การอัปเดตความปลอดภัยและแหล่งข้อมูล

ทีมรักษาความปลอดภัยของ Android มีหน้าที่จัดการช่องโหว่ด้านความปลอดภัยที่พบในแพลตฟอร์ม Android และแอปหลักๆ ของ Android จำนวนมากที่มาพร้อมกับอุปกรณ์ Android

ทีมรักษาความปลอดภัยของ Android พบช่องโหว่ด้านความปลอดภัยผ่านการวิจัยภายใน และยังตอบสนองต่อจุดบกพร่องที่รายงานโดยบุคคลที่สามอีกด้วย แหล่งที่มาของข้อบกพร่องภายนอก ได้แก่ ปัญหาที่รายงานผ่าน แบบฟอร์มช่องโหว่ การวิจัยทางวิชาการที่ตีพิมพ์และเผยแพร่ล่วงหน้า ผู้ดูแลโครงการโอเพ่นซอร์สขั้นต้น การแจ้งเตือนจากพันธมิตรผู้ผลิตอุปกรณ์ของเรา และปัญหาที่เปิดเผยต่อสาธารณะที่โพสต์บนบล็อกหรือโซเชียลมีเดีย

การรายงานปัญหาด้านความปลอดภัย

นักพัฒนาซอฟต์แวร์ ผู้ใช้ Android หรือนักวิจัยด้านความปลอดภัยสามารถแจ้งทีมความปลอดภัยของ Android เกี่ยวกับปัญหาด้านความปลอดภัยที่อาจเกิดขึ้นได้ผ่าน แบบฟอร์มช่องโหว่

จุดบกพร่องที่ถูกทำเครื่องหมายว่าเป็นปัญหาด้านความปลอดภัยจะไม่ปรากฏให้เห็นจากภายนอก แต่ในที่สุดแล้วจุดบกพร่องเหล่านั้นอาจปรากฏให้มองเห็นได้หลังจากที่ปัญหาได้รับการประเมินหรือแก้ไขปัญหาแล้ว หากคุณวางแผนที่จะส่งแพตช์หรือการทดสอบชุดทดสอบความเข้ากันได้ (CTS) เพื่อแก้ไขปัญหาด้านความปลอดภัย โปรดแนบไปกับรายงานข้อบกพร่องและรอการตอบกลับก่อนที่จะอัปโหลดโค้ดไปยัง AOSP

การแยกข้อบกพร่อง

งานแรกในการจัดการช่องโหว่ด้านความปลอดภัยคือการระบุความรุนแรงของจุดบกพร่องและส่วนประกอบใดของ Android ที่ได้รับผลกระทบ ระดับความรุนแรงจะกำหนดวิธีการจัดลำดับความสำคัญของปัญหา และส่วนประกอบจะกำหนดว่าใครเป็นผู้แก้ไขจุดบกพร่อง ใครจะได้รับการแจ้งเตือน และวิธีนำการแก้ไขไปใช้กับผู้ใช้

ประเภทบริบท

ตารางนี้ครอบคลุมคำจำกัดความของบริบทความปลอดภัยของฮาร์ดแวร์และซอฟต์แวร์ บริบทสามารถกำหนดได้จากความละเอียดอ่อนของข้อมูลที่โดยทั่วไปจะประมวลผลหรือพื้นที่ที่เรียกใช้ข้อมูล บริบทด้านความปลอดภัยบางอย่างอาจไม่สามารถใช้ได้กับทุกระบบ ตารางนี้เรียงลำดับจากสิทธิพิเศษน้อยไปหามาก

ประเภทบริบท คำจำกัดความประเภท
บริบทที่จำกัด สภาพแวดล้อมการดำเนินการแบบจำกัดซึ่งให้สิทธิ์ขั้นต่ำที่สุดเท่านั้น

ตัวอย่างเช่น แอปพลิเคชันที่เชื่อถือได้กำลังประมวลผลข้อมูลที่ไม่น่าเชื่อถือภายในสภาพแวดล้อมแบบแซนด์บ็อกซ์
บริบทที่ไม่มีสิทธิพิเศษ สภาพแวดล้อมการดำเนินการทั่วไปที่คาดหวังจากโค้ดที่ไม่มีสิทธิพิเศษ

ตัวอย่างเช่น แอปพลิเคชัน Android ที่ทำงานบนโดเมน SELinux พร้อมด้วยแอตทริบิวต์ untrusted_app_all
บริบทที่ได้รับสิทธิพิเศษ สภาพแวดล้อมการดำเนินการที่มีสิทธิพิเศษซึ่งอาจมีสิทธิ์เข้าถึงการอนุญาตระดับสูง จัดการ PII ของผู้ใช้หลายคน และ/หรือรักษาความสมบูรณ์ของระบบ

ตัวอย่างเช่น แอปพลิเคชัน Android ที่มีความสามารถที่โดเมน SELinux untrusted_app ห้ามหรือมีสิทธิ์เข้าถึง privileged|signature
เคอร์เนลระบบปฏิบัติการ ฟังก์ชั่นที่:
  • เป็นส่วนหนึ่งของเคอร์เนล
  • ทำงานในบริบทของ CPU เดียวกันกับเคอร์เนล (เช่น ไดรเวอร์อุปกรณ์)
  • มีการเข้าถึงโดยตรงไปยังหน่วยความจำเคอร์เนล (เช่น ส่วนประกอบฮาร์ดแวร์บนอุปกรณ์)
  • มีความสามารถในการโหลดสคริปต์ลงในส่วนประกอบเคอร์เนล (เช่น eBPF)
  • เป็นหนึ่งในบริการผู้ใช้จำนวนหนึ่งที่ถือว่าเทียบเท่ากับเคอร์เนล (เช่น apexd , bpfloader , init , ueventd และ vold )
ฐานฮาร์ดแวร์ที่เชื่อถือได้ (บาท) ส่วนประกอบฮาร์ดแวร์แบบแยก โดยทั่วไปบน SoC ซึ่งมีฟังก์ชันการทำงานที่สำคัญต่อกรณีการใช้งานหลักของอุปกรณ์ (เช่น แบนด์วิดธ์เครือข่ายเซลลูลาร์, DSP, GPU และโปรเซสเซอร์ ML)
ห่วงโซ่บูตโหลดเดอร์ ส่วนประกอบที่กำหนดค่าอุปกรณ์ขณะบูตแล้วส่งการควบคุมไปยังระบบปฏิบัติการ Android
สภาพแวดล้อมการดำเนินการที่เชื่อถือได้ (TEE) ส่วนประกอบที่ได้รับการออกแบบมาให้ได้รับการปกป้องจากแม้แต่เคอร์เนลระบบปฏิบัติการที่เป็นมิตร (เช่น TrustZone และไฮเปอร์ไวเซอร์ เช่น pKVM ซึ่งปกป้องเครื่องเสมือนจากเคอร์เนลระบบปฏิบัติการ)
วงล้อมที่ปลอดภัย / องค์ประกอบความปลอดภัย (SE) ส่วนประกอบฮาร์ดแวร์เสริมที่ออกแบบมาเพื่อปกป้องจากส่วนประกอบอื่นๆ ทั้งหมดบนอุปกรณ์และจากการโจมตีทางกายภาพ ตามที่กำหนดไว้ใน บทนำสู่องค์ประกอบความปลอดภัย

ซึ่งรวมถึงชิป Titan-M ที่มีอยู่ในอุปกรณ์ Android บางรุ่นด้วย

ความรุนแรง

โดยทั่วไปความรุนแรงของจุดบกพร่องจะสะท้อนถึงอันตรายที่อาจเกิดขึ้นได้หากจุดบกพร่องถูกนำไปใช้ประโยชน์ได้สำเร็จ ใช้เกณฑ์ต่อไปนี้เพื่อกำหนดความรุนแรง

เรตติ้ง ผลที่ตามมาของการแสวงหาผลประโยชน์ที่ประสบความสำเร็จ
วิกฤต
  • การเรียกใช้โค้ดโดยพลการใน TEE หรือ SE
  • บายพาสกลไกซอฟต์แวร์ที่ออกแบบมาเพื่อป้องกันซอฟต์แวร์หรือส่วนประกอบฮาร์ดแวร์ที่เกี่ยวข้องกับความปลอดภัยไม่ให้ทำงานผิดปกติ (เช่น การป้องกันความร้อน)
  • การเข้าถึงข้อมูลประจำตัวที่ละเอียดอ่อนจากระยะไกลที่ใช้สำหรับการตรวจสอบสิทธิ์บริการระยะไกล (เช่น รหัสผ่านบัญชีหรือโทเค็นผู้ถือ)
  • การเรียกใช้โค้ดจากระยะไกลโดยอำเภอใจภายในบริบทเบสแบนด์เซลลูลาร์โดยไม่มีการโต้ตอบกับผู้ใช้ (เช่น การใช้ประโยชน์จากจุดบกพร่องในบริการวิทยุเซลลูลาร์)
  • การเรียกใช้โค้ดจากระยะไกลโดยอำเภอใจในบริบทที่มีสิทธิพิเศษ, ห่วงโซ่บูตโหลดเดอร์, THB หรือเคอร์เนลระบบปฏิบัติการ
  • การข้ามข้อกำหนดการโต้ตอบของผู้ใช้จากระยะไกลในการติดตั้งแพ็คเกจหรือพฤติกรรมที่เทียบเท่า
  • การข้ามข้อกำหนดการโต้ตอบของผู้ใช้จากระยะไกลสำหรับนักพัฒนาหลัก การตั้งค่าความปลอดภัย หรือความเป็นส่วนตัว
  • การปฏิเสธการบริการระยะไกลอย่างต่อเนื่อง (ถาวร โดยต้องแฟลชระบบปฏิบัติการใหม่ทั้งหมด หรือรีเซ็ตเป็นค่าจากโรงงาน)
  • บายพาสการบูตอย่างปลอดภัยจากระยะไกล
  • การเข้าถึงข้อมูลที่รักษาความปลอดภัยโดย SE โดยไม่ได้รับอนุญาต รวมถึงการเข้าถึงที่เปิดใช้งานโดยคีย์ที่อ่อนแอใน SE
สูง
  • การข้ามคุณสมบัติความปลอดภัยหลักโดยสมบูรณ์ (เช่น SELinux, FBE หรือ seccomp )
  • บายพาสทั่วไปสำหรับการป้องกันในเชิงลึกหรือใช้ประโยชน์จากเทคโนโลยีบรรเทาผลกระทบในห่วงโซ่ bootloader, TEE หรือ SE
  • การบายพาสทั่วไปสำหรับการป้องกันระบบปฏิบัติการที่เปิดเผยหน่วยความจำหรือเนื้อหาไฟล์ข้ามขอบเขตแอพ ผู้ใช้ หรือโปรไฟล์
  • การโจมตี SE ซึ่งส่งผลให้มีการปรับลดรุ่นเป็นการใช้งานที่มีความปลอดภัยน้อยลง
  • เปลี่ยนจากเฟิร์มแวร์ Bare Metal ที่ถูกบุกรุกซึ่งเข้าถึงได้จากระยะไกล (เช่น เบสแบนด์, CP/ตัวประมวลผลการสื่อสาร) ลงในเคอร์เนลตัวประมวลผลแอปพลิเคชัน (AP) หรือกลไกบายพาสที่ออกแบบมาเพื่อแยกเฟิร์มแวร์ Bare Metal ออกจากเคอร์เนล AP
  • บายพาสการป้องกันอุปกรณ์/การป้องกันการรีเซ็ตเป็นค่าจากโรงงาน/ข้อจำกัดของผู้ให้บริการ
  • ข้ามข้อกำหนดการโต้ตอบของผู้ใช้ที่ TEE รับรอง
  • ช่องโหว่ในการเข้ารหัสที่ทำให้เกิดการโจมตีโปรโตคอลจากต้นทางถึงปลายทาง รวมถึงการโจมตีต่อ Transport Layer Security (TLS) และ Bluetooth (BT)
  • การเข้าถึงข้อมูลรับรองที่มีความละเอียดอ่อนภายในเครื่องซึ่งใช้สำหรับการตรวจสอบสิทธิ์บริการระยะไกล (เช่น รหัสผ่านบัญชีหรือโทเค็นผู้ถือ)
  • การเรียกใช้โค้ดโดยอำเภอใจในบริบทที่มีสิทธิพิเศษ, ห่วงโซ่ bootloader, THB หรือเคอร์เนลระบบปฏิบัติการ
  • บายพาสการบูตแบบปลอดภัยในเครื่อง
  • บายพาสหน้าจอล็อค
  • การข้ามข้อกำหนดการโต้ตอบของผู้ใช้ในพื้นที่สำหรับนักพัฒนาหลัก การตั้งค่าความปลอดภัย หรือความเป็นส่วนตัว
  • การข้ามข้อกำหนดการโต้ตอบของผู้ใช้ในการติดตั้งแพ็คเกจหรือพฤติกรรมที่เทียบเท่า
  • การปฏิเสธการบริการอย่างต่อเนื่องในเครื่อง (ถาวร โดยต้องแฟลชระบบปฏิบัติการใหม่ทั้งหมด หรือรีเซ็ตเป็นค่าจากโรงงาน)
  • การเข้าถึงข้อมูลที่ได้รับการป้องกันจากระยะไกล (นั่นคือ ข้อมูลที่จำกัดเฉพาะบริบทที่ได้รับสิทธิพิเศษ)
  • การเรียกใช้โค้ดจากระยะไกลโดยพลการในบริบทที่ไม่มีสิทธิ์
  • การป้องกันการเข้าถึงบริการเซลลูล่าร์หรือ Wi-Fi จากระยะไกลโดยที่ผู้ใช้ไม่มีการโต้ตอบ (เช่น การขัดข้องของบริการวิทยุเซลลูล่าร์ด้วยแพ็กเก็ตที่มีรูปแบบไม่ถูกต้อง)
  • การเลี่ยงข้อกำหนดการโต้ตอบของผู้ใช้จากระยะไกล (การเข้าถึงฟังก์ชันการทำงานหรือข้อมูลที่ควรต้องมีการเริ่มต้นผู้ใช้หรือการอนุญาตจากผู้ใช้)
  • การป้องกันการเข้าถึงบริการฉุกเฉินแบบกำหนดเป้าหมาย
  • การส่งข้อมูลที่ละเอียดอ่อนผ่านโปรโตคอลเครือข่ายที่ไม่ปลอดภัย (เช่น HTTP และ Bluetooth ที่ไม่ได้เข้ารหัส) เมื่อผู้ร้องขอคาดว่าจะมีการส่งข้อมูลที่ปลอดภัย โปรดทราบว่าสิ่งนี้ใช้ไม่ได้กับการเข้ารหัส Wi-Fi (เช่น WEP)
  • การเข้าถึงข้อมูลที่รักษาความปลอดภัยโดย TEE โดยไม่ได้รับอนุญาต รวมถึงการเข้าถึงที่เปิดใช้งานโดยคีย์ที่อ่อนแอใน TEE
ปานกลาง
  • การบายพาสทั่วไปสำหรับการป้องกันในเชิงลึกหรือใช้ประโยชน์จากเทคโนโลยีบรรเทาผลกระทบในบริบทที่มีสิทธิพิเศษ THB หรือเคอร์เนลระบบปฏิบัติการ
  • การเลี่ยงผ่านทั่วไปสำหรับการปกป้องระบบปฏิบัติการที่เปิดเผยสถานะกระบวนการหรือข้อมูลเมตาข้ามขอบเขตแอป ผู้ใช้ หรือโปรไฟล์
  • ข้ามการเข้ารหัสหรือการตรวจสอบสิทธิ์ Wi-Fi
  • ช่องโหว่ในการเข้ารหัสในการเข้ารหัสแบบดั้งเดิมมาตรฐานที่ทำให้เกิดการรั่วไหลของข้อความธรรมดา (ไม่ใช่แบบดั้งเดิมที่ใช้ใน TLS)
  • การเข้าถึงข้อมูลที่ได้รับการป้องกันภายในเครื่อง (นั่นคือ ข้อมูลที่จำกัดเฉพาะบริบทที่มีสิทธิพิเศษ)
  • การเรียกใช้โค้ดโดยอำเภอใจในบริบทที่ไม่มีสิทธิ์
  • การหลีกเลี่ยงข้อกำหนดการโต้ตอบของผู้ใช้ในพื้นที่ (การเข้าถึงฟังก์ชันการทำงานหรือข้อมูลที่ปกติจะต้องเริ่มต้นจากผู้ใช้หรือได้รับอนุญาตจากผู้ใช้)
  • การเข้าถึงข้อมูลที่ไม่มีการป้องกันจากระยะไกล (ซึ่งโดยปกติแล้วข้อมูลจะสามารถเข้าถึงได้โดยแอปที่ติดตั้งในเครื่อง)
  • การเรียกใช้โค้ดจากระยะไกลโดยพลการในบริบทที่จำกัด
  • การปฏิเสธการให้บริการอุปกรณ์ชั่วคราวระยะไกล (การหยุดทำงานระยะไกลหรือรีบูต)
ต่ำ
  • การบายพาสทั่วไปสำหรับการป้องกันระดับผู้ใช้ในเชิงลึกหรือใช้ประโยชน์จากเทคโนโลยีบรรเทาผลกระทบในบริบทที่ไม่มีสิทธิพิเศษ
  • ข้ามการอนุญาต ระดับการป้องกัน ปกติ
  • ช่องโหว่ด้านการเข้ารหัสในการใช้งานที่ไม่ได้มาตรฐาน
  • การข้ามฟีเจอร์การปรับเปลี่ยนในแบบของคุณในอุปกรณ์ เช่น Voice Match หรือ Face Match
  • เอกสารไม่ถูกต้องที่อาจนำไปสู่ช่องโหว่ด้านความปลอดภัย
  • การเรียกใช้โค้ดโดยอำเภอใจในบริบทที่จำกัด
  • ข้อความที่ระบบกำหนดซึ่งมีคำอธิบายที่ทำให้เข้าใจผิดซึ่งสร้างความคาดหวังด้านความปลอดภัยที่ผิดพลาด
ผลกระทบต่อความมั่นคงเล็กน้อย (NSI​)
  • ช่องโหว่ที่ผลกระทบได้รับการบรรเทาลงโดยตัวแก้ไขการให้คะแนนตั้งแต่หนึ่งตัวขึ้นไปหรือการเปลี่ยนแปลงสถาปัตยกรรมเฉพาะเวอร์ชันเพื่อให้ความรุนแรงที่มีประสิทธิผลต่ำกว่าระดับต่ำ แม้ว่าปัญหาโค้ดที่ซ่อนอยู่อาจยังคงอยู่
  • ช่องโหว่ใดๆ ที่จำเป็นต้องมีระบบไฟล์ที่มีรูปแบบไม่ถูกต้อง หากระบบไฟล์นั้น ถูกนำมาใช้/เข้ารหัส อยู่เสมอก่อนใช้งาน
  • การปฏิเสธบริการชั่วคราวในพื้นที่ เช่น กรณีที่สามารถแก้ไขได้ด้วยการรีบูตอุปกรณ์หรือถอนการติดตั้งแอปที่ทริกเกอร์

ตัวแก้ไขการให้คะแนน

แม้ว่าความรุนแรงของช่องโหว่ด้านความปลอดภัยมักจะระบุได้ง่าย แต่การให้คะแนนอาจเปลี่ยนแปลงไปตามสถานการณ์

เหตุผล ผล
ต้องใช้การทำงานเป็นบริบทที่ได้รับสิทธิ์เพื่อดำเนินการโจมตี (ใช้ไม่ได้กับ TEE, SE และไฮเปอร์ไวเซอร์ เช่น pKVM) -1 ความรุนแรง
รายละเอียดเฉพาะช่องโหว่จะจำกัดผลกระทบของปัญหา -1 ความรุนแรง
บายพาสการตรวจสอบสิทธิ์ไบโอเมตริกซ์ที่ต้องใช้ข้อมูลไบโอเมตริกซ์โดยตรงจากเจ้าของอุปกรณ์ -1 ความรุนแรง
การกำหนดค่าคอมไพเลอร์หรือแพลตฟอร์มจะช่วยลดช่องโหว่ในซอร์สโค้ด ความรุนแรงปานกลางหากช่องโหว่ที่ซ่อนอยู่คือปานกลางหรือสูงกว่า
ต้องมีการเข้าถึงทางกายภาพภายในอุปกรณ์และยังคงเป็นไปได้หากอุปกรณ์ปิดอยู่หรือไม่ได้ปลดล็อคตั้งแต่เปิดเครื่อง -1 ความรุนแรง
ต้องมีการเข้าถึงทางกายภาพภายในอุปกรณ์ในขณะที่อุปกรณ์เปิดอยู่และถูกปลดล็อคก่อนหน้านี้ -2 ความรุนแรง
การโจมตีเฉพาะที่ซึ่งจำเป็นต้องปลดล็อคห่วงโซ่ bootloader ไม่สูงกว่าต่ำ
การโจมตีเฉพาะที่ต้องใช้โหมดนักพัฒนาซอฟต์แวร์หรือการตั้งค่าโหมดนักพัฒนาซอฟต์แวร์ถาวรใดๆ ที่ต้องเปิดใช้งานบนอุปกรณ์ในปัจจุบัน (และไม่ใช่จุดบกพร่องในโหมดนักพัฒนาซอฟต์แวร์เอง) ไม่สูงกว่าต่ำ
หากไม่มีโดเมน SELinux ที่สามารถดำเนินการภายใต้ SEPolicy ที่ Google ให้ไว้ ผลกระทบด้านความปลอดภัยเล็กน้อย

ท้องถิ่นกับใกล้เคียงและระยะไกล

เวกเตอร์การโจมตีระยะไกลบ่งชี้ว่าจุดบกพร่องสามารถถูกโจมตีได้โดยไม่ต้องติดตั้งแอพหรือไม่มีการเข้าถึงอุปกรณ์ทางกายภาพ ซึ่งรวมถึงจุดบกพร่องที่สามารถกระตุ้นได้โดยการเรียกดูเว็บเพจ การอ่านอีเมล การรับข้อความ SMS หรือการเชื่อมต่อกับเครือข่ายที่ไม่เป็นมิตร เพื่อจุดประสงค์ในการให้คะแนนความรุนแรงของเรา เรายังถือว่าเวกเตอร์การโจมตี "ใกล้เคียง" เป็นระยะไกลด้วย ซึ่งรวมถึงจุดบกพร่องที่สามารถใช้งานได้โดยผู้โจมตีที่อยู่ใกล้อุปกรณ์เป้าหมายเท่านั้น เช่น จุดบกพร่องที่ต้องส่งแพ็กเก็ต Wi-Fi หรือบลูทูธที่มีรูปแบบไม่ถูกต้อง เราถือว่าการโจมตีแบบ Ultra-wideband (UWB) และ NFC เป็นการโจมตีแบบใกล้เคียงและระยะไกล

การโจมตีเฉพาะที่กำหนดให้เหยื่อต้องเรียกใช้แอป ไม่ว่าจะโดยการติดตั้งและเรียกใช้แอป หรือโดยการยินยอมให้เรียกใช้ Instant App อุปกรณ์คู่หูที่จับคู่จะถือเป็นอุปกรณ์ท้องถิ่น เพื่อวัตถุประสงค์ในการให้คะแนนความรุนแรง ทีมรักษาความปลอดภัยของ Android ยังถือว่าเวกเตอร์การโจมตีทางกายภาพเป็นแบบท้องถิ่น ซึ่งรวมถึงบั๊กที่สามารถใช้งานได้โดยผู้โจมตีที่สามารถเข้าถึงอุปกรณ์ได้เท่านั้น เช่น บั๊กในหน้าจอล็อคหรือที่ต้องเสียบสาย USB

ความปลอดภัยของเครือข่าย

Android สันนิษฐานว่าเครือข่ายทั้งหมดเป็นศัตรูและอาจส่งการโจมตีหรือสอดแนมการรับส่งข้อมูล แม้ว่าการรักษาความปลอดภัยชั้นลิงก์ (เช่น การเข้ารหัส Wi-Fi) จะรักษาความปลอดภัยการสื่อสารระหว่างอุปกรณ์และจุดเข้าใช้งานที่เชื่อมต่ออยู่ แต่ก็ไม่ได้ช่วยรักษาความปลอดภัยให้กับลิงก์ที่เหลือในห่วงโซ่ระหว่างอุปกรณ์และเซิร์ฟเวอร์ที่อุปกรณ์สื่อสารด้วย

ในทางตรงกันข้าม โดยทั่วไป HTTPS จะปกป้องการสื่อสารทั้งหมดตั้งแต่ต้นจนจบ โดยเข้ารหัสข้อมูลที่แหล่งที่มา จากนั้นถอดรหัสและยืนยันข้อมูลเมื่อถึงปลายทางสุดท้ายเท่านั้น ด้วยเหตุนี้ ช่องโหว่ที่กระทบต่อความปลอดภัยของเครือข่ายชั้นลิงก์จึงได้รับการจัดอันดับว่ารุนแรงน้อยกว่าช่องโหว่ใน HTTPS/TLS: การเข้ารหัส Wi-Fi เพียงอย่างเดียวไม่เพียงพอสำหรับการสื่อสารส่วนใหญ่บนอินเทอร์เน็ต

การรับรองความถูกต้องทางชีวภาพ

การรับรองความถูกต้องด้วยไบโอเมตริกซ์เป็นพื้นที่ที่ท้าทาย และแม้แต่ระบบที่ดีที่สุดก็อาจถูกหลอกได้ด้วยการจับคู่ที่ใกล้เคียงกัน (ดู บล็อกของนักพัฒนา Android: หน้าจอล็อคและการปรับปรุงการรับรองความถูกต้องใน Android 11 ) การจัดระดับความรุนแรงเหล่านี้แยกความแตกต่างระหว่างการโจมตีสองประเภทและมีจุดมุ่งหมายเพื่อสะท้อนถึงความเสี่ยงที่แท้จริงต่อผู้ใช้

การโจมตีระดับเฟิร์สคลาสช่วยให้สามารถข้ามการตรวจสอบสิทธิ์ไบโอเมตริกซ์ในลักษณะทั่วไป โดยไม่ต้องมีข้อมูลไบโอเมตริกซ์คุณภาพสูงจากเจ้าของ ตัวอย่างเช่น หากผู้โจมตีสามารถวางหมากฝรั่งบนเซ็นเซอร์ลายนิ้วมือ และอนุญาตให้เข้าถึงอุปกรณ์โดยอิงจากสิ่งตกค้างที่เหลืออยู่บนเซ็นเซอร์ นั่นเป็นการโจมตีง่ายๆ ที่สามารถทำได้บนอุปกรณ์ที่อ่อนแอใดๆ ไม่จำเป็นต้องมีความรู้จากเจ้าของอุปกรณ์ เนื่องจากสามารถสรุปได้ทั่วไปและอาจส่งผลกระทบต่อผู้ใช้จำนวนมากขึ้น การโจมตีนี้จึงได้รับระดับความรุนแรงเต็ม (เช่น สูง สำหรับการบายพาสหน้าจอล็อค)

โดยทั่วไปการโจมตีประเภทอื่นจะเกี่ยวข้องกับเครื่องมือโจมตีการนำเสนอ (การปลอมแปลง) ตามเจ้าของอุปกรณ์ บางครั้งข้อมูลไบโอเมตริกซ์นี้ได้มาค่อนข้างง่าย (เช่น หากรูปโปรไฟล์ของใครบางคนบนโซเชียลมีเดียเพียงพอที่จะหลอกการตรวจสอบสิทธิ์ไบโอเมตริกซ์ การบายพาสไบโอเมตริกก็จะได้รับระดับความรุนแรงเต็ม) แต่หากผู้โจมตีจำเป็นต้องรับข้อมูลไบโอเมตริกซ์โดยตรงจากเจ้าของอุปกรณ์ (เช่น การสแกนใบหน้าด้วยอินฟราเรด) นั่นเป็นอุปสรรคสำคัญเพียงพอที่จะจำกัดจำนวนผู้ที่ได้รับผลกระทบจากการโจมตี ดังนั้นจึงมีตัวแก้ไข -1 .

SYSTEM_ALERT_WINDOW และ Tapjacking

สำหรับข้อมูลเกี่ยวกับนโยบายของเราเกี่ยวกับ SYSTEM_ALERT_WINDOW และ tapjacking โปรดดูส่วน " Tapjacking/overlay ช่องโหว่ SYSTEM_ALERT_WINDOW บนหน้าจอที่ไม่มีความสำคัญต่อความปลอดภัย " ของหน้า Bugs ของ BugHunter University ที่ไม่มีผลกระทบต่อความปลอดภัย

การรักษาความปลอดภัยผู้ใช้หลายคนใน Android Automotive OS

Android Automotive OS ใช้โมเดลการรักษาความปลอดภัยสำหรับผู้ใช้หลายรายที่แตกต่างจากฟอร์มแฟคเตอร์อื่นๆ ผู้ใช้ Android แต่ละคนมีวัตถุประสงค์เพื่อให้ใช้งานโดยบุคคลที่แตกต่างกัน ตัวอย่างเช่น ผู้ใช้ที่เป็นแขกชั่วคราวสามารถมอบหมายให้กับเพื่อนที่ยืมรถจากเจ้าของรถได้ เพื่อรองรับกรณีการใช้งานเช่นนี้ ผู้ใช้จะสามารถเข้าถึงส่วนประกอบที่จำเป็นในการใช้รถยนต์โดยค่าเริ่มต้น เช่น การตั้งค่า Wi-Fi และเครือข่ายมือถือ

ส่วนประกอบที่ได้รับผลกระทบ

ทีมพัฒนาที่รับผิดชอบในการแก้ไขข้อบกพร่องนั้นขึ้นอยู่กับส่วนประกอบที่มีข้อบกพร่อง ซึ่งอาจเป็นองค์ประกอบหลักของแพลตฟอร์ม Android, ไดรเวอร์เคอร์เนลที่จัดทำโดยผู้ผลิตอุปกรณ์ดั้งเดิม (OEM) หรือหนึ่งในแอปที่โหลดไว้ล่วงหน้าบนอุปกรณ์ Pixel .

ข้อบกพร่องในโค้ด AOSP ได้รับการแก้ไขโดยทีมวิศวกร Android จุดบกพร่องระดับต่ำ จุดบกพร่องในส่วนประกอบบางอย่าง หรือจุดบกพร่องที่ทราบกันทั่วไปแล้ว อาจได้รับการแก้ไขโดยตรงในสาขาหลัก AOSP ที่เผยแพร่ต่อสาธารณะ ไม่เช่นนั้นจะได้รับการแก้ไขในที่เก็บข้อมูลภายในของเราก่อน

ส่วนประกอบนี้ยังเป็นปัจจัยหนึ่งที่ทำให้ผู้ใช้ได้รับการอัปเดตอีกด้วย จุดบกพร่องในเฟรมเวิร์กหรือเคอร์เนลจำเป็นต้องมีการอัปเดตเฟิร์มแวร์แบบ over-the-air (OTA) ที่ OEM แต่ละรายจำเป็นต้องดำเนินการ จุดบกพร่องในแอปหรือไลบรารีที่เผยแพร่ใน Google Play (เช่น Gmail, บริการ Google Play หรือ WebView) สามารถส่งไปยังผู้ใช้ Android เป็นการอัปเดตจาก Google Play ได้

การแจ้งพันธมิตร

เมื่อช่องโหว่ด้านความปลอดภัยใน AOSP ได้รับการแก้ไขใน Android Security Bulletin เราจะแจ้งให้พันธมิตร Android ทราบรายละเอียดปัญหาและจัดเตรียมแพตช์ รายการเวอร์ชันที่รองรับ backport จะเปลี่ยนแปลงไปตาม Android รุ่นใหม่แต่ละรุ่น ติดต่อผู้ผลิตอุปกรณ์ของคุณเพื่อขอรายการอุปกรณ์ที่รองรับ

ปล่อยรหัสไปยัง AOSP

หากจุดบกพร่องด้านความปลอดภัยอยู่ในองค์ประกอบ AOSP การแก้ไขจะถูกส่งออกไปที่ AOSP หลังจากที่ OTA ได้รับการเผยแพร่ให้กับผู้ใช้แล้ว การแก้ไขสำหรับปัญหาที่มีความรุนแรงต่ำอาจถูกส่งไปยังสาขาหลัก AOSP โดยตรงก่อนที่การแก้ไขจะพร้อมใช้งานกับอุปกรณ์ผ่าน OTA

กำลังรับการอัปเดต Android

โดยทั่วไปการอัปเดตระบบ Android จะถูกส่งไปยังอุปกรณ์ผ่านแพ็คเกจการอัปเดต OTA การอัปเดตเหล่านี้อาจมาจาก OEM ที่ผลิตอุปกรณ์หรือผู้ให้บริการที่ให้บริการแก่อุปกรณ์ การอัปเดตอุปกรณ์ Google Pixel มาจากทีมงาน Google Pixel หลังจากผ่านขั้นตอนการทดสอบการยอมรับทางเทคนิค (TA) ของผู้ให้บริการ Google ยังเผยแพร่ รูปภาพจากโรงงานของ Pixel ที่สามารถโหลดด้านข้างลงในอุปกรณ์ได้

กำลังอัปเดตบริการของ Google

นอกเหนือจากการจัดเตรียมแพตช์สำหรับข้อบกพร่องด้านความปลอดภัยแล้ว ทีมรักษาความปลอดภัยของ Android ยังตรวจสอบข้อบกพร่องด้านความปลอดภัยเพื่อพิจารณาว่ามีวิธีอื่นในการปกป้องผู้ใช้หรือไม่ ตัวอย่างเช่น Google Play จะสแกนแอปทั้งหมดและลบแอปใดๆ ที่พยายามใช้ประโยชน์จากข้อบกพร่องด้านความปลอดภัย สำหรับแอปที่ติดตั้งจากภายนอก Google Play อุปกรณ์ที่มีบริการ Google Play อาจใช้คุณสมบัติ ยืนยันแอป เพื่อเตือนผู้ใช้เกี่ยวกับแอปที่อาจเป็นอันตราย

ทรัพยากรอื่นๆ

ข้อมูลสำหรับนักพัฒนาแอป Android: https://developer.android.com

ข้อมูลความปลอดภัยมีอยู่ทั่วทั้งไซต์ Android Open Source และ Developer สถานที่ที่ดีในการเริ่มต้น:

รายงาน

บางครั้งทีมรักษาความปลอดภัยของ Android จะเผยแพร่รายงานหรือเอกสารประกอบ ดู รายงานความปลอดภัย สำหรับรายละเอียดเพิ่มเติม