Cải tiến bảo mật

Android 14

Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 14:

• Hardware-assisted AddressSanitizer (HWASan), introduced in Android 10, is a memory error detection tool similar to AddressSanitizer. Android 14 brings significant improvements to HWASan. Learn how it helps prevent bugs from making it into Android releases, HWAddressSanitizer
• In Android 14, starting with apps that share location data with third-parties, the system runtime permission dialog now includes a clickable section that highlights the app's data-sharing practices, including information such as why an app may decide to share data with third parties.
• Android 12 introduced an option to disable 2G support at the modem level, which protects users from the inherent security risk from 2G's obsolete security model. Recognizing how critical disabling 2G could be for enterprise customers, Android 14 enables this security feature in Android Enterprise, introducing support for IT admins to restrict the ability of a managed device to downgrade to 2G connectivity.
• Added support to reject null-ciphered cellular connections, ensuring that circuit-switched voice and SMS traffic is always encrypted and protected from passive over-the-air interception. Learn more about Android's program to harden cellular connectivity.
• Added support for multiple IMEIs
• Since Android 14, AES-HCTR2 is the preferred mode of filenames encryption for devices with accelerated cryptography instructions.
• Cellular connectivity
• Documentation added for Android Safety Center
• If your app targets Android 14 and uses Dynamic Code Loading (DCL), all dynamically-loaded files must be marked as read-only. Otherwise, the system throws an exception. We recommend that apps avoid dynamically loading code whenever possible, as doing so greatly increases the risk that an app can be compromised by code injection or code tampering.

Check out our full AOSP release notes and the Android Developer features and changes list.

Android 13

Mỗi bản phát hành Android đều bao gồm hàng tá cải tiến bảo mật để bảo vệ người dùng. Dưới đây là một số cải tiến bảo mật chính có trong Android 13:

• Android 13 bổ sung hỗ trợ trình bày nhiều tài liệu. Giao diện Phiên trình bày mới này cho phép ứng dụng thực hiện trình bày nhiều tài liệu, điều này không thể thực hiện được với API hiện có. Để biết thêm thông tin, hãy tham khảo Thông tin xác thực danh tính
• Trong Android 13, các ý định bắt nguồn từ ứng dụng bên ngoài sẽ được phân phối đến một thành phần được xuất khi và chỉ khi các ý định đó khớp với các thành phần bộ lọc ý định đã khai báo.
• API di động mở (OMAPI) là API tiêu chuẩn được sử dụng để liên lạc với Phần tử bảo mật của thiết bị. Trước Android 13, chỉ các ứng dụng và mô-đun khung mới có quyền truy cập vào giao diện này. Bằng cách chuyển đổi nó sang giao diện ổn định của nhà cung cấp, các mô-đun HAL cũng có khả năng giao tiếp với các phần tử bảo mật thông qua dịch vụ OMAPI. Để biết thêm thông tin, hãy xem Giao diện ổn định của nhà cung cấp OMAPI .
• Kể từ Android 13-QPR, UID dùng chung không còn được dùng nữa. Người dùng Android 13 trở lên nên đặt dòng `android:sharedUserMaxSdkVersion="32"` trong tệp kê khai của họ. Mục nhập này ngăn người dùng mới nhận được UID chung. Để biết thêm thông tin về UID, hãy xem Ký ứng dụng .
• Android 13 đã bổ sung hỗ trợ cho các nguyên tắc mã hóa đối xứng Keystore như AES (Tiêu chuẩn mã hóa nâng cao), HMAC (Mã xác thực thông báo có khóa) và các thuật toán mã hóa bất đối xứng (bao gồm Elliptic Curve, RSA2048, RSA4096 và Curve 25519)
• Android 13 (API cấp 33) trở lên hỗ trợ quyền trong thời gian chạy để gửi thông báo không được miễn trừ từ một ứng dụng . Điều này cho phép người dùng kiểm soát những thông báo quyền mà họ nhìn thấy.
• Đã thêm lời nhắc mỗi lần sử dụng cho các ứng dụng yêu cầu quyền truy cập vào tất cả nhật ký thiết bị , cung cấp cho người dùng khả năng cho phép hoặc từ chối quyền truy cập.
• đã giới thiệu Khung ảo hóa Android (AVF) , tập hợp các trình ảo hóa khác nhau trong một khung với các API được tiêu chuẩn hóa. Nó cung cấp môi trường thực thi an toàn và riêng tư để thực thi khối lượng công việc được cách ly bởi trình ảo hóa.
• Đã giới thiệu sơ đồ chữ ký APK v3.1 Tất cả các vòng quay khóa mới sử dụng apksigner sẽ sử dụng sơ đồ chữ ký v3.1 theo mặc định để xoay vòng mục tiêu cho Android 13 trở lên.

Xem ghi chú phát hành AOSP đầy đủ của chúng tôi cũng như danh sách các tính năng và thay đổi dành cho Nhà phát triển Android.

Android 12

Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 12:

• Android 12 introduces the BiometricManager.Strings API, which provides localized strings for apps that use BiometricPrompt for authentication. These strings are intended to be device-aware and provide more specificity about which authentication type(s) may be used. Android 12 also includes support for under-display fingerprint sensors
• Support added for under-display fingerprint sensors
• Introduction of the Fingerprint Android Interface Definition Language (AIDL)
• Support for new Face AIDL
• Introduction of Rust as a language for platform development
• The option for users to grant access only to their approximate location added
• Added Privacy indicators on the status bar when an app is using the camera or microphone
• Android's Private Compute Core (PCC)
• Added an option to disable 2G support

Android 11

Mỗi bản phát hành Android đều bao gồm hàng tá cải tiến bảo mật để bảo vệ người dùng. Để biết danh sách một số cải tiến bảo mật chính có sẵn trong Android 11, hãy xem Ghi chú phát hành Android .

Android 10

Mỗi bản phát hành Android đều bao gồm hàng tá cải tiến bảo mật để bảo vệ người dùng. Android 10 bao gồm một số cải tiến về bảo mật và quyền riêng tư. Xem ghi chú phát hành Android 10 để biết danh sách đầy đủ các thay đổi trong Android 10.

Bảo vệ

Giới hạnKhử trùng

Android 10 triển khai BoundsSanitizer (BoundSan) trong Bluetooth và codec. BoundSan sử dụng chất khử trùng giới hạn của UBSan. Giảm thiểu này được kích hoạt ở cấp độ mỗi mô-đun. Nó giúp giữ an toàn cho các thành phần quan trọng của Android và không nên bị tắt. BoundSan được bật trong các codec sau:

• libFLAC
• libavcdec
• libavcenc
• libhevcdec
• libmpeg2
• libopus
• libvpx
• libspeexresampler
• libvorbisidec
• libaac
• libxaac

Bộ nhớ chỉ thực thi

Theo mặc định, các phần mã thực thi cho tệp nhị phân của hệ thống AArch64 được đánh dấu là chỉ thực thi (không thể đọc được) như một biện pháp giảm thiểu tăng cường chống lại các cuộc tấn công tái sử dụng mã đúng lúc. Mã kết hợp dữ liệu và mã với nhau cũng như mã kiểm tra có mục đích các phần này (không ánh xạ lại các phân đoạn bộ nhớ trước để có thể đọc được) sẽ không còn hoạt động nữa. Các ứng dụng có SDK mục tiêu là Android 10 (API cấp 29 trở lên) sẽ bị ảnh hưởng nếu ứng dụng cố đọc các phần mã của thư viện hệ thống hỗ trợ bộ nhớ chỉ thực thi (XOM) trong bộ nhớ mà không đánh dấu phần đó là có thể đọc được trước.

Quyền truy cập mở rộng

Tác nhân tin cậy, cơ chế cơ bản được sử dụng bởi các cơ chế xác thực bậc ba như Smart Lock, chỉ có thể mở rộng khả năng mở khóa trong Android 10. Tác nhân tin cậy không thể mở khóa thiết bị bị khóa nữa và chỉ có thể giữ thiết bị luôn mở khóa trong tối đa 4 giờ.

Xác thực khuôn mặt

Xác thực khuôn mặt cho phép người dùng mở khóa thiết bị của họ chỉ bằng cách nhìn vào mặt trước của thiết bị. Android 10 bổ sung hỗ trợ cho ngăn xếp xác thực khuôn mặt mới có thể xử lý khung camera một cách an toàn, đảm bảo tính bảo mật và quyền riêng tư trong quá trình xác thực khuôn mặt trên phần cứng được hỗ trợ. Android 10 cũng cung cấp một cách dễ dàng để triển khai tuân thủ bảo mật nhằm cho phép tích hợp ứng dụng cho các giao dịch như ngân hàng trực tuyến hoặc các dịch vụ khác.

Vệ sinh tràn số nguyên

Android 10 kích hoạt tính năng Integer Overflow Sanitization (IntSan) trong codec phần mềm. Đảm bảo rằng hiệu suất phát lại có thể chấp nhận được đối với mọi codec không được hỗ trợ trong phần cứng của thiết bị. IntSan được bật trong các codec sau:

• libFLAC
• libavcdec
• libavcenc
• libhevcdec
• libmpeg2
• libopus
• libvpx
• libspeexresampler
• libvorbisidec

Các thành phần hệ thống mô-đun

Android 10 mô-đun hóa một số thành phần hệ thống Android và cho phép chúng được cập nhật ngoài chu kỳ phát hành Android thông thường. Một số mô-đun bao gồm:

• Thời gian chạy Android
• Đồng hóa
• Trình phân giải DNS
• Tài liệuUI
• Dịch vụ mở rộng
• Phương tiện truyền thông
• Siêu dữ liệu mô-đun
• Mạng
• Bộ điều khiển quyền
• Dữ liệu múi giờ

OEMCrypto

Android 10 sử dụng API OEMCrypto phiên bản 15.

Scudo

Scudo là một công cụ cấp phát bộ nhớ ở chế độ người dùng động được thiết kế để có khả năng phục hồi tốt hơn trước các lỗ hổng liên quan đến heap. Nó cung cấp các nguyên hàm phân bổ và phân bổ C tiêu chuẩn, cũng như các nguyên hàm C++.

BóngCuộc GọiChồng

ShadowCallStack (SCS) là chế độ thiết bị LLVM bảo vệ chống ghi đè địa chỉ trả về (như tràn bộ đệm ngăn xếp) bằng cách lưu địa chỉ trả về của hàm vào một phiên bản ShadowCallStack được phân bổ riêng trong prolog hàm của các hàm không phải lá và tải địa chỉ trả về từ phiên bản ShadowCallStack trong phần kết của hàm.

Mở rộng WPA3 và Wi-Fi

Android 10 bổ sung hỗ trợ cho các tiêu chuẩn bảo mật Wi-Fi Protected Access 3 (WPA3) và Wi-Fi Enhanced Open để mang lại sự riêng tư tốt hơn và khả năng chống lại các cuộc tấn công đã biết.

Sự riêng tư

Quyền truy cập ứng dụng khi nhắm mục tiêu Android 9 trở xuống

Nếu ứng dụng của bạn chạy trên Android 10 trở lên nhưng nhắm mục tiêu Android 9 (API cấp 28) trở xuống thì nền tảng sẽ áp dụng hành vi sau:

• Nếu ứng dụng của bạn khai báo phần tử <uses-permission> cho ACCESS_FINE_LOCATION hoặc ACCESS_COARSE_LOCATION thì hệ thống sẽ tự động thêm phần tử <uses-permission> cho ACCESS_BACKGROUND_LOCATION trong khi cài đặt.
• Nếu ứng dụng của bạn yêu cầu ACCESS_FINE_LOCATION hoặc ACCESS_COARSE_LOCATION thì hệ thống sẽ tự động thêm ACCESS_BACKGROUND_LOCATION vào yêu cầu.

Hạn chế hoạt động nền

Bắt đầu từ Android 10, hệ thống đặt ra các hạn chế về việc bắt đầu các hoạt động từ nền . Thay đổi hành vi này giúp giảm thiểu sự gián đoạn cho người dùng và giúp người dùng kiểm soát nhiều hơn những gì hiển thị trên màn hình của họ. Miễn là ứng dụng của bạn bắt đầu hoạt động do tương tác trực tiếp của người dùng thì rất có thể ứng dụng của bạn sẽ không bị ảnh hưởng bởi những hạn chế này.
Để tìm hiểu thêm về giải pháp thay thế được đề xuất cho việc bắt đầu các hoạt động từ nền, hãy xem hướng dẫn về cách cảnh báo người dùng về các sự kiện nhạy cảm về thời gian trong ứng dụng của bạn.

Siêu dữ liệu máy ảnh

Android 10 thay đổi phạm vi thông tin mà phương thức getCameraCharacteristics() trả về theo mặc định. Đặc biệt, ứng dụng của bạn phải có quyền CAMERA để truy cập vào siêu dữ liệu dành riêng cho thiết bị có trong giá trị trả về của phương thức này.
Để tìm hiểu thêm về những thay đổi này, hãy xem phần về các trường máy ảnh yêu cầu quyền .

Dữ liệu bảng nhớ tạm

Trừ khi ứng dụng của bạn là trình chỉnh sửa phương thức nhập mặc định (IME) hoặc là ứng dụng hiện được tập trung, ứng dụng của bạn không thể truy cập dữ liệu bảng nhớ tạm trên Android 10 trở lên.

Vị trí thiết bị

Để hỗ trợ quyền kiểm soát bổ sung mà người dùng có đối với quyền truy cập của ứng dụng vào thông tin vị trí, Android 10 giới thiệu quyền ACCESS_BACKGROUND_LOCATION .
Không giống như các quyền ACCESS_FINE_LOCATION và ACCESS_COARSE_LOCATION , quyền ACCESS_BACKGROUND_LOCATION chỉ ảnh hưởng đến quyền truy cập của ứng dụng vào vị trí khi ứng dụng chạy ở chế độ nền. Một ứng dụng được coi là đang truy cập vị trí ở chế độ nền trừ khi đáp ứng một trong các điều kiện sau:

• Một hoạt động thuộc ứng dụng được hiển thị.
• Ứng dụng đang chạy một dịch vụ trên nền trước đã khai báoloại dịch vụ trên nền trước là location .
  Để khai báo loại dịch vụ nền trước cho một dịch vụ trong ứng dụng của bạn, hãy đặt targetSdkVersion hoặc compileSdkVersion của ứng dụng thành 29 hoặc cao hơn. Tìm hiểu thêm về cách các dịch vụ trên nền trước có thể tiếp tục các hành động do người dùng thực hiện yêu cầu quyền truy cập vào vị trí.

Lưu trữ ngoài

Theo mặc định, các ứng dụng nhắm mục tiêu Android 10 trở lên được cấp quyền truy cập có giới hạn vào bộ nhớ ngoài hoặc bộ nhớ có giới hạn . Những ứng dụng như vậy có thể xem các loại tệp sau trong thiết bị lưu trữ bên ngoài mà không cần yêu cầu bất kỳ quyền nào của người dùng liên quan đến bộ nhớ:

• Các tệp trong thư mục dành riêng cho ứng dụng, được truy cập bằng getExternalFilesDir() .
• Ảnh, video và clip âm thanh mà ứng dụng đã tạo từ kho phương tiện .

Để tìm hiểu thêm về bộ nhớ có giới hạn cũng như cách chia sẻ, truy cập và sửa đổi tệp được lưu trên thiết bị lưu trữ bên ngoài, hãy xem hướng dẫn về cách quản lý tệp trong bộ nhớ ngoài cũng như truy cập và sửa đổi tệp phương tiện .

Địa chỉ MAC ngẫu nhiên

Trên các thiết bị chạy Android 10 trở lên, hệ thống sẽ truyền địa chỉ MAC ngẫu nhiên theo mặc định.
Nếu ứng dụng của bạn xử lý trường hợp sử dụng của doanh nghiệp thì nền tảng sẽ cung cấp API cho một số hoạt động liên quan đến địa chỉ MAC:

• Lấy địa chỉ MAC ngẫu nhiên : Ứng dụng của chủ sở hữu thiết bị và ứng dụng của chủ sở hữu hồ sơ có thể truy xuất địa chỉ MAC ngẫu nhiên được gán cho một mạng cụ thể bằng cách gọi getRandomizedMacAddress() .
• Lấy địa chỉ MAC thực tế của nhà máy: Ứng dụng của chủ sở hữu thiết bị có thể truy xuất địa chỉ MAC phần cứng thực tế của thiết bị bằng cách gọi getWifiMacAddress() . Phương pháp này rất hữu ích để theo dõi nhóm thiết bị.

Mã nhận dạng thiết bị không thể đặt lại

Bắt đầu từ Android 10, các ứng dụng phải có quyền đặc quyền READ_PRIVILEGED_PHONE_STATE để truy cập vào số nhận dạng không thể đặt lại của thiết bị, bao gồm cả IMEI và số sê-ri.

• Build
  • getSerial()
• TelephonyManager
  • getImei()
  • getDeviceId()
  • getMeid()
  • getSimSerialNumber()
  • getSubscriberId()

Nếu ứng dụng của bạn không có quyền và bạn vẫn thử hỏi thông tin về số nhận dạng không thể đặt lại thì phản hồi của nền tảng sẽ thay đổi tùy theo phiên bản SDK mục tiêu:

• Nếu ứng dụng của bạn nhắm mục tiêu Android 10 trở lên thì SecurityException sẽ xảy ra.
• Nếu ứng dụng của bạn nhắm mục tiêu Android 9 (API cấp 28) trở xuống, phương thức sẽ trả về dữ liệu null hoặc dữ liệu giữ chỗ nếu ứng dụng có quyền READ_PHONE_STATE . Nếu không, SecurityException sẽ xảy ra.

Nhận dạng hoạt động thể chất

Android 10 giới thiệu quyền thời gian chạy android.permission.ACTIVITY_RECOGNITION cho các ứng dụng cần phát hiện số bước của người dùng hoặc phân loại hoạt động thể chất của người dùng, chẳng hạn như đi bộ, đi xe đạp hoặc di chuyển trong phương tiện. Điều này được thiết kế để cung cấp cho người dùng khả năng hiển thị cách sử dụng dữ liệu cảm biến thiết bị trong Cài đặt.
Một số thư viện trong dịch vụ Google Play, chẳng hạn như API nhận dạng hoạt động và API Google Fit , không cung cấp kết quả trừ khi người dùng cấp cho ứng dụng của bạn quyền này.
Các cảm biến tích hợp duy nhất trên thiết bị yêu cầu bạn khai báo quyền này là cảm biến bộ đếm bước và cảm biến phát hiện bước .
Nếu ứng dụng của bạn nhắm mục tiêu Android 9 (API cấp 28) trở xuống, hệ thống sẽ tự động cấp quyền android.permission.ACTIVITY_RECOGNITION cho ứng dụng của bạn, nếu cần, nếu ứng dụng của bạn đáp ứng từng điều kiện sau:

• Tệp kê khai bao gồm quyền com.google.android.gms.permission.ACTIVITY_RECOGNITION .
• Tệp kê khai không bao gồm quyền android.permission.ACTIVITY_RECOGNITION .

Nếu hệ thống tự động cấp quyền android.permission.ACTIVITY_RECOGNITION thì ứng dụng của bạn vẫn giữ quyền này sau khi bạn cập nhật ứng dụng của mình để nhắm mục tiêu Android 10. Tuy nhiên, người dùng có thể thu hồi quyền này bất kỳ lúc nào trong cài đặt hệ thống.

/proc/net hạn chế hệ thống tập tin

Trên các thiết bị chạy Android 10 trở lên, các ứng dụng không thể truy cập /proc/net , bao gồm thông tin về trạng thái mạng của thiết bị. Các ứng dụng cần quyền truy cập vào thông tin này, chẳng hạn như VPN, nên sử dụng lớp NetworkStatsManager hoặc ConnectivityManager .

Nhóm quyền đã bị xóa khỏi giao diện người dùng

Kể từ Android 10, các ứng dụng không thể tra cứu cách nhóm các quyền trong giao diện người dùng.

Loại bỏ mối quan hệ liên hệ

Bắt đầu từ Android 10, nền tảng này không theo dõi thông tin về mối quan hệ của người liên hệ. Do đó, nếu ứng dụng của bạn tiến hành tìm kiếm trên danh bạ của người dùng thì kết quả sẽ không được sắp xếp theo tần suất tương tác.
Hướng dẫn về ContactsProvider chứa thông báo mô tả các trường và phương thức cụ thể đã lỗi thời trên tất cả các thiết bị bắt đầu từ Android 10.

Hạn chế truy cập vào nội dung màn hình

Để bảo vệ nội dung trên màn hình của người dùng, Android 10 ngăn chặn quyền truy cập im lặng vào nội dung trên màn hình của thiết bị bằng cách thay đổi phạm vi của các quyền READ_FRAME_BUFFER , CAPTURE_VIDEO_OUTPUT và CAPTURE_SECURE_VIDEO_OUTPUT . Kể từ Android 10, các quyền này chỉ có quyền truy cập bằng chữ ký .
Các ứng dụng cần truy cập nội dung màn hình của thiết bị phải sử dụng API MediaProjection , API này sẽ hiển thị lời nhắc yêu cầu người dùng đưa ra sự đồng ý.

Số sê-ri thiết bị USB

Nếu ứng dụng của bạn nhắm mục tiêu Android 10 trở lên thì ứng dụng của bạn không thể đọc số sê-ri cho đến khi người dùng cấp cho ứng dụng của bạn quyền truy cập vào thiết bị hoặc phụ kiện USB.
Để tìm hiểu thêm về cách làm việc với thiết bị USB, hãy xem hướng dẫn về cách định cấu hình máy chủ USB .

Wifi

Các ứng dụng nhắm mục tiêu Android 10 trở lên không thể bật hoặc tắt Wi-Fi. Phương thức WifiManager.setWifiEnabled() luôn trả về false .
Nếu bạn cần nhắc người dùng bật và tắt Wi-Fi, hãy sử dụng bảng cài đặt .

Hạn chế truy cập trực tiếp vào mạng Wi-Fi đã định cấu hình

Để bảo vệ quyền riêng tư của người dùng, việc định cấu hình thủ công danh sách mạng Wi-Fi bị hạn chế ở các ứng dụng hệ thống và bộ điều khiển chính sách thiết bị (DPC) . Một DPC nhất định có thể là chủ sở hữu thiết bị hoặc chủ sở hữu hồ sơ.
Nếu ứng dụng của bạn nhắm mục tiêu Android 10 trở lên và đó không phải là ứng dụng hệ thống hoặc DPC thì các phương pháp sau sẽ không trả về dữ liệu hữu ích:

• Phương thức getConfiguredNetworks() luôn trả về một danh sách trống.
• Mỗi phương thức vận hành mạng trả về một giá trị số nguyên— addNetwork() và updateNetwork() —luôn trả về -1.
• Mỗi thao tác mạng trả về một giá trị boolean— removeNetwork() , reassociate() , enableNetwork() , disableNetwork() , reconnect() và disconnect() —luôn trả về false .

Android 9

Mỗi bản phát hành Android đều bao gồm hàng tá cải tiến bảo mật để bảo vệ người dùng. Để biết danh sách một số cải tiến bảo mật chính có sẵn trong Android 9, hãy xem Ghi chú phát hành Android .

Android 8

Mỗi bản phát hành Android đều bao gồm hàng tá cải tiến bảo mật để bảo vệ người dùng. Dưới đây là một số cải tiến bảo mật chính có sẵn trong Android 8.0:

• Mã hóa . Đã thêm hỗ trợ xóa khóa trong hồ sơ công việc.
• Khởi động đã được xác minh . Đã thêm Android Verified Boot (AVB). Cơ sở mã khởi động đã xác minh hỗ trợ bảo vệ khôi phục để sử dụng trong bộ tải khởi động được thêm vào AOSP. Đề xuất hỗ trợ bộ nạp khởi động để bảo vệ khôi phục cho HLOS. Đề xuất bộ tải khởi động chỉ có thể được mở khóa bởi người dùng tương tác vật lý với thiết bị.
• Màn hình khóa . Đã thêm hỗ trợ sử dụng phần cứng chống giả mạo để xác minh thông tin đăng nhập trên màn hình khóa.
• KeyStore . Chứng thực khóa bắt buộc đối với tất cả các thiết bị chạy Android 8.0+. Đã thêm hỗ trợ chứng thực ID để cải thiện Đăng ký bằng không cảm ứng.
• Hộp cát . Hộp cát chặt chẽ hơn nhiều thành phần bằng cách sử dụng giao diện tiêu chuẩn của Project Treble giữa khuôn khổ và các thành phần dành riêng cho thiết bị. Đã áp dụng tính năng lọc seccomp cho tất cả các ứng dụng không đáng tin cậy để giảm bề mặt tấn công của hạt nhân. WebView hiện được chạy trong một quy trình riêng biệt với quyền truy cập rất hạn chế vào phần còn lại của hệ thống.
• Nhân cứng . Đã triển khai sử dụng cứng , giả lập PAN, chỉ đọc sau init và KASLR.
• Làm cứng không gian người dùng . Đã triển khai CFI cho ngăn xếp phương tiện. Lớp phủ ứng dụng không còn có thể bao phủ các cửa sổ quan trọng của hệ thống và người dùng có cách để loại bỏ chúng.
• Đang truyền trực tuyến bản cập nhật hệ điều hành . Đã bật cập nhật trên các thiết bị có dung lượng ổ đĩa thấp.
• Cài đặt ứng dụng không xác định . Người dùng phải cấp quyền để cài đặt ứng dụng từ một nguồn không phải là cửa hàng ứng dụng của bên thứ nhất.
• Quyền riêng tư . ID Android (SSAID) có giá trị khác nhau cho từng ứng dụng và từng người dùng trên thiết bị. Đối với các ứng dụng trình duyệt web, Widevine Client ID trả về một giá trị khác nhau cho từng tên gói ứng dụng và nguồn gốc web. net.hostname hiện trống và ứng dụng khách dhcp không còn gửi tên máy chủ nữa. android.os.Build.SERIAL đã được thay thế bằng API Build.SERIAL được bảo vệ sau quyền do người dùng kiểm soát. Cải thiện ngẫu nhiên địa chỉ MAC trong một số chipset.

Android 7

Mỗi bản phát hành Android đều bao gồm hàng tá cải tiến bảo mật để bảo vệ người dùng. Dưới đây là một số cải tiến bảo mật chính có sẵn trong Android 7.0:

• Mã hóa dựa trên tệp . Mã hóa ở cấp độ tệp, thay vì mã hóa toàn bộ khu vực lưu trữ thành một đơn vị duy nhất, cô lập và bảo vệ tốt hơn người dùng và hồ sơ cá nhân (chẳng hạn như cá nhân và công việc) trên thiết bị.
• Khởi động trực tiếp . Được kích hoạt bằng mã hóa dựa trên tệp, Direct Boot cho phép một số ứng dụng nhất định như đồng hồ báo thức và các tính năng trợ năng chạy khi thiết bị được bật nguồn nhưng không được mở khóa.
• Khởi động đã được xác minh . Verified Boot hiện được thực thi nghiêm ngặt để ngăn các thiết bị bị xâm nhập khởi động; nó hỗ trợ sửa lỗi để cải thiện độ tin cậy chống lại sự hỏng dữ liệu không độc hại.
• SELinux . Cấu hình SELinux được cập nhật và độ phủ seccomp tăng lên sẽ khóa hộp cát ứng dụng và giảm bề mặt tấn công.
• Thư viện ngẫu nhiên hóa thứ tự tải và ASLR cải tiến . Tính ngẫu nhiên tăng lên làm cho một số cuộc tấn công tái sử dụng mã kém đáng tin cậy hơn.
• Nhân cứng . Đã thêm tính năng bảo vệ bộ nhớ bổ sung cho các hạt nhân mới hơn bằng cách đánh dấu các phần của bộ nhớ nhân là chỉ đọc, hạn chế quyền truy cập của nhân vào địa chỉ vùng người dùng và giảm thêm bề mặt tấn công hiện có.
• Lược đồ chữ ký APK v2 . Đã giới thiệu sơ đồ chữ ký toàn bộ tệp giúp cải thiện tốc độ xác minh và tăng cường đảm bảo tính toàn vẹn.
• Cửa hàng CA đáng tin cậy . Để giúp các ứng dụng dễ dàng kiểm soát quyền truy cập vào lưu lượng mạng an toàn của chúng, tổ chức phát hành chứng chỉ do người dùng cài đặt và những tổ chức được cài đặt thông qua API quản trị thiết bị không còn được tin cậy theo mặc định đối với các ứng dụng nhắm mục tiêu API Cấp 24+. Ngoài ra, tất cả các thiết bị Android mới phải giao hàng với cùng một cửa hàng CA đáng tin cậy.
• Cấu hình bảo mật mạng . Định cấu hình bảo mật mạng và TLS thông qua tệp cấu hình khai báo.

Android 6

Every Android release includes dozens of security enhancements to protect users. Here are some of the major security enhancements available in Android 6.0:

• Runtime Permissions. Applications request permissions at runtime instead of being granted at App install time. Users can toggle permissions on and off for both M and pre-M applications.
• Verified Boot. A set of cryptographic checks of system software are conducted prior to execution to ensure the phone is healthy from the bootloader all the way up to the operating system.
• Hardware-Isolated Security. New Hardware Abstraction Layer (HAL) used by Fingerprint API, Lockscreen, Device Encryption, and Client Certificates to protect keys against kernel compromise and/or local physical attacks
• Fingerprints. Devices can now be unlocked with just a touch. Developers can also take advantage of new APIs to use fingerprints to lock and unlock encryption keys.
• SD Card Adoption. Removable media can be adopted to a device and expand available storage for app local data, photos, videos, etc., but still be protected by block-level encryption.
• Clear Text Traffic. Developers can use a new StrictMode to make sure their application doesn't use cleartext.
• System Hardening. Hardening of the system via policies enforced by SELinux. This offers better isolation between users, IOCTL filtering, reduce threat of exposed services, further tightening of SELinux domains, and extremely limited /proc access.
• USB Access Control: Users must confirm to allow USB access to files, storage, or other functionality on the phone. Default is now charge only with access to storage requiring explicit approval from the user.

Android 5

5.0

Mỗi bản phát hành Android đều bao gồm hàng tá cải tiến bảo mật để bảo vệ người dùng. Dưới đây là một số cải tiến bảo mật chính có sẵn trong Android 5.0:

• Được mã hóa theo mặc định. Trên các thiết bị có L-out-the-box, mã hóa toàn bộ ổ đĩa được bật theo mặc định để cải thiện khả năng bảo vệ dữ liệu trên các thiết bị bị mất hoặc bị đánh cắp. Các thiết bị cập nhật lên L có thể được mã hóa trong Cài đặt > Bảo mật .
• Cải thiện mã hóa toàn bộ ổ đĩa. Mật khẩu người dùng được bảo vệ chống lại các cuộc tấn công brute-force bằng cách sử dụng scrypt và, nếu có, khóa được liên kết với kho khóa phần cứng để ngăn chặn các cuộc tấn công ngoài thiết bị. Như mọi khi, bí mật khóa màn hình Android và khóa mã hóa thiết bị không được gửi khỏi thiết bị hoặc tiếp xúc với bất kỳ ứng dụng nào.
• Hộp cát Android được tăng cường bằng SELinux . Android hiện yêu cầu SELinux ở chế độ thực thi cho tất cả các miền. SELinux là một hệ thống kiểm soát truy cập (MAC) bắt buộc trong nhân Linux được sử dụng để tăng cường mô hình bảo mật kiểm soát truy cập tùy ý (DAC) hiện có. Lớp mới này cung cấp khả năng bảo vệ bổ sung chống lại các lỗ hổng bảo mật tiềm ẩn.
• Khóa thông minh. Android hiện bao gồm các ủy thác cung cấp tính linh hoạt hơn cho việc mở khóa thiết bị. Ví dụ: Trustlet có thể cho phép thiết bị được mở khóa tự động khi ở gần một thiết bị đáng tin cậy khác (qua NFC, Bluetooth) hoặc được sử dụng bởi một người nào đó có khuôn mặt đáng tin cậy.
• Nhiều người dùng, hồ sơ hạn chế và chế độ khách cho điện thoại và máy tính bảng. Android hiện cung cấp cho nhiều người dùng trên điện thoại và bao gồm chế độ khách có thể được sử dụng để cung cấp quyền truy cập tạm thời dễ dàng vào thiết bị của bạn mà không cần cấp quyền truy cập vào dữ liệu và ứng dụng của bạn.
• Cập nhật cho WebView mà không cần OTA. WebView hiện có thể được cập nhật độc lập với khuôn khổ và không có OTA hệ thống. Điều này sẽ cho phép phản hồi nhanh hơn đối với các vấn đề bảo mật tiềm ẩn trong WebView.
• Đã cập nhật mật mã cho HTTPS và TLS / SSL. TLSv1.2 và TLSv1.1 hiện đã được bật, Tính năng bảo mật chuyển tiếp hiện được ưu tiên, AES-GCM hiện đã được bật và các bộ mật mã yếu (MD5, 3DES và bộ mật mã xuất) hiện đã bị tắt. Xem https://developer.android.com/reference/javax/net/ssl/SSLSocket.html để biết thêm chi tiết.
• hỗ trợ trình liên kết không PIE đã bị xóa. Android hiện yêu cầu tất cả các tệp thực thi được liên kết động để hỗ trợ PIE (các tệp thực thi không phụ thuộc vào vị trí). Điều này tăng cường triển khai ngẫu nhiên hóa bố cục không gian địa chỉ (ASLR) của Android.
• Cải tiến FORTIFY_SOURCE. Các hàm libc sau hiện triển khai các biện pháp bảo vệ FORTIFY_SOURCE: stpcpy() , stpncpy() , read() , recvfrom() , FD_CLR() , FD_SET() và FD_ISSET() . Điều này cung cấp khả năng bảo vệ chống lại các lỗ hổng làm hỏng bộ nhớ liên quan đến các chức năng đó.
• Các bản sửa lỗi bảo mật. Android 5.0 cũng bao gồm các bản sửa lỗi cho các lỗ hổng dành riêng cho Android. Thông tin về các lỗ hổng này đã được cung cấp cho các thành viên của Open Handset Alliance và các bản sửa lỗi có sẵn trong Dự án nguồn mở Android. Để cải thiện bảo mật, một số thiết bị có phiên bản Android cũ hơn cũng có thể bao gồm các bản sửa lỗi này.

Android 4 trở xuống

Mỗi bản phát hành Android đều bao gồm hàng tá cải tiến bảo mật để bảo vệ người dùng. Sau đây là một số cải tiến bảo mật có sẵn trong Android 4.4:

• Hộp cát Android được tăng cường bằng SELinux. Android hiện sử dụng SELinux ở chế độ thực thi. SELinux là một hệ thống kiểm soát truy cập (MAC) bắt buộc trong nhân Linux được sử dụng để tăng cường mô hình bảo mật dựa trên kiểm soát truy cập tùy ý (DAC) hiện có. Điều này cung cấp khả năng bảo vệ bổ sung chống lại các lỗ hổng bảo mật tiềm ẩn.
• VPN cho mỗi người dùng. Trên các thiết bị nhiều người dùng, VPN hiện được áp dụng cho mỗi người dùng. Điều này có thể cho phép người dùng định tuyến tất cả lưu lượng mạng thông qua VPN mà không ảnh hưởng đến những người dùng khác trên thiết bị.
• Hỗ trợ nhà cung cấp ECDSA trong AndroidKeyStore. Android hiện có một nhà cung cấp kho khóa cho phép sử dụng các thuật toán ECDSA và DSA.
• Cảnh báo giám sát thiết bị. Android cung cấp cho người dùng một cảnh báo nếu bất kỳ chứng chỉ nào đã được thêm vào kho lưu trữ chứng chỉ thiết bị có thể cho phép giám sát lưu lượng mạng được mã hóa.
• FORTIFY_SOURCE. Android hiện hỗ trợ FORTIFY_SOURCE cấp độ 2 và tất cả mã được biên dịch với các biện pháp bảo vệ này. FORTIFY_SOURCE đã được cải tiến để hoạt động với tiếng kêu.
• Ghim chứng chỉ. Android 4.4 phát hiện và ngăn chặn việc sử dụng các chứng chỉ Google gian lận được sử dụng trong giao tiếp SSL / TLS an toàn.
• Các bản sửa lỗi bảo mật. Android 4.4 cũng bao gồm các bản sửa lỗi cho các lỗ hổng dành riêng cho Android. Thông tin về các lỗ hổng này đã được cung cấp cho các thành viên của Open Handset Alliance và các bản sửa lỗi có sẵn trong Dự án nguồn mở Android. Để cải thiện bảo mật, một số thiết bị có phiên bản Android cũ hơn cũng có thể bao gồm các bản sửa lỗi này.

Mỗi bản phát hành Android đều bao gồm hàng tá cải tiến bảo mật để bảo vệ người dùng. Sau đây là một số cải tiến bảo mật có sẵn trong Android 4.3:

• Hộp cát Android được củng cố bằng SELinux. Bản phát hành này củng cố hộp cát Android bằng cách sử dụng hệ thống kiểm soát truy cập bắt buộc (MAC) SELinux trong nhân Linux. Việc tăng cường SELinux là vô hình đối với người dùng và nhà phát triển, đồng thời bổ sung tính mạnh mẽ cho mô hình bảo mật Android hiện có trong khi vẫn duy trì khả năng tương thích với các ứng dụng hiện có. Để đảm bảo khả năng tương thích liên tục, bản phát hành này cho phép sử dụng SELinux ở chế độ cho phép. Chế độ này ghi lại mọi vi phạm chính sách nhưng sẽ không làm hỏng ứng dụng hoặc ảnh hưởng đến hoạt động của hệ thống.
• Không có chương trình setuid/setgid. Đã thêm hỗ trợ cho các khả năng của hệ thống tệp vào tệp hệ thống Android và xóa tất cả các chương trình setuid/setguid. Điều này làm giảm bề mặt tấn công gốc và khả năng xảy ra các lỗ hổng bảo mật tiềm ẩn.
• Xác thực ADB. Kể từ Android 4.2.2, các kết nối tới ADB được xác thực bằng cặp khóa RSA. Điều này ngăn chặn việc sử dụng trái phép ADB khi kẻ tấn công có quyền truy cập vật lý vào thiết bị.
• Hạn chế Setuid khỏi ứng dụng Android. Phân vùng /system hiện được gắn nosuid cho các tiến trình do hợp tử sinh ra, ngăn các ứng dụng Android thực thi các chương trình setuid. Điều này làm giảm bề mặt tấn công gốc và khả năng xảy ra các lỗ hổng bảo mật tiềm ẩn.
• Giới hạn khả năng. Hợp tử Android và ADB hiện sử dụng prctl(PR_CAPBSET_DROP) để loại bỏ các khả năng không cần thiết trước khi thực thi ứng dụng. Điều này ngăn các ứng dụng Android và ứng dụng được khởi chạy từ shell có được các khả năng đặc quyền.
• Nhà cung cấp AndroidKeyStore. Android hiện có nhà cung cấp kho khóa cho phép các ứng dụng tạo khóa sử dụng độc quyền. Điều này cung cấp cho các ứng dụng một API để tạo hoặc lưu trữ các khóa riêng tư mà các ứng dụng khác không thể sử dụng.
• KeyChain là thuật toán BoundKey. API chuỗi khóa hiện cung cấp một phương thức (isBoundKeyType) cho phép các ứng dụng xác nhận rằng các khóa trên toàn hệ thống được liên kết với nguồn tin cậy phần cứng của thiết bị. Điều này cung cấp một nơi để tạo hoặc lưu trữ các khóa riêng tư không thể xuất ra khỏi thiết bị, ngay cả trong trường hợp xâm phạm quyền root.
• KHÔNG_NEW_PRIVS. Hợp tử Android hiện sử dụng prctl(PR_SET_NO_NEW_PRIVS) để chặn việc bổ sung các đặc quyền mới trước khi thực thi mã ứng dụng. Điều này ngăn các ứng dụng Android thực hiện các hoạt động có thể nâng cao đặc quyền thông qua execve. (Điều này yêu cầu nhân Linux phiên bản 3.5 trở lên).
• Cải tiến FORTIFY_SOURCE. Đã bật FORTIFY_SOURCE trên Android x86 và MIPS, đồng thời củng cố các lệnh gọi strchr(), strrchr(), strlen() và umask(). Điều này có thể phát hiện các lỗ hổng tiềm ẩn về hỏng bộ nhớ hoặc các hằng chuỗi không được kết thúc.
• Bảo vệ tái định cư. Đã bật tính năng định vị lại chỉ đọc (relro) cho các tệp thực thi được liên kết tĩnh và xóa tất cả các tính năng định vị lại văn bản trong mã Android. Điều này cung cấp khả năng bảo vệ chuyên sâu chống lại các lỗ hổng hỏng bộ nhớ tiềm ẩn.
• EntropyMixer cải tiến. EntropyMixer hiện ghi entropy khi tắt máy/khởi động lại, ngoài việc trộn định kỳ. Điều này cho phép lưu giữ tất cả entropy được tạo trong khi bật nguồn thiết bị và đặc biệt hữu ích đối với các thiết bị được khởi động lại ngay sau khi cung cấp.
• Sửa lỗi bảo mật. Android 4.3 cũng bao gồm các bản sửa lỗi cho các lỗ hổng dành riêng cho Android. Thông tin về các lỗ hổng này đã được cung cấp cho các thành viên của Liên minh thiết bị cầm tay mở và các bản sửa lỗi có sẵn trong Dự án mã nguồn mở Android. Để cải thiện tính bảo mật, một số thiết bị có phiên bản Android cũ hơn cũng có thể bao gồm các bản sửa lỗi này.

Android cung cấp mô hình bảo mật nhiều lớp được mô tả trong Tổng quan về bảo mật Android . Mỗi bản cập nhật cho Android bao gồm hàng tá cải tiến bảo mật để bảo vệ người dùng. Sau đây là một số cải tiến bảo mật được giới thiệu trong Android 4.2:

• Xác minh ứng dụng - Người dùng có thể chọn bật “Xác minh ứng dụng" và để người xác minh ứng dụng sàng lọc ứng dụng trước khi cài đặt. Xác minh ứng dụng có thể cảnh báo người dùng nếu họ cố gắng cài đặt ứng dụng có thể gây hại; nếu ứng dụng đặc biệt tồi tệ, nó có thể chặn cài đặt.
• Kiểm soát nhiều hơn đối với SMS cao cấp - Android sẽ cung cấp thông báo nếu một ứng dụng cố gắng gửi SMS tới một mã ngắn sử dụng các dịch vụ cao cấp có thể gây ra các khoản phí bổ sung. Người dùng có thể chọn cho phép ứng dụng gửi tin nhắn hoặc chặn tin nhắn đó.
• VPN luôn bật - VPN có thể được định cấu hình để các ứng dụng sẽ không có quyền truy cập vào mạng cho đến khi kết nối VPN được thiết lập. Điều này ngăn các ứng dụng gửi dữ liệu qua các mạng khác.
• Ghim chứng chỉ - Các thư viện lõi của Android hiện hỗ trợ tính năng ghim chứng chỉ . Các miền được ghim sẽ nhận được lỗi xác thực chứng chỉ nếu chứng chỉ không liên kết với một tập hợp các chứng chỉ mong đợi. Điều này bảo vệ khỏi sự xâm phạm có thể xảy ra của Tổ chức phát hành chứng chỉ.
• Cải thiện hiển thị các quyền của Android - Các quyền đã được sắp xếp thành các nhóm để người dùng dễ hiểu hơn. Trong quá trình xem xét quyền, người dùng có thể nhấp vào quyền để xem thông tin chi tiết hơn về quyền.
• cứng installd - Daemon installd không chạy với tư cách là người dùng root, làm giảm khả năng tấn công bề mặt để leo thang đặc quyền root.
• init script cứng lại - init script hiện áp dụng ngữ nghĩa O_NOFOLLOW để ngăn chặn các cuộc tấn công liên quan đến liên kết biểu tượng.
• FORTIFY_SOURCE - Android hiện triển khai FORTIFY_SOURCE . Điều này được sử dụng bởi các thư viện hệ thống và các ứng dụng để ngăn ngừa hỏng bộ nhớ.
• Cấu hình mặc định của ContentProvider - Các ứng dụng nhắm mục tiêu API cấp 17 sẽ có "xuất" được đặt thành "false" theo mặc định cho mỗi Nhà cung cấp nội dung , giảm bề mặt tấn công mặc định cho các ứng dụng.
• Cryptography - Đã sửa đổi các triển khai mặc định của SecureRandom và Cipher.RSA để sử dụng OpenSSL. Đã thêm hỗ trợ SSL Socket cho TLSv1.1 và TLSv1.2 bằng OpenSSL 1.0.1
• Các bản sửa lỗi bảo mật - Các thư viện nguồn mở được nâng cấp với các bản sửa lỗi bảo mật bao gồm WebKit, libpng, OpenSSL và LibXML. Android 4.2 cũng bao gồm các bản sửa lỗi cho các lỗ hổng dành riêng cho Android. Thông tin về các lỗ hổng này đã được cung cấp cho các thành viên của Open Handset Alliance và các bản sửa lỗi có sẵn trong Dự án nguồn mở Android. Để cải thiện bảo mật, một số thiết bị có phiên bản Android cũ hơn cũng có thể bao gồm các bản sửa lỗi này.

Android cung cấp mô hình bảo mật nhiều lớp được mô tả trong Tổng quan về bảo mật Android . Mỗi bản cập nhật cho Android bao gồm hàng tá cải tiến bảo mật để bảo vệ người dùng. Sau đây là một số cải tiến bảo mật được giới thiệu trong Android phiên bản 1.5 đến 4.1:

Android 1.5

• ProPolice để ngăn ghi đè bộ đệm ngăn xếp (-fstack-protectionor)
• safe_iop để giảm tràn số nguyên
• Các tiện ích mở rộng cho OpenBSD dlmalloc để ngăn chặn các lỗ hổng kép free () và ngăn các cuộc tấn công hợp nhất phân đoạn. Các cuộc tấn công hợp nhất phân đoạn là một cách phổ biến để khai thác tham nhũng đống.
• OpenBSD calloc để ngăn chặn tràn số nguyên trong quá trình cấp phát bộ nhớ

Android 2.3

• Định dạng các biện pháp bảo vệ lỗ hổng bảo mật chuỗi (-Wformat-security -Werror = format-security)
• Dựa trên phần cứng Không có eXecute (NX) để ngăn thực thi mã trên ngăn xếp và đống
• Linux mmap_min_addr để giảm thiểu leo ​​thang đặc quyền tham khảo con trỏ rỗng (được cải tiến thêm trong Android 4.1)

Android 4.0

Ngẫu nhiên bố cục không gian địa chỉ (ASLR) để ngẫu nhiên hóa các vị trí chính trong bộ nhớ

Android 4.1

• Hỗ trợ PIE (Vị trí Độc lập Thực thi)
• Các vị trí chỉ đọc / ràng buộc ngay lập tức (-Wl, -z, relro -Wl, -z, bây giờ)
• dmesg_restrict được bật (tránh rò rỉ địa chỉ hạt nhân)
• kptr_restrict được bật (tránh rò rỉ địa chỉ hạt nhân)