunuyor. HWAddressSanitizer'ın, hataların Android sürümlerine girmesini nasıl önlediğini öğrenin
- Android 14'te, konum verilerini üçüncü taraflarla paylaşan uygulamalardan başlayarak sistem çalışma zamanında istenen izin iletişim kutusunda artık uygulamanın veri paylaşım yöntemleri (uygulamanın neden paylaşımda bulunmaya karar verebileceği gibi bilgiler dahil) üçüncü taraflarla paylaşma.
- Android 12, 2G desteğini modem düzeyinde devre dışı bırakma seçeneği sunarak kullanıcıları 2G'nin eski güvenlik modelinden kaynaklanan güvenlik riskine karşı korur. Nasıl yapıldığını öğrenme 2G'nin devre dışı bırakılması kritik öneme sahip olabilir. Android 14, bu güvenlik özelliğini etkinleştirir. . Cihazı 2G bağlantısına düşürme.
- Boş şifrelenmiş hücresel bağlantıları reddetme desteği eklendi. Bu sayede, devre anahtarlı ses ve SMS trafiği her zaman şifrelenir ve pasif kablosuz dinlemeye karşı korunur. Öğrenin daha fazla bilgi edinin.
- Birden fazla IMEI desteği eklendi
- Android 14'ten itibaren dosya adı şifrelemesi için tercih edilen mod AES-HCTR2'dir. adımları uygulayın.
- Hücresel bağlantı
- Android Güvenlik Merkezi için dokümanlar eklendi
- Uygulamanız Android 14'ü hedefliyorsa ve Dinamik Kod Yükleme (DCL) kullanıyorsa dinamik olarak yüklenen tüm dosyalar salt okunur olarak işaretlenmelidir. Aksi takdirde sistem istisna atar. Uygulamaların mümkün olduğunda kodları dinamik olarak yüklememesini öneririz. Bu, uygulamanın kod ekleme veya kodla oynama yoluyla güvenliğinin ihlal edilme riskini büyük ölçüde artırır.
AOSP sürüm notlarımızın tam sürümüne ve Android Developers özellik ve değişiklik listesine göz atın.
Android 13
Her Android sürümü, kullanıcıları korumak için onlarca güvenlik geliştirmesi içerir. Android 13'teki önemli güvenlik geliştirmelerinden bazıları şunlardır:
- Android 13, çok dokümanlu sunu desteği ekler. Bu yeni Sunu Oturumu arayüzü, uygulamanın şunları yapmasına olanak tanır: Bu, çoklu belgeyle mümkün olmayan bir şey. API'yi kullanabilirsiniz. Daha fazla bilgi için Identity Credential (Kimlik Kimlik Bilgisi)
- Android 13'te, harici uygulamalardan gelen intent'ler, yalnızca intent'ler beyan edilen intent-filter öğeleriyle eşleştiğinde dışa aktarılan bir bileşene gönderilir.
- Open Mobile API (OMAPI), bir cihazın Güvenli Öğesi ile iletişim kurmak için kullanılan standart bir API'dir. Android 13'ten önce bu arayüze yalnızca uygulamalar ve çerçeve modülleri erişebiliyordu. Bunu tedarikçi firmanın kararlı arayüzüne dönüştürerek HAL modülleri, güvenlik bileşenleri ile iletişim kurabilir OMAPI hizmeti üzerinden ekleyebilirsiniz. Daha fazla bilgi için bkz. OMAPI Tedarikçi Kararlı Arayüzü.
- Android 13-QPR'den itibaren paylaşılan UID'lerin desteği sonlandırılmıştır. Android 13 veya sonraki sürümleri kullanan kullanıcılar, manifest dosyalarına "android:sharedUserMaxSdkVersion="32"" satırını eklemelidir. Bu giriş, yeni kullanıcıların paylaşılan UID almasını engeller. UID'ler hakkında daha fazla bilgi için Uygulama imzalama bölümüne bakın.
- Android 13, AES (Gelişmiş Şifreleme Standardı), HMAC (Anahtarlanmış Karma İleti Kimlik Doğrulama Kodu) ve asimetrik kriptografik algoritmalar (Elips Eğrisi, RSA2048, RSA4096 ve Eğri 25519 dahil) gibi Keystore simetrik kriptografik primitifleri için destek ekledi
- Android 13 (API düzeyi 33) ve sonraki sürümler muaf olmayan bildirimler göndermek için çalışma zamanında istenen izin görebilirsiniz. Bu da kullanıcılara hangi izin bildirimlerini göreceğini kontrol edebilir.
- Tüm cihaz günlüklerine erişim isteyen uygulamalar için kullanım başına istem eklendi. Bu istem sayesinde kullanıcılar erişime izin verebilir veya erişimi reddedebilir.
- Android Sanallaştırma Çerçevesi (AVF)'ni kullanıma sundu. Bu çerçeve, standartlaştırılmış API'lerle farklı hipervizörleri tek bir çerçeve altında bir araya getiriyor. Hipervizör tarafından izole edilmiş iş yüklerini yürütmek için güvenli ve gizli yürütme ortamları sağlar.
- APK imza şeması v3.1 kullanıma sunuldu apksigner kullanan tüm yeni anahtar rotasyonları varsayılan olarak v3.1 imza şemasını kullanır .
AOSP sürüm notlarımızın tamamına göz atın ve Android Geliştiricisi özellikler ve değişiklik listesini inceleyebilirsiniz.
Android 12
Her Android sürümü, kullanıcıları korumak için onlarca güvenlik geliştirmesi içerir. Android 12'deki önemli güvenlik geliştirmelerinden bazıları şunlardır:
- Android 12, kimlik doğrulama için BiometricPrompt kullanan uygulamalara yerelleştirilmiş dizeler sağlayan BiometricManager.Strings API'yi kullanıma sunuyor. Bu dizeler cihaza duyarlı ve hangi kimlik doğrulama türlerinin kullanılabileceği hakkında daha net bilgiler sağlar. Android 12 ayrıca ekranın altındaki parmak izi sensörleri için destek içerir
- Ekranın altındaki parmak izi sensörleri için destek eklendi
- Parmak izi Android Arayüz Tanımlama Dili'nin (AIDL) kullanıma sunulması
- Yeni Face AIDL için destek
- Platform geliştirme dili olarak Rust'un kullanıma sunulması
- Kullanıcıların yalnızca yaklaşık olarak belirlenen verilere erişim izni verme seçeneği konum eklendi
- Bir uygulama kamerayı veya mikrofonu kullanırken durum çubuğuna gizlilik göstergeleri eklendi
- Android'in Özel Compute Core (PCC)
- 2G desteğini devre dışı bırakma seçeneği eklendi
Android 11
Her Android sürümünde korumak için onlarca güvenlik geliştirmesi bulunur yardımcı olur. Android 11'de sunulan önemli güvenlik geliştirmelerinden bazılarının listesi için Android Sürüm Notları'na bakın.
Android 10
Her Android sürümünde korumak için onlarca güvenlik geliştirmesi bulunur yardımcı olur. Android 10, çeşitli güvenlik ve gizlilik iyileştirmeleri içerir. Android 10'daki değişikliklerin tam listesi için Android 10 sürüm notlarına bakın.
Güvenlik
Sınır Temizleyici
Android 10, BoundsSanitizer'ı dağıtır (BoundSan) ile uyumludur. BoundSan, UBSan'ın sınırlı dezenfektanlarını kullanır. Bu çözüm modül bazında etkinleştirilir. Android'in kritik bileşenlerinin güvende kalmasına yardımcı olur ve devre dışı bırakılmamalıdır. BoundSan'ın etkin olduğu yerler: aşağıdaki codec'ler:
libFLAC
libavcdec
libavcenc
libhevcdec
libmpeg2
libopus
libvpx
libspeexresampler
libvorbisidec
libaac
libxaac
Yalnızca yürütme belleği
Varsayılan olarak, AArch64 sistem ikili programları için yürütülebilir kod bölümleri işaretlenmiştir tam zamanında koda karşı daha sağlam bir çözüm olarak yalnızca yürütülebilir (okunamaz) tekrar kullanmamak anlamına gelir. Verileri ve kodu birlikte karıştıran kodlar ve bu bölümleri kasıtlı olarak inceleyen kodlar (öncelikle bellek segmentlerini okunabilir olarak yeniden eşlemeden) artık çalışmıyor. Hedef SDK'sı Android 10 (API düzeyi) olan uygulamalar 29 veya sonraki sürümler) uygulama, yalnızca yürütme amaçlı bellek (XOM) etkin sistem kitaplıkları, önce bölümünü okunabilir hale getirin.
Genişletilmiş erişim
Üçüncül kimlik doğrulama tarafından kullanılan temel mekanizma olan güven aracıları mekanizmalar yalnızca Android 10'da kilit açma süresini uzatabilir. Güven temsilciler artık kilitli bir cihazın kilidini açamaz ve yalnızca cihazın kilidini açık tutabilir en fazla dört saat olabilir.
Yüzle kimlik doğrulama
Yüz doğrulaması, kullanıcıların cihazlarının kilidini yalnızca cihazlarının ön tarafına bakarak açmasına olanak tanır. Android 10'a yeni yüzle kimlik doğrulama desteği eklendi kamera çerçevelerini güvenli bir şekilde işleyebilen, güvenliği ve gizliliği koruyan grup Desteklenen donanımlarda yüz kimlik doğrulaması sırasında. Android 10 ayrıca Google Analytics 4'te uygulama entegrasyonunu etkinleştirmenin kolay bir yolunu işlemler (ör. internet bankacılığı veya diğer hizmetler)
Tam Sayı Taşması Temizleme
Android 10, Tam Sayı Taşması'nı mümkün kılar Yazılım codec'lerinde temizleme (IntSan). Oynatma performansının, cihazın donanımında desteklenmeyen tüm codec'ler için kabul edilebilir olduğundan emin olun. IntSan aşağıdaki codec'lerde etkindir:
libFLAC
libavcdec
libavcenc
libhevcdec
libmpeg2
libopus
libvpx
libspeexresampler
libvorbisidec
Modüler sistem bileşenleri
Android 10, bazı Android sistem bileşenleri hakkında daha fazla bilgi edinin ve bunların devam ediyor. Bazı modüller şunlardır:
- Android Çalışma zamanı
- Conscrypt
- DNS Çözümleyici
- Dokümanlar Kullanıcı Arayüzü
- ExtServices
- Medya
- ModuleMetadata
- Ağ Oluşturma
- PermissionController
- Saat dilimi verileri
OEM Kripto
Android 10, OEMCrypto API'nin 15. sürümünü kullanır.
Scudo Dili
Scudo, bir dinamik kullanıcı modu bellek ayırıcı ilgili güvenlik açıklarını ifade eder. Standart C ayırma ve ayırma işleminin yanı sıra C++ primitifleri sağlar.
ShadowCallStack
ShadowCallStack
(SCS)
, bir işlevin döndürdüğü adresi, yapraklı olmayan işlevlerin işlev prologunda ayrı olarak ayrılmış bir ShadowCallStack
örneğine kaydederek ve döndürülen adresi işlev epilogundaki ShadowCallStack
örneğinden yükleyerek döndürülen adresin üzerine yazılmasına (ör. yığın arabellek taşmaları) karşı koruma sağlayan bir LLVM enstrümantasyonu modudur.
WPA3 ve Wi-Fi Gelişmiş Açma
Android 10, bilinen saldırılara karşı daha iyi gizlilik ve sağlamlık sağlamak için Kablosuz Bağlantı Korumalı Erişim 3 (WPA3) ve Kablosuz Bağlantı Gelişmiş Açık güvenlik standartları desteği ekler.
Gizlilik
Android 9 veya önceki sürümleri hedeflerken uygulama erişimi
Uygulamanız Android 10 veya sonraki bir sürümü çalıştırıyor ancak Android 9'u (API düzeyi 28) hedefliyorsa ya da daha düşük olursa platform şu davranışı uygular:
- Uygulamanız
ACCESS_FINE_LOCATION
veyaACCESS_COARSE_LOCATION
için bir<uses-permission>
öğesi tanımlarsa sistem, yükleme sırasındaACCESS_BACKGROUND_LOCATION
için otomatik olarak bir<uses-permission>
öğesi ekler. - Uygulamanız
ACCESS_FINE_LOCATION
veyaACCESS_COARSE_LOCATION
, sistem otomatik olarak İsteğeACCESS_BACKGROUND_LOCATION
.
Arka plan etkinliği kısıtlamaları
Android 10'dan itibaren sistem, etkinlikleri arka planda başlatmaya kısıtlamalar uygular. Bu davranış değişikliği,
Böylece kullanıcı kesintileri en aza indirebilir ve bir öğe ile ilgili olarak
karar verebilir. Uygulamanız, kullanıcı etkileşiminin doğrudan bir sonucu olarak etkinlikler başlattığı sürece büyük olasılıkla bu kısıtlamalardan etkilenmez.
.
Başlangıç etkinliği olarak önerilen alternatif hakkında daha fazla bilgi için
hakkında daha fazla bilgi edinmek istiyorsanız, uyarı
uygulamanızda zamana bağlı etkinliklerin kullanıcıları için.
Kamera meta verileri
Android 10, getCameraCharacteristics()
yönteminin varsayılan olarak döndürdüğü bilgilerin kapsamını değiştirir. Özellikle, uygulamanızda CAMERA
amacıyla kişiselleştirilmiş olabilecek meta verilere erişmek için
dahil edilir.
Bu değişiklikler hakkında daha fazla bilgi edinmek için izin gerektiren kamera alanları ile ilgili bölümü inceleyin.
Pano verileri
Uygulamanız varsayılan giriş yöntemi düzenleyicisi (IME) veya şu anda odaktaki uygulama değilse Android 10 veya sonraki sürümlerde uygulamanız, pano verilerine erişemez.
Cihaz konumu
Android 10, kullanıcıların bir uygulamanın konum bilgilerine erişimi üzerinde sahip olduğu ek kontrolü desteklemek için ACCESS_BACKGROUND_LOCATION
izinini kullanıma sunar.
.
ACCESS_FINE_LOCATION
öğesini beğenmeyin
ve ACCESS_COARSE_LOCATION
izinleriniz varsa ACCESS_BACKGROUND_LOCATION
izni yalnızca
Arka planda çalışan bir uygulamanın konuma erişimini. Aşağıdaki koşullardan biri karşılanmadıkça bir uygulamanın arka planda konuma eriştiği kabul edilir:
- Uygulamaya ait bir etkinlik görünür.
- Uygulama, ön plan beyan eden bir ön plan hizmeti çalıştırıyor.
location
hizmet türü için geçerlidir.
Uygulamanızdaki bir hizmetin ön plan hizmet türünü beyan etmek için uygulamanızıntargetSdkVersion
veyacompileSdkVersion
değerini29
veya daha yüksek bir değere ayarlayın. Ön plan hizmetlerinin, konuma erişim gerektiren kullanıcı tarafından başlatılan işlemleri devam ettirmesi hakkında daha fazla bilgi edinin.
Harici depolama
Varsayılan olarak, Android 10 ve sonraki sürümleri hedefleyen uygulamalar kapsamlı olarak belirlenir. harici depolama alanına veya kapsamlı depolama alanına erişim. Bu tür uygulamalar, depolamayla ilgili kullanıcı izinleri istemek zorunda kalmadan harici depolama cihazındaki aşağıdaki dosya türlerini görebilir:
getExternalFilesDir()
kullanılarak erişilen, uygulamaya özel dizindeki dosyalar.- Uygulamanın medyadan oluşturduğu fotoğraflar, videolar ve ses klipleri mağaza'yı seçin.
Kapsamlı depolamanın yanı sıra paylaşım, erişim ve erişim hakkında daha fazla bilgi edinmek için kaydedilen dosyalar, harici depolama cihazlarına kaydedilen dosyaları değiştirebilmek için, yönetmek için harici depolama alanındaki dosyalar ve erişim ve bunları değiştirebilirsiniz.
MAC adresinin rastgele seçilmesi
Android 10 veya sonraki sürümleri çalıştıran cihazlarda sistem, rastgele MAC iletir.
varsayılan olarak belirleyin.
Uygulamanız kurumsal bir kullanım alanı ile ilgileniyorsa platform, MAC adresleriyle ilgili çeşitli işlemler için API'ler sağlar:
- Rastgele MAC adresi al: Cihaz sahibi uygulamaları ve
profil sahibi uygulamaları, belirli bir cihaza atanan rastgele MAC adresini
getRandomizedMacAddress()
numaralı telefonu arayarak belirli bir ağa dokunun. - Gerçek fabrika MAC adresi alma: Cihaz sahibi uygulamaları
getWifiMacAddress()
numaralı telefonu arayarak cihazın gerçek donanım MAC adresini alın. Bu yöntem cihaz filolarını izlemek için yararlıdır.
Sıfırlanamayan cihaz tanımlayıcıları
Android 10'dan itibaren uygulamalarda
Bunu yapmak için READ_PRIVILEGED_PHONE_STATE
ayrıcalıklı izne sahip
Cihazınızın sıfırlanamayan tanımlayıcılarına (hem IMEI hem de IMEI
seri numarası.
Build
TelephonyManager
Uygulamanızda bu izin yoksa ve sıfırlanamayan tanımlayıcılarla ilgili bilgi istemeye çalışırsanız platformun yanıtı, hedef SDK sürümüne göre değişir:
- Uygulamanız Android 10 veya sonraki sürümleri hedefliyorsa
SecurityException
meydana gelir. - Uygulamanız Android 9 (API düzeyi 28) veya önceki bir sürümü hedefliyorsa yöntem döndürülür
Uygulama
READ_PHONE_STATE
varsanull
veya yer tutucu veriler izni gerekir. Aksi takdirde birSecurityException
gerçekleşir.
Fiziksel aktivite tanıma
Android 10, kullanıcının adım sayısını algılaması veya kullanıcının fiziksel aktivitesini (ör. yürüyüş, bisiklete binme veya araçta hareket etme) sınıflandırması gereken uygulamalar için android.permission.ACTIVITY_RECOGNITION
çalışma zamanında izini kullanıma sunar. Bu özellik, kullanıcılara cihaz sensör verilerinin nasıl kullanıldığını göstermek için tasarlanmıştır.
Ayarlar'da kullanılır.
.
Google Play Hizmetleri'ndeki Etkinlik gibi bazı kitaplıklar
Recognition API ve Google
Fit API, kullanıcı uygulamanıza izin vermediği sürece sonuçları sunma
izni gerekir.
Cihazdaki bu izni belirtmenizi gerektiren tek yerleşik sensörler adım sayacı ve adım algılayıcı sensörleridir.
Uygulamanız Android 9'u (API düzeyi 28) veya daha eski sürümleri hedefliyorsa sistem, uygulamanız aşağıdaki koşulların her birini karşılıyorsa gerektiğinde android.permission.ACTIVITY_RECOGNITION
iznini otomatik olarak uygulamanıza verir:
- Manifest dosyasında
com.google.android.gms.permission.ACTIVITY_RECOGNITION
izni yer alıyor. - Manifest dosyası
android.permission.ACTIVITY_RECOGNITION
iznini içermiyor.
Sistem-otomatik, android.permission.ACTIVITY_RECOGNITION
iznini verirse uygulamanız, Android 10'u hedefleyecek şekilde güncellendikten sonra izni korur. Ancak kullanıcı, sistem ayarlarından bu izni istediği zaman iptal edebilir.
/proc/net dosya sistemi kısıtlamaları
Android 10 veya sonraki sürümleri çalıştıran cihazlarda uygulamalar, cihazın ağ durumuyla ilgili bilgileri içeren /proc/net
kaynağına erişemez. VPN'ler gibi bu bilgilere erişmesi gereken uygulamalar NetworkStatsManager
veya ConnectivityManager
sınıfını kullanmalıdır.
İzin grupları kullanıcı arayüzünden kaldırıldı
Android 10'dan itibaren uygulamalar, izinlerin kullanıcı arayüzünde gruplandırılır.
Kişi yakınlığı kaldırıldı
Android 10 sürümünden itibaren platform, kişilerin yakın ilgi alanını takip etmez
ekleyebilirsiniz. Sonuç olarak, uygulamanız kullanıcının kişilerinde bir arama yaparsa,
sonuçlar etkileşim sıklığına göre sıralanmaz.
.
ContactsProvider
ile ilgili rehberde,
belirli alanlar
Android 10'dan başlayan tüm cihazlarda eski ve artık kullanılmayan yöntemler.
Ekran içeriğine erişim kısıtlandı
Android 10, kullanıcıların ekran içeriklerini korumak için READ_FRAME_BUFFER
, CAPTURE_VIDEO_OUTPUT
ve CAPTURE_SECURE_VIDEO_OUTPUT
izinlerinin kapsamını değiştirerek cihazın ekran içeriklerine sessizce erişilmesini engeller. Android 10'dan itibaren bu izinler yalnızca imza erişimi olarak kullanılmaktadır.
.
Cihazın ekran içeriklerine erişmesi gereken uygulamalar,
MediaProjection
API.
USB cihazın seri numarası
Uygulamanız Android 10 veya sonraki bir sürümü hedefliyorsa seri numarası okuyamaz
Kullanıcı, uygulamanıza USB cihazına erişme izni verene kadar numara
veya aksesuar olabilir.
USB cihazlarla çalışma hakkında daha fazla bilgi edinmek için USB ana makinelerini yapılandırma ile ilgili kılavuzu inceleyin.
Kablosuz bağlantı
Android 10 veya sonraki sürümleri hedefleyen uygulamalar Kablosuz bağlantıyı etkinleştiremez veya devre dışı bırakamaz. İlgili içeriği oluşturmak için kullanılan
WifiManager.setWifiEnabled()
.
yöntemi her zaman false
değerini döndürür.
.
Kullanıcılardan kablosuz bağlantıyı etkinleştirmelerini ve devre dışı bırakmalarını istemeniz gerekiyorsa bir ayar kullanın
paneline dokunun.
Yapılandırılmış kablosuz ağlara doğrudan erişimle ilgili kısıtlamalar
Kullanıcı gizliliğini korumak için kablosuz ağ listesinin manuel olarak yapılandırılması
sistem uygulamaları ve cihaz politikası ile kısıtlı
denetleyiciler (DPC'ler). Belirli bir DPC, cihaz sahibi veya profil sahibi olabilir.
Uygulamanız Android 10 veya sonraki sürümleri hedefliyorsa ve sistem uygulaması ya da DPC değilse aşağıdaki yöntemler yararlı veriler döndürmez:
getConfiguredNetworks()
yöntemi her zaman boş bir liste döndürür.- Tam sayı değeri döndüren her ağ işlemi yöntemi (
addNetwork()
veupdateNetwork()
) her zaman -1 döndürür. - Boole değeri döndüren her ağ işlemi (
removeNetwork()
,reassociate()
,enableNetwork()
,disableNetwork()
,reconnect()
vedisconnect()
) her zamanfalse
döndürür.
Android 9
Her Android sürümünde korumak için onlarca güvenlik geliştirmesi bulunur yardımcı olur. Android 9'daki önemli güvenlik geliştirmelerinden bazılarının listesi için Android Sürüm Notları'na bakın.
Android8
Her Android sürümü, kullanıcıları korumak için onlarca güvenlik geliştirmesi içerir. Android'deki önemli güvenlik geliştirmelerinden bazıları aşağıda verilmiştir 8.0:
- Şifreleme. İş profilinde anahtarı kaldırma desteği eklendi.
- Doğrulanmış Başlatma. Android Doğrulanmış Başlatma (AVB) eklendi. Doğrulandı AOSP HLOS için geri alma koruması için bootloader desteği önerin. Önyükleme arıcıların kilidinin yalnızca kullanıcının cihazla fiziksel olarak etkileşime geçmesi
- Kilit ekranı. Kilit ekranı kimlik bilgisini doğrulamak için kurcalamaya dayanıklı donanım kullanma desteği eklendi.
- KeyStore. Android 8.0 ve sonraki sürümleri çalıştıran tüm cihazlarda anahtar doğrulaması zorunludur. El değmeden kayıt özelliğini iyileştirmek için kimlik doğrulaması desteği eklendi.
- Korumalı alan. Daha net bir şekilde birçok bileşeni korumalı alana almak için Project Treble'ın standart arayüzünü çerçeve ve cihaza özgü bileşenler. Uygulanan seccomp çekirdeğin saldırı yüzeyini azaltmak için güvenilir olmayan tüm uygulamalara filtre uygular. Web Görünümü artık geri kalanına çok sınırlı erişimi olan izole bir işlemde bahsedeceğim.
- Çekirdek güçlendirme. Güçlendirilmiş kullanıcı kopyası, PAN emülasyonu, başlatma işleminden sonra salt okuma ve KASLR uygulandı.
- Kullanıcı alanını sağlamlaştırma. Medya yığını için CFI uygulandı. Uygulama yer paylaşımları artık sistem açısından kritik pencereleri örtemez ve kullanıcılar, onları reddedebilir.
- Akış OS güncellemesi. Etkin güncellemeler bu cihazlarda kullanılabilir.
- Bilinmeyen uygulamaları yükleme. Kullanıcıların, birinci taraf uygulama mağazası olmayan bir kaynaktan uygulama yüklemek için izin vermesi gerekir.
- Gizlilik. Android kimliği (SSAID),
cihazdaki tüm kullanıcıları görebilirsiniz. Web tarayıcısı uygulamaları için Widevine İstemci Kimliği
her uygulama paketi adı ve web kaynağı için farklı bir değer döndürür.
net.hostname
artık boştur ve DHCP istemcisi artık ana makine adı göndermez.android.os.Build.SERIAL
, kullanıcı tarafından kontrol edilen bir izinle korunanBuild.SERIAL
API ile değiştirildi. İyileştirilmiş MAC adresi bazı yonga setlerinde rastgele hale getirilmesini sağlıyor.
Android7
Her Android sürümünde korumak için onlarca güvenlik geliştirmesi bulunur yardımcı olur. Android'deki önemli güvenlik geliştirmelerinden bazıları aşağıda verilmiştir 7.0:
- Dosya tabanlı şifreleme. Depolama alanının tamamını tek bir birim olarak şifrelemek yerine dosya düzeyinde şifreleme yapmak, cihazdaki kullanıcıları ve profilleri (ör. kişisel ve iş) daha iyi ayırır ve korur.
- Doğrudan Başlatma. Dosya tabanlı şifreleme, Doğrudan tarafından etkinleştirildi Başlatma, çalar saat ve erişilebilirlik özellikleri gibi belirli uygulamaların cihaz açıldığında ancak kilidi açık değilken çalışır.
- Doğrulanmış Başlatma. Güvenilir Başlatma, güvenliği ihlal edilmiş cihazların başlatılmasını önlemek için artık katı bir şekilde uygulanmaktadır. Ayrıca, kötü amaçlı olmayan veri bozulmalarına karşı güvenilirliği artırmak için hata düzeltmeyi destekler.
- SELinux. Güncellenen SELinux yapılandırması ve artan seccomp kapsamı, uygulama korumalı alanını daha da kilitler ve saldırı yüzeyini azaltır.
- Kitaplık yükleme sırası rastgele hale getirilmesi ve iyileştirilmiş ASLR. Artan rastgelelik, bazı kod yeniden kullanma saldırılarının güvenilirliğini azaltır.
- Çekirdek güçlendirme. Çekirdek belleğinin bölümlerini salt okunur olarak işaretleyerek, çekirdeğin kullanıcı alanı adreslerine erişimini kısıtlayarak ve mevcut saldırı yüzeyini daha da azaltarak yeni çekirdekler için ek bellek koruması eklendi.
- APK imza şeması v2. Tam dosya imzası kullanıma sunuldu , doğrulama hızını artıran ve bütünlük garantilerini güçlendiren bir plandır.
- Güvenilir CA mağazası. Uygulamaların güvenli ağ trafiğine erişimini kontrol etmesini kolaylaştırmak için API düzeyi 24 ve sonraki sürümleri hedefleyen uygulamalarda, kullanıcı tarafından yüklenen sertifika yetkililerine ve Cihaz Yöneticisi API'leri aracılığıyla yüklenen sertifika yetkililerine artık varsayılan olarak güvenilmez. Ayrıca, tüm yeni Android cihazlar aynı güvenilir CA mağazasıyla birlikte gönderilmelidir.
- Ağ Güvenliği Yapılandırması'nı seçin. Ağ güvenliğini ve TLS'yi yapılandırma yapılandırma dosyası yükleyebilirsiniz.
Android 6
Her Android sürümü, kullanıcıları korumak için onlarca güvenlik geliştirmesi içerir. Android 6.0'ta sunulan önemli güvenlik geliştirmelerinden bazıları şunlardır:
- Çalışma Zamanı İzinleri. Uygulamalar, yükleme sırasında izin almak yerine çalışma zamanında izin ister. Kullanıcılar, izinleri hem M hem de M öncesi için açıp kapatabilir
- Doğrulanmış Başlatma. Sisteme ait bir dizi kriptografik denetim yazılım geliştirme sürecinden önce Bootloader'dan gelene kadar telefonun sağlıklı olduğundan emin olmak için işletim sistemidir.
- Donanımdan İzole Güvenlik. Anahtarları çekirdek güvenliği ihlallerine ve/veya yerel fiziksel saldırılara karşı korumak için Parmak İzi API'si, Kilit Ekranı, Cihaz Şifreleme ve İstemci Sertifikaları tarafından kullanılan yeni Donanım Soyutlama Katmanı (HAL)
- Parmak izleri. Artık cihazların kilidi tek bir dokunuşla açılabilir. Geliştiriciler, şifreleme anahtarlarını kilitlemek ve kilidini açmak için parmak izlerini kullanmak amacıyla yeni API'lerden de yararlanabilir.
- SD Kart Kullanımı. Çıkarılabilir medya, bir cihaza eklenebilir ve uygulama yerel verileri, fotoğraflar, videolar vb. için kullanılabilir depolama alanını genişletebilir ancak yine de blok düzeyinde şifreleme ile korunabilir.
- Net Metin Trafiği. Geliştiriciler yeni bir StrictMode kullanabilirler Okuyucu Gelirleri Yöneticisi'ni açık metin.
- Sistem Sağlamlaştırma. Politikaları kullanarak sistemi sağlamlaştırma SELinux tarafından zorunlu kılındı. Bu, kullanıcılar arasında daha iyi izolasyon, IOCTL filtreleme, açık hizmet tehdidini azaltma, SELinux alanlarının daha da sıkılaştırılması ve son derece sınırlı /proc erişimi sunar.
- USB Erişim Kontrolü: Kullanıcılar USB'ye izin vermek için onay vermelidir dosyalara, depolama alanına veya diğer işlevselliğini artırmaktır. Varsayılan ayar artık yalnızca ödeme olarak belirlendi. Depolama alanına erişim için kullanıcının açık izni gerekiyor.
Android 5
5.0
Her Android sürümü, kullanıcıları korumak için onlarca güvenlik geliştirmesi içerir. Android'deki önemli güvenlik geliştirmelerinden bazıları aşağıda verilmiştir 5,0:
- Varsayılan olarak şifrelenmiştir. L ile gönderilen cihazlarda paketinden çıktığı gibi, tam disk şifrelemenin sistem Kayıp veya çalınmış cihazlardaki verilerin korunması. Şu cihazlar: L'ye güncelleme, Ayarlar'dan şifrelenebilir > Güvenlik .
- Gelişmiş tam disk şifreleme. Kullanıcı şifresi
scrypt
kullanılarak kaba kuvvetlerin saldırılarına karşı korunur. anahtarın donanım anahtar deposuna bağlanmasını önlemek için saldırıya uğrayan uygulamalardır. Her zaman olduğu gibi, Android ekran kilidi gizli anahtarı ve cihaz şifreleme anahtarı, cihazdan dışarı gönderilmez veya herhangi bir uygulamaya açılmaz. - SELinux ile güçlendirilmiş Android korumalı alanı . Şimdi Android SELinux'un tüm alanlar için zorunlu kılma modunda olmasını gerektirir. SELinux, Linux çekirdeğinde yer alan zorunlu erişim denetimi (MAC) sisteminden mevcut isteğe bağlı erişim denetimi (DAC) güvenlik modeli Bu yeni katman, olası güvenlik açıklarına karşı ek koruma sağlar.
- Smart Lock Android artık cihazların kilidini açarken daha fazla esneklik sağlayan güven öğeleri içeriyor. Örneğin, güven çipleri, başka bir güvenilen cihaza yakınken (NFC, Bluetooth üzerinden) veya güvenilen bir yüze sahip biri tarafından kullanıldığında cihazların kilidinin otomatik olarak açılmasına izin verebilir.
- Telefonlar ve tabletler için çok kullanıcılı, kısıtlı profil ve misafir modları Android artık telefon ve tablet kullanıcıları için hesabınıza kolayca geçici erişim sağlamak için kullanılabilecek bir misafir modu içerir verilerinize ve uygulamalarınıza erişim izni vermeden cihaza erişebilirsiniz.
- OTA olmadan WebView güncellemeleri. WebView artık çerçeveden bağımsız ve sistem olmadan güncellenmelidir. OTA. Bu sayede WebView'deki olası güvenlik sorunlarına daha hızlı yanıt verilebilir.
- HTTPS ve TLS/SSL için güncellenmiş kriptografi. TLSv1.2 ve TLSv1.1 etkinleştirildi, İletim Gizliliği tercih edildi, AES-GCM şimdi etkin ve zayıf şifre paketleri (MD5, 3DES ve dışa aktarma şifre paketleri) artık devre dışı. https://developer.android.com/reference/javax/net/ssl/SSLSocket.html adresine bakın inceleyebilirsiniz.
- PIE olmayan bağlayıcı desteği kaldırıldı. Android artık tüm dinamik olarak bağlı yürütülebilir dosyaların PIE'yi (konumdan bağımsız yürütülebilir dosyalar) desteklemesini zorunlu kılmaktadır. Bu sayede Android'in adres alanı düzeni rastgeleleştirme (ASLR) uygulaması iyileştirildi.
- FORTIFY_SOURCE iyileştirmeleri. Aşağıdaki libc
işlevleri artık FORTIFY_SOURCE korumalarını uyguluyor:
stpcpy()
,stpncpy()
,read()
,recvfrom()
,FD_CLR()
,FD_SET()
veFD_ISSET()
. Bu, bu işlevlerle ilgili bellek bozulması güvenlik açıklarına karşı koruma sağlar. - Güvenlik Düzeltmeleri. Android 5.0, Android'e özgü güvenlik açıkları. Bu güvenlik açıklarıyla ilgili bilgiler, Open Handset Alliance üyelerine sağlanmıştır ve düzeltmeleri Android Açık Kaynak Projesi. Güvenlik iyileştirmeleri için Android'in önceki sürümlerine sahip bazı cihazlarda da bu düzeltmeler bulunabilir.
Android 4 ve altı
Her Android sürümünde korumak için onlarca güvenlik geliştirmesi bulunur yardımcı olur. Sunulan güvenlik geliştirmelerinden bazıları şunlardır: Android 4.4'te:
- SELinux ile güçlendirilmiş Android korumalı alanı. Android artık SELinux'u zorunlu modda kullanıyor. SELinux, mevcut isteğe bağlı erişim denetimi (DAC) tabanlı güvenlik modelini geliştirmek için kullanılan, Linux çekirdeğinde zorunlu bir erişim denetimi (MAC) sistemidir. Bu, olası güvenliklere karşı ek koruma sağlar güvenlik açıkları.
- Kullanıcı başına VPN Çok kullanıcılı cihazlarda VPN'ler artık kullanıcı başına uygulanmaktadır. Bu seçenek, kullanıcının tüm ağ trafiğini bir VPN üzerinden yönlendirmesine olanak tanıyabilir ve cihazdaki diğer kullanıcıları etkilemeden çalışır.
- AndroidKeyStore'da ECDSA sağlayıcı desteği Android'de artık ECDSA ve Google Cloud Search ve DSA algoritmaları.
- Cihaz İzleme Uyarıları. Herhangi bir sertifika alınmışsa Android, kullanıcılara uyarı gönderir. izlemesine olanak tanıyan cihaz sertifikası deposuna eklenir. şifrelenmiş ağ trafiği.
- FORTIFY_SOURCE. Android artık FORTIFY_SOURCE 2. düzeyini destekliyor ve tüm kod bu korumalarla derleniyor. FORTIFY_SOURCE, ile çalışacak şekilde geliştirildi yakma.
- Sertifika sabitleme Android 4.4, güvenli SSL/TLS iletişimlerinde kullanılan sahte Google sertifikalarının kullanılmasını tespit edip engeller.
- Güvenlik Düzeltmeleri. Android 4.4, Android'e özgü güvenlik açıkları için düzeltmeler de içerir. Bu güvenlik açıkları hakkında bilgiler Open Handset Alliance üyelerine sağlanmıştır ve düzeltmeler Android Açık Kaynak Projesi'nde mevcuttur. Android'in önceki sürümlerine sahip bazı cihazlarda da güvenlik iyileştirmesi amacıyla bu düzeltmeler bulunabilir.
Her Android sürümünde korumak için onlarca güvenlik geliştirmesi bulunur yardımcı olur. Android 4.3'te sunulan güvenlik geliştirmelerinden bazıları şunlardır:
- SELinux ile güçlendirilmiş Android korumalı alanı. Bu sürüm, Linux çekirdeğinde SELinux zorunlu erişim denetimi sistemini (MAC) kullanarak Android korumalı alanını güçlendirir. SELinux güçlendirmenin kullanıcılar ve geliştiriciler tarafından görülmemesidir, hem mevcut Android güvenlik modeliyle uyumludur hem de uyumluluğu korurken entegre ederler. Bu sürümle uyumluluğun devam etmesini sağlamak için SELinux'un serbest modda kullanılmasına olanak tanır. Bu mod, tüm politika ihlallerini günlüğe kaydeder ancak uygulamaları bozmaz veya sistem davranışını etkilemez.
setuid
veyasetgid
programları yok. Dosya sistemi özellikleri için destek eklendi ve tümsetuid
veyasetgid
programları kaldırıldı. Bu, kök saldırı yüzeyini ve olası güvenlik açıklarının olasılığını azaltır.- ADB kimlik doğrulaması. Android 4.2.2 sürümünden itibaren, ADB ile kurulan bağlantılar şunlardır: kimlik doğrulaması yapılmış bir aramadır. Bu, yetkisiz e-posta adresleri ve Saldırganın bir cihaza fiziksel erişimi olduğu ADB.
- Android uygulamalarından Setuid'i kısıtlayın.
/system
bölümü eklendi zigot kaynaklı işlemler için nosuid, Android uygulamalarını engelleyensetuid
programın yürütülmesini engelleyebilir. Bu sayede kök saldırı yüzeyi ve olası güvenlik açıklarının ortaya çıkma olasılığı azalır. - Kapasite sınırlaması.
Android zigot ve ADB artık bırakmak için
prctl(PR_CAPBSET_DROP)
kullanıyor gereksiz olanaklara izin vermez. Bu, Android uygulamalarının ve kabuktan başlatılan uygulamaların ayrıcalıklı özellikler edinmesini engeller. - AndroidKeyStore Sağlayıcısı. Android artık bir anahtar deposu sağlayıcısına sahip özel kullanım anahtarları oluşturun. Bu sayede uygulamalar, diğer uygulamalar tarafından kullanılamayan özel anahtarlar oluşturmak veya depolamak için bir API'ye sahip olur.
isBoundKeyAlgorithm
Anahtar Zinciri. Anahtar Zinciri API'si artık uygulamaların sistem genelindeki anahtarların cihazın donanım kök güven kaynağına bağlı olduğunu doğrulamasına olanak tanıyan bir yöntem (isBoundKeyType
) sağlıyor. Bu sayede, kök erişimi ihlal edilmiş olsa bile cihazdan dışa aktarılamayan özel anahtarlar oluşturabilir veya saklayabilirsiniz.NO_NEW_PRIVS
. Android zygote artık uygulama kodu yürütülmeden önce yeni ayrıcalıkların eklenmesini engellemek içinprctl(PR_SET_NO_NEW_PRIVS)
kullanıyor. Bu, Android uygulamalarının execve aracılığıyla ayrıcalıkları artırabilecek işlemleri gerçekleştirmesini engeller. (Bu işlem için Linux çekirdeği 3.5 veya daha yeni bir sürüm gerekir).FORTIFY_SOURCE
geliştirmeleri. Android x86 ve MIPS'teFORTIFY_SOURCE
'ü etkinleştirdi vestrchr()
,strrchr()
,strlen()
veumask()
çağrılarını güçlendirdi. Bu potansiyel bellek bozulması güvenlik açıklarını veya sonlandırılmayan dize sabitleridir.- Taşıma korumaları. Statik olarak bağlanmış yürütülebilir dosyalar için salt okunur taşıma işlemlerini (relro) etkinleştirdi ve Android kodundaki tüm metin taşıma işlemlerini kaldırdı. Bu da olası bellek bozulmasına karşı derinlemesine savunma sağlar güvenlik açıkları.
- İyileştirilmiş EntropyMixer. EntropyMixer artık periyodik karıştırmaya ek olarak kapatma veya yeniden başlatma sırasında da entropi yazar. Bu sayede, cihazlar açıkken oluşturulan tüm entropi korunur. Bu özellik, özellikle temel hazırlığı yapıldıktan hemen sonra yeniden başlatılan cihazlar için yararlıdır.
- Güvenlik düzeltmeleri. Android 4.3, Android'e özgü güvenlik açıklarına yönelik düzeltmeler de içerir. Bu güvenlik açıkları hakkında bilgi sağlandı Open Handset Alliance üyelerine yönelik düzeltmeler ve düzeltmeler Android Open'da mevcuttur. Kaynak Proje. Android'in önceki sürümlerine sahip bazı cihazlarda da güvenlik iyileştirmesi amacıyla bu düzeltmeler bulunabilir.
Android, şurada açıklanan çok katmanlı bir güvenlik modeli sağlar: Android Güvenliğe Genel Bakış. Android'deki her güncelleme, kullanıcıları korumak için onlarca güvenlik iyileştirmesi içerir. Android 4.2'de kullanıma sunulan güvenlik geliştirmelerinden bazıları şunlardır:
- Uygulama doğrulama: Kullanıcılar Uygulama Doğrulama'yı etkinleştirmeyi ve yüklenmeden önce bir uygulama doğrulayıcı tarafından denetlenen uygulamalarınıza sahip olmalısınız. Uygulama doğrulama, kullanıcıyı olabilecek bir uygulamayı yüklemeye çalışırsa uyarabilir zararlı; Bir uygulama özellikle kötüyse yükleme engellenebilir.
- Premium SMS'te daha fazla kontrol: Android, aşağıdaki durumlarda bildirim sağlar: uygulama, premium hizmet kullanan bir kısa koda SMS göndermeye çalışıyor ek ücretlere neden olabilir. Kullanıcı, uygulamanın mesajı göndermesine izin vermeyi veya engellemeyi seçebilir.
- Her zaman açık VPN: VPN, bir VPN bağlantısı kurulana kadar uygulamaların ağa erişememesi için yapılandırılabilir. Bu, uygulamaların diğer ağlar üzerinden veri göndermesini engeller.
- Sertifika sabitleme: Android temel kitaplıkları artık sertifika sabitlemeyi desteklemektedir. Sabitlenmiş alanlar, sertifika beklenen bir sertifika grubuyla zincirlenmezse sertifika doğrulama hatası alır. Bu önlem, sertifika yetkililerinde olası güvenlik ihlallerine karşı koruma sağlar.
- Android izinlerinin daha iyi gösterilmesi: İzinler, kullanıcılar tarafından daha kolay anlaşılan gruplara ayrılır. İnceleme sırasında Bu izin olduğunda kullanıcı izni tıklayarak daha ayrıntılı izin hakkında daha fazla bilgi edinin.
- installd güçlendirme:
installd
daemon'u root kullanıcı olarak çalışmaz. Bu sayede, root ayrıcalıklarının artırılmasıyla ilgili potansiyel saldırı yüzeyi azaltılır. - init komut dosyası sağlamlaştırma: init komut dosyaları artık
O_NOFOLLOW
anlamını uyguluyor (Sembolik bağlantıyla ilgili saldırıları önlemek için) FORTIFY_SOURCE
: Android artıkFORTIFY_SOURCE
özelliğini uygulamaktadır. Bu, sistem kitaplıkları ve uygulamaları tarafından bellek bozulmasını önlemek için kullanılır.- ContentProvider varsayılan yapılandırması: API düzeyi 17'yi hedefleyen uygulamalarda, her ContentProvider için
export
varsayılan olarakfalse
olarak ayarlanır. Bu sayede, uygulamaların varsayılan saldırı alanı azaltılır. - Kriptografi: SecureRandom ve Cipher.RSA'yı kullanın. TLSv1.1 ve TLSv1.2 için SSL Yuva desteği eklendi OpenSSL 1.0.1 kullanarak
- Güvenlik düzeltmeleri: Güvenlik düzeltmeleri içeren yeni sürüme geçirilmiş açık kaynak kitaplıklar WebKit, libpng, OpenSSL ve LibXML. Android 4.2, Android'e özgü güvenlik açıklarına yönelik düzeltmeler de içerir. Bu güvenlik açıklarıyla ilgili bilgiler, Open Handset Alliance üyelerine sağlanmıştır ve düzeltmeleri şuradan yapılabilir: Android Açık Kaynak Projesi. Güvenliği artırmak için, Android sürümleri de bu düzeltmeleri içerebilir.
Android, Android Güvenlik'e Genel Bakış bölümünde açıklanan çok katmanlı bir güvenlik modeli sunar. Android'e yapılan her güncelleme onlarca içerir yönelik güvenlik geliştirmeleri tanımlanmıştır. Güvenlik risklerinden bazıları şunlardır: Android 1.5 ile 4.1 arasındaki sürümlerde kullanıma sunulan geliştirmeler:
- Android 1.5
- Yığın arabellek taşmalarını önlemek için ProPolice (-fstack-protector)
- Tam sayı taşmalarını azaltmak için safe_iop
- DoubleClick Free() güvenlik açıklarını ve kullanarak parça birleştirme saldırılarından korunun. Öğe birleştirme saldırıları, yığın bozulmasından yararlanmanın yaygın bir yoludur.
- Bellek ayırma sırasında tam sayı taşmasını önlemek için OpenBSD çağrısı
- Android 2.3
- Biçim dizesi güvenlik açıklarına karşı korumalar (-Wformat-security -Werror=format-security)
- Yığında ve yığında kod yürütülmesini önlemek için donanım tabanlı No eXecute (NX) özelliği
- Boş işaretçi kaldırma ayrıcalığını azaltmak için Linux mmap_min_addr sorun iletme (Android 4.1'de daha da geliştirilmiştir)
- Android 4.0
- Bellekteki önemli konumları rastgele hale getirmek için adres alanı düzeni rastgeleleştirme (ASLR)
- Android 4.1
- PIE (Konumdan Bağımsız Yürütülebilirlik) desteği
- Salt okunur taşımalar / anında bağlama (-Wl,-z,relro -Wl,-z,now)
- dmesg_restrict etkin (sızıntı yapan çekirdek adreslerinden kaçının)
- kptr_restrict etkin (sızıntı yapan çekirdek adreslerinden kaçının)