การอัปเดตความปลอดภัยและทรัพยากร

ทีมรักษาความปลอดภัยของ Android มีหน้าที่จัดการช่องโหว่ด้านความปลอดภัยที่ค้นพบในแพลตฟอร์ม Android และแอป Android หลักจำนวนมากที่มาพร้อมกับอุปกรณ์ Android

ทีมรักษาความปลอดภัย Android พบช่องโหว่ด้านความปลอดภัยผ่านการวิจัยภายในและตอบสนองต่อข้อบกพร่องที่รายงานโดยบุคคลที่สาม แหล่งที่มาของข้อบกพร่องภายนอก ได้แก่ ปัญหาที่รายงานผ่าน เทมเพลตปัญหาความปลอดภัยของ Android การวิจัยทางวิชาการที่เผยแพร่และเผยแพร่ล่วงหน้า ผู้ดูแลโครงการต้นทางโอเพ่นซอร์ส การแจ้งเตือนจากพันธมิตรผู้ผลิตอุปกรณ์ของเรา และปัญหาที่เปิดเผยต่อสาธารณะที่โพสต์บนบล็อกหรือโซเชียลมีเดีย

การรายงานปัญหาด้านความปลอดภัย

นักพัฒนาซอฟต์แวร์ ผู้ใช้ Android หรือนักวิจัยด้านความปลอดภัยสามารถแจ้งทีมความปลอดภัยของ Android เกี่ยวกับปัญหาด้านความปลอดภัยที่อาจเกิดขึ้นผ่าน แบบฟอร์มการรายงานช่องโหว่ด้านความปลอดภัย

บั๊กที่ทำเครื่องหมายว่าเป็นปัญหาด้านความปลอดภัยจะไม่ปรากฏให้เห็นจากภายนอก แต่อาจปรากฏให้เห็นได้ในที่สุดหลังจากที่ปัญหาได้รับการประเมินหรือแก้ไขปัญหาแล้ว หากคุณวางแผนที่จะส่งโปรแกรมแก้ไขหรือการทดสอบความเข้ากันได้ของชุดทดสอบ (CTS) เพื่อแก้ไขปัญหาด้านความปลอดภัย โปรดแนบไปกับรายงานข้อบกพร่องและรอการตอบกลับก่อนที่จะอัปโหลดรหัสไปยัง AOSP

ทดสอบข้อบกพร่อง

งานแรกในการจัดการกับช่องโหว่ด้านความปลอดภัยคือการระบุความรุนแรงของจุดบกพร่องและคอมโพเนนต์ของ Android ที่ได้รับผลกระทบ ความรุนแรงจะกำหนดวิธีจัดลำดับความสำคัญของปัญหา และองค์ประกอบจะกำหนดว่าใครเป็นผู้แก้ไขจุดบกพร่อง ใครจะได้รับการแจ้งเตือน และวิธีนำการแก้ไขไปใช้กับผู้ใช้

ประเภทบริบท

ตารางนี้ครอบคลุมคำจำกัดความของบริบทความปลอดภัยของฮาร์ดแวร์และซอฟต์แวร์ บริบทสามารถกำหนดได้โดยความละเอียดอ่อนของข้อมูลที่ประมวลผลโดยทั่วไปหรือพื้นที่ที่รัน บริบทการรักษาความปลอดภัยบางอย่างอาจไม่สามารถใช้ได้กับทุกระบบ ตารางนี้เรียงลำดับจากน้อยไปมากเป็นพิเศษ

ประเภทบริบท คำจำกัดความของประเภท
บริบทที่จำกัด สภาพแวดล้อมการดำเนินการที่จำกัดซึ่งให้สิทธิ์น้อยที่สุดเท่านั้น

ตัวอย่างเช่น แอปพลิเคชันที่เชื่อถือได้ประมวลผลข้อมูลที่ไม่น่าเชื่อถือภายในสภาพแวดล้อมแบบแซนด์บ็อกซ์
บริบทที่ไม่ได้รับสิทธิพิเศษ สภาพแวดล้อมการดำเนินการทั่วไปที่คาดไว้โดยโค้ดที่ไม่มีสิทธิพิเศษ

ตัวอย่างเช่น แอปพลิเคชัน Android ที่ทำงานในโดเมน SELinux ที่มีแอตทริบิวต์ untrusted_app_all
บริบทอันเป็นเอกสิทธิ์ สภาพแวดล้อมการดำเนินการที่มีสิทธิพิเศษซึ่งอาจมีสิทธิ์เข้าถึงการยกระดับ จัดการ PII ของผู้ใช้หลายคน และ/หรือรักษาความสมบูรณ์ของระบบ

ตัวอย่างเช่น แอปพลิเคชัน Android ที่มีความสามารถต้องห้ามโดยโดเมน SELinux untrusted_app หรือมีสิทธิ์เข้าถึง privileged|signature
OS Kernel ฟังก์ชั่นที่:
  • เป็นส่วนหนึ่งของเคอร์เนล
  • ทำงานในบริบทของ CPU เดียวกันกับเคอร์เนล (เช่น ไดรเวอร์อุปกรณ์)
  • มีการเข้าถึงโดยตรงไปยังหน่วยความจำเคอร์เนล (เช่น ส่วนประกอบฮาร์ดแวร์บนอุปกรณ์)
  • มีความสามารถในการโหลดสคริปต์ลงในองค์ประกอบเคอร์เนล (เช่น eBPF)
  • เป็นหนึ่งในบริการผู้ใช้จำนวนหนึ่งที่ถือว่าเทียบเท่าเคอร์เนล (เช่น apexd , bpfloader , init , ueventd และ vold )
ฐานฮาร์ดแวร์ที่เชื่อถือได้ (บาท) ส่วนประกอบฮาร์ดแวร์แบบแยกส่วน โดยทั่วไปใน SoC ซึ่งมีฟังก์ชันการทำงานที่สำคัญต่อกรณีการใช้งานหลักของอุปกรณ์ (เช่น เบสแบนด์มือถือ, DSP, GPU และโปรเซสเซอร์ ML)
Bootloader Chain ส่วนประกอบที่กำหนดค่าอุปกรณ์ขณะบู๊ตแล้วส่งผ่านการควบคุมไปยังระบบปฏิบัติการ Android
สภาพแวดล้อมการดำเนินการที่เชื่อถือได้ (TEE) คอมโพเนนต์ที่ออกแบบมาให้ได้รับการปกป้องจาก OS Kernel ที่เป็นศัตรู (เช่น TrustZone และไฮเปอร์ไวเซอร์ เช่น pKVM ซึ่งปกป้อง Virtual Machines จาก OS Kernel)
Secure Enclave / องค์ประกอบที่ปลอดภัย (SE) ส่วนประกอบฮาร์ดแวร์เสริมที่ออกแบบมาเพื่อป้องกันส่วนประกอบอื่นๆ ทั้งหมดบนอุปกรณ์และจากการโจมตีทางกายภาพ ตามที่กำหนดไว้ใน Introduction to Secure Elements

ซึ่งรวมถึงชิป Titan-M ที่มีอยู่ในอุปกรณ์ Android บางรุ่น

ความรุนแรง

ความรุนแรงของจุดบกพร่องโดยทั่วไปจะสะท้อนถึงอันตรายที่อาจเกิดขึ้นได้หากจุดบกพร่องถูกใช้ประโยชน์ได้สำเร็จ ใช้เกณฑ์ต่อไปนี้เพื่อกำหนดความรุนแรง

เรตติ้ง ผลของการหาประโยชน์ที่ประสบความสำเร็จ
วิกฤต
  • การเรียกใช้รหัสโดยพลการใน TEE หรือ SE
  • บายพาสกลไกซอฟต์แวร์ที่ออกแบบมาเพื่อป้องกันไม่ให้ซอฟต์แวร์หรือส่วนประกอบฮาร์ดแวร์ทำงานผิดปกติ (เช่น ระบบป้องกันความร้อน)
  • การเข้าถึงข้อมูลรับรองที่ละเอียดอ่อนจากระยะไกลที่ใช้สำหรับการรับรองความถูกต้องของบริการระยะไกล (เช่น รหัสผ่านบัญชีหรือโทเค็นผู้ถือ)
  • การเรียกใช้โค้ดโดยพลการจากระยะไกลภายในบริบทของเบสแบนด์ของเซลลูลาร์โดยไม่มีการโต้ตอบกับผู้ใช้ (เช่น การใช้ประโยชน์จากจุดบกพร่องในบริการวิทยุเคลื่อนที่)
  • การเรียกใช้โค้ดโดยพลการจากระยะไกลในบริบทที่มีสิทธิพิเศษ ห่วงโซ่บูตโหลดเดอร์ THB หรือ OS Kernel
  • รีโมตบายพาสข้อกำหนดการโต้ตอบของผู้ใช้ในการติดตั้งแพ็คเกจหรือพฤติกรรมที่เทียบเท่า
  • ข้ามข้อกำหนดการโต้ตอบของผู้ใช้จากระยะไกลสำหรับนักพัฒนาหลัก ความปลอดภัย หรือการตั้งค่าความเป็นส่วนตัว
  • การปฏิเสธบริการแบบถาวรจากระยะไกล (ถาวร ต้องรีเฟรชระบบปฏิบัติการทั้งหมด หรือการรีเซ็ตเป็นค่าจากโรงงาน)
  • บายพาสการบูตที่ปลอดภัยจากระยะไกล
  • การเข้าถึงข้อมูลที่รักษาความปลอดภัยโดย SE โดยไม่ได้รับอนุญาตรวมถึงการเข้าถึงที่เปิดใช้งานโดยคีย์ที่อ่อนแอใน SE
สูง
  • บายพาสคุณลักษณะความปลอดภัยหลักอย่างสมบูรณ์ (เช่น SELinux, FBE หรือ seccomp )
  • บายพาสทั่วไปสำหรับการป้องกันในเชิงลึกหรือใช้ประโยชน์จากเทคโนโลยีลดผลกระทบในห่วงโซ่ bootloader, TEE หรือ SE
  • บายพาสทั่วไปสำหรับการป้องกันระบบปฏิบัติการที่เปิดเผยหน่วยความจำหรือเนื้อหาไฟล์ข้ามขอบเขตแอพ ผู้ใช้ หรือโปรไฟล์
  • การโจมตี SE ที่ส่งผลให้การปรับลดรุ่นเป็นการใช้งานที่ปลอดภัยน้อยกว่า
  • บายพาสการป้องกันอุปกรณ์/การป้องกันการรีเซ็ตเป็นค่าจากโรงงาน/ข้อจำกัดของผู้ให้บริการ
  • ข้ามข้อกำหนดการโต้ตอบกับผู้ใช้ที่ได้รับการรักษาความปลอดภัยโดยTEE
  • ช่องโหว่การเข้ารหัสที่ช่วยให้สามารถโจมตีโปรโตคอลแบบ end-to-end รวมถึงการโจมตีความปลอดภัยในการขนส่ง (TLS) และ Bluetooth (BT)
  • การเข้าถึงข้อมูลประจำตัวที่ละเอียดอ่อนในเครื่องที่ใช้สำหรับการตรวจสอบบริการระยะไกล (เช่น รหัสผ่านบัญชีหรือโทเค็นผู้ถือ)
  • การเรียกใช้รหัสตามอำเภอใจในบริบทที่มีสิทธิพิเศษ, ห่วงโซ่ bootloader, THB หรือ OS Kernel
  • บายพาสการบูตที่ปลอดภัยในเครื่อง
  • บายพาสล็อคหน้าจอ
  • ข้ามข้อกำหนดการโต้ตอบของผู้ใช้ในพื้นที่สำหรับการตั้งค่านักพัฒนาหลัก ความปลอดภัย หรือความเป็นส่วนตัว
  • ข้ามข้อกำหนดการโต้ตอบของผู้ใช้ในเครื่องในการติดตั้งแพ็คเกจหรือพฤติกรรมที่เทียบเท่า
  • การปฏิเสธบริการถาวรในเครื่อง (ถาวร ต้องรีเฟรชระบบปฏิบัติการทั้งหมด หรือรีเซ็ตเป็นค่าจากโรงงาน)
  • การเข้าถึงข้อมูลที่ได้รับการป้องกันจากระยะไกล (นั่นคือ ข้อมูลที่จำกัดเฉพาะบริบทที่มีสิทธิพิเศษ)
  • การเรียกใช้โค้ดโดยพลการจากระยะไกลในบริบทที่ไม่ได้รับสิทธิ์
  • การป้องกันการเข้าถึงบริการเซลลูลาร์หรือ Wi-Fi จากระยะไกลโดยที่ผู้ใช้ไม่มีการโต้ตอบ (เช่น การขัดข้องของบริการวิทยุเซลลูลาร์ด้วยแพ็กเก็ตที่มีรูปแบบไม่ถูกต้อง)
  • ข้ามข้อกำหนดการโต้ตอบของผู้ใช้จากระยะไกล (การเข้าถึงฟังก์ชันหรือข้อมูลที่ควรต้องมีการเริ่มต้นผู้ใช้หรือการอนุญาตจากผู้ใช้)
  • เป้าหมายการป้องกันการเข้าถึงบริการฉุกเฉิน
  • การส่งข้อมูลที่ละเอียดอ่อนผ่านโปรโตคอลเครือข่ายที่ไม่ปลอดภัย (เช่น HTTP และบลูทูธที่ไม่ได้เข้ารหัส) เมื่อผู้ขอคาดหวังการรับส่งข้อมูลที่ปลอดภัย โปรดทราบว่าสิ่งนี้ใช้ไม่ได้กับการเข้ารหัส Wi-Fi (เช่น WEP)
  • การเข้าถึงข้อมูลที่รักษาความปลอดภัยโดย TEE โดยไม่ได้รับอนุญาต รวมถึงการเข้าถึงที่เปิดใช้งานโดยคีย์ที่ไม่รัดกุมใน TEE
ปานกลาง
  • บายพาสทั่วไปสำหรับการป้องกันในเชิงลึกหรือใช้ประโยชน์จากเทคโนโลยีบรรเทาผลกระทบในบริบทที่มีสิทธิพิเศษ THB หรือ OS Kernel
  • บายพาสทั่วไปสำหรับการปกป้องระบบปฏิบัติการที่เปิดเผยสถานะกระบวนการหรือข้อมูลเมตาทั่วทั้งแอป ผู้ใช้ หรือขอบเขตของโปรไฟล์
  • ข้ามการเข้ารหัส Wi-Fi หรือการตรวจสอบสิทธิ์
  • ช่องโหว่ในการเข้ารหัสในพื้นฐานการเข้ารหัสลับมาตรฐานที่ช่วยให้การรั่วไหลของข้อความธรรมดา (ไม่ใช่พื้นฐานที่ใช้ใน TLS)
  • การเข้าถึงข้อมูลที่ได้รับการป้องกันในเครื่อง (นั่นคือ ข้อมูลที่จำกัดเฉพาะบริบทที่มีสิทธิพิเศษ)
  • การเรียกใช้รหัสตามอำเภอใจในบริบทที่ไม่ได้รับสิทธิ์
  • การข้ามข้อกำหนดการโต้ตอบของผู้ใช้ในเครื่อง (การเข้าถึงฟังก์ชันหรือข้อมูลที่ปกติจะต้องมีการเริ่มต้นผู้ใช้หรือการอนุญาตจากผู้ใช้)
  • การเข้าถึงข้อมูลที่ไม่มีการป้องกันจากระยะไกล (นั่นคือ ข้อมูลปกติที่เข้าถึงได้จากแอปที่ติดตั้งในเครื่อง)
  • การเรียกใช้โค้ดโดยพลการจากระยะไกลในบริบทที่มีข้อจำกัด
  • การปฏิเสธบริการอุปกรณ์ชั่วคราวระยะไกล (แฮงค์หรือรีบูตจากระยะไกล)
ต่ำ
  • บายพาสทั่วไปสำหรับการป้องกันระดับผู้ใช้ในเชิงลึกหรือใช้ประโยชน์จากเทคโนโลยีบรรเทาผลกระทบในบริบทที่ไม่ได้รับสิทธิพิเศษ
  • เลี่ยงการอนุญาต ระดับการป้องกัน
  • ช่องโหว่การเข้ารหัสในการใช้งานที่ไม่ได้มาตรฐาน
  • บายพาสทั่วไปของคุณสมบัติการตั้งค่าส่วนบุคคลในอุปกรณ์ เช่น Voice Match หรือ Face Match
  • เอกสารที่ไม่ถูกต้องที่อาจนำไปสู่ช่องโหว่ด้านความปลอดภัย
  • การเรียกใช้โค้ดตามอำเภอใจในบริบทที่มีข้อจำกัด
  • ข้อความที่กำหนดโดยระบบซึ่งมีคำอธิบายที่ทำให้เข้าใจผิดซึ่งสร้างความคาดหวังด้านความปลอดภัยที่ผิดพลาด
ผลกระทบด้านความปลอดภัยเล็กน้อย (NSI​)
  • ช่องโหว่ที่ผลกระทบได้รับการบรรเทาโดยตัวแก้ไขการจัดอันดับอย่างน้อยหนึ่งรายการหรือการเปลี่ยนแปลงสถาปัตยกรรมเฉพาะรุ่นเพื่อให้ความรุนแรงที่มีประสิทธิภาพต่ำกว่าต่ำ แม้ว่าปัญหารหัสพื้นฐานอาจยังคงอยู่
  • ช่องโหว่ใดๆ ที่ต้องใช้ระบบไฟล์ที่มีรูปแบบไม่ถูกต้อง หากระบบไฟล์นั้นถูก นำไปใช้/เข้ารหัส ก่อนใช้งานเสมอ

ตัวแก้ไขการให้คะแนน

แม้ว่าระดับความรุนแรงของช่องโหว่ด้านความปลอดภัยมักจะระบุได้ง่าย แต่การให้คะแนนอาจเปลี่ยนแปลงไปตามสถานการณ์

เหตุผล ผล
ต้องเรียกใช้เป็นบริบทที่มีสิทธิพิเศษเพื่อดำเนินการโจมตี (ใช้ไม่ได้กับ TEE, SE และไฮเปอร์ไวเซอร์ เช่น pKVM) -1 ความรุนแรง
รายละเอียดเฉพาะช่องโหว่จำกัดผลกระทบของปัญหา -1 ความรุนแรง
บายพาสการตรวจสอบไบโอเมตริกซ์ที่ต้องการข้อมูลไบโอเมตริกซ์โดยตรงจากเจ้าของอุปกรณ์ -1 ความรุนแรง
การกำหนดค่าคอมไพเลอร์หรือแพลตฟอร์มช่วยลดช่องโหว่ในซอร์สโค้ด ความรุนแรงปานกลางหากช่องโหว่ที่แฝงอยู่อยู่ในระดับปานกลางหรือสูงกว่า
ต้องมีการเข้าถึงทางกายภาพของอุปกรณ์ภายในและยังคงเป็นไปได้หากอุปกรณ์ปิดอยู่หรือไม่ได้ปลดล็อกตั้งแต่เปิดเครื่อง -1 ความรุนแรง
ต้องมีการเข้าถึงทางกายภาพของอุปกรณ์ภายในในขณะที่อุปกรณ์เปิดอยู่และได้รับการปลดล็อคก่อนหน้านี้ -2 ความรุนแรง
การโจมตีในพื้นที่ที่ต้องการปลดล็อกโซ่ bootloader ไม่สูงกว่าต่ำ
การโจมตีในเครื่องที่ต้องใช้โหมดนักพัฒนาซอฟต์แวร์หรือการตั้งค่าโหมดนักพัฒนาซอฟต์แวร์แบบถาวรเพื่อเปิดใช้งานบนอุปกรณ์ในปัจจุบัน (และไม่ใช่ข้อบกพร่องในโหมดนักพัฒนาซอฟต์แวร์เอง) ไม่สูงกว่าต่ำ
หากไม่มีโดเมน SELinux ใดที่สามารถดำเนินการภายใต้ SEPolicy . ที่ Google จัดหาให้ ผลกระทบด้านความปลอดภัยเล็กน้อย

Local กับ Proximal กับ Remote

เวกเตอร์การโจมตีจากระยะไกลบ่งชี้ว่าจุดบกพร่องสามารถใช้ประโยชน์ได้โดยไม่ต้องติดตั้งแอปหรือไม่มีการเข้าถึงอุปกรณ์ทางกายภาพ ซึ่งรวมถึงข้อบกพร่องที่สามารถเรียกใช้งานได้จากการเรียกดูหน้าเว็บ อ่านอีเมล รับข้อความ SMS หรือการเชื่อมต่อกับเครือข่ายที่ไม่เป็นมิตร เพื่อจุดประสงค์ในการให้คะแนนความรุนแรง เรายังถือว่าเวกเตอร์การโจมตี "ใกล้เคียง" เป็นระยะไกล ซึ่งรวมถึงบั๊กที่โจมตีได้โดยผู้โจมตีที่อยู่ใกล้อุปกรณ์เป้าหมายเท่านั้น เช่น บั๊กที่ต้องส่งแพ็กเก็ต Wi-Fi หรือบลูทูธที่มีรูปแบบไม่ถูกต้อง เราถือว่าการโจมตีแบบ Ultra-wideband (UWB) และ NFC นั้นใกล้เคียงกันและมาจากระยะไกล

การโจมตีในพื้นที่ต้องการให้เหยื่อเรียกใช้แอป ไม่ว่าจะโดยการติดตั้งและเรียกใช้แอป หรือโดยการยินยอมให้เรียกใช้ Instant App อุปกรณ์คู่หูที่จับคู่จะถือเป็นอุปกรณ์ในเครื่อง เพื่อจุดประสงค์ในการจัดระดับความรุนแรง ทีมรักษาความปลอดภัยของ Android ยังถือว่าเวกเตอร์การโจมตีทางกายภาพเป็นการโจมตีในเครื่อง ซึ่งรวมถึงจุดบกพร่องที่สามารถใช้ประโยชน์ได้โดยผู้โจมตีที่มีการเข้าถึงอุปกรณ์ทางกายภาพเท่านั้น เช่น จุดบกพร่องในหน้าจอล็อกหรือข้อบกพร่องที่ต้องเสียบสาย USB

ความปลอดภัยของเครือข่าย

Android ถือว่าเครือข่ายทั้งหมดเป็นศัตรูและสามารถโจมตีหรือสอดแนมการรับส่งข้อมูลได้ แม้ว่าการรักษาความปลอดภัยชั้นลิงก์ (เช่น การเข้ารหัส Wi-Fi) จะรักษาความปลอดภัยในการสื่อสารระหว่างอุปกรณ์กับจุดเชื่อมต่อที่เชื่อมต่ออยู่ แต่ก็ไม่ได้ทำอะไรเพื่อรักษาความปลอดภัยให้กับลิงก์ที่เหลืออยู่ในสายโซ่ระหว่างอุปกรณ์กับเซิร์ฟเวอร์ที่สื่อสารด้วย

ในทางกลับกัน โดยทั่วไปแล้ว HTTPS จะปกป้องการสื่อสารทั้งหมดตั้งแต่ต้นจนจบ โดยเข้ารหัสข้อมูลที่ต้นทาง จากนั้นถอดรหัสและยืนยันข้อมูลเมื่อถึงปลายทางสุดท้ายเท่านั้น ด้วยเหตุนี้ ช่องโหว่ที่กระทบต่อการรักษาความปลอดภัยเครือข่ายเลเยอร์ลิงก์จึงได้รับการจัดอันดับที่มีความรุนแรงน้อยกว่าช่องโหว่ใน HTTPS/TLS: การเข้ารหัส Wi-Fi เพียงอย่างเดียวไม่เพียงพอสำหรับการสื่อสารส่วนใหญ่บนอินเทอร์เน็ต

การตรวจสอบไบโอเมตริกซ์

การตรวจสอบความถูกต้องด้วยไบโอเมตริกซ์เป็นพื้นที่ที่ท้าทาย และแม้แต่ระบบที่ดีที่สุดก็อาจถูกหลอกโดยการจับคู่ที่ใกล้เคียง (ดู บล็อกนักพัฒนา Android: หน้าจอล็อกและการปรับปรุงการตรวจสอบสิทธิ์ใน Android 11 ) ระดับความรุนแรงเหล่านี้แยกแยะระหว่างการโจมตีสองประเภทและมีวัตถุประสงค์เพื่อสะท้อนความเสี่ยงที่แท้จริงต่อผู้ใช้ปลายทาง

การโจมตีระดับเฟิร์สคลาสช่วยให้สามารถเลี่ยงการพิสูจน์ตัวตนไบโอเมตริกซ์ในลักษณะทั่วไปได้ โดยไม่มีข้อมูลไบโอเมตริกคุณภาพสูงจากเจ้าของ ตัวอย่างเช่น หากผู้โจมตีสามารถวางหมากฝรั่งไว้บนเซ็นเซอร์ลายนิ้วมือ และอนุญาตให้เข้าถึงอุปกรณ์โดยอิงจากสารตกค้างที่หลงเหลืออยู่บนเซ็นเซอร์ นั่นเป็นการโจมตีง่ายๆ ที่สามารถทำได้บนอุปกรณ์ที่เสี่ยงภัย ไม่ต้องการความรู้ใด ๆ ของเจ้าของอุปกรณ์ เนื่องจากเป็นแบบทั่วไปและอาจส่งผลกระทบกับผู้ใช้จำนวนมากขึ้น การโจมตีนี้จึงได้รับระดับความรุนแรงเต็มที่ (เช่น สูง สำหรับการเลี่ยงผ่านหน้าจอล็อก)

การโจมตีประเภทอื่นโดยทั่วไปเกี่ยวข้องกับเครื่องมือโจมตีการนำเสนอ (การปลอมแปลง) ตามเจ้าของอุปกรณ์ บางครั้งข้อมูลไบโอเมตริกซ์นี้ค่อนข้างง่ายที่จะได้รับ (เช่น หากรูปโปรไฟล์ของใครบางคนบนโซเชียลมีเดียเพียงพอที่จะหลอกการตรวจสอบไบโอเมตริกซ์ การบายพาสไบโอเมตริกซ์ก็จะได้รับคะแนนความรุนแรงเต็มที่) แต่ถ้าผู้โจมตีจำเป็นต้องได้รับข้อมูลไบโอเมตริกซ์โดยตรงจากเจ้าของอุปกรณ์ (เช่น การสแกนใบหน้าด้วยอินฟราเรด) นั่นเป็นอุปสรรคสำคัญที่จำกัดจำนวนผู้ที่ได้รับผลกระทบจากการโจมตี จึงมีตัวแก้ไข -1 .

SYSTEM_ALERT_WINDOW และ Tapjacking

สำหรับข้อมูลเกี่ยวกับนโยบายของเราเกี่ยวกับ SYSTEM_ALERT_WINDOW และ tapjacking โปรดดูที่ส่วน " ช่องโหว่ของ Tapjacking/overlay SYSTEM_ALERT_WINDOW บนหน้าจอที่ไม่สำคัญต่อความปลอดภัย " ของหน้า Bugs ของ BugHunter University ที่ไม่มีผลกระทบด้านความปลอดภัย

ส่วนประกอบที่ได้รับผลกระทบ

ทีมพัฒนาที่รับผิดชอบในการแก้ไขข้อผิดพลาดนั้นขึ้นอยู่กับองค์ประกอบที่มีจุดบกพร่อง อาจเป็นองค์ประกอบหลักของแพลตฟอร์ม Android, ไดรเวอร์เคอร์เนลที่จัดหาโดยผู้ผลิตอุปกรณ์ดั้งเดิม (OEM) หรือหนึ่งในแอพที่โหลดไว้ล่วงหน้าในอุปกรณ์ Pixel .

ข้อบกพร่องในโค้ด AOSP ได้รับการแก้ไขโดยทีมวิศวกร Android ข้อบกพร่องที่มีความรุนแรงต่ำ ข้อบกพร่องในส่วนประกอบบางอย่าง หรือจุดบกพร่องที่เป็นที่รู้จักต่อสาธารณะแล้วอาจได้รับการแก้ไขโดยตรงในสาขาหลัก AOSP ที่เผยแพร่ต่อสาธารณะ มิฉะนั้นจะได้รับการแก้ไขในที่เก็บภายในของเราก่อน

องค์ประกอบนี้ยังเป็นปัจจัยในการรับการอัปเดตของผู้ใช้อีกด้วย ข้อบกพร่องในเฟรมเวิร์กหรือเคอร์เนลต้องมีการอัปเดตเฟิร์มแวร์แบบ over-the-air (OTA) ที่ OEM แต่ละรายจำเป็นต้องผลักดัน สามารถส่งข้อบกพร่องในแอปหรือไลบรารีที่เผยแพร่ใน Google Play (เช่น Gmail, Google Play Services หรือ WebView) ไปยังผู้ใช้ Android เป็นการอัปเดตจาก Google Play

แจ้งพันธมิตร

เมื่อจุดอ่อนด้านความปลอดภัยใน AOSP ได้รับการแก้ไขในกระดานข่าวความปลอดภัยของ Android เราจะแจ้งให้พันธมิตร Android ทราบถึงรายละเอียดปัญหาและจัดเตรียมโปรแกรมแก้ไข รายการเวอร์ชันที่รองรับ backport จะเปลี่ยนไปตามรุ่น Android ใหม่แต่ละรุ่น ติดต่อผู้ผลิตอุปกรณ์ของคุณสำหรับรายการอุปกรณ์ที่รองรับ

ปล่อยรหัสไปที่ AOSP

หากจุดบกพร่องด้านความปลอดภัยอยู่ในองค์ประกอบ AOSP การแก้ไขจะถูกส่งไปยัง AOSP หลังจากเผยแพร่ OTA ให้กับผู้ใช้ การแก้ไขปัญหาที่มีความรุนแรงต่ำอาจส่งโดยตรงไปยังสาขาหลัก AOSP ก่อนที่จะมีการแก้ไขสำหรับอุปกรณ์ผ่าน OTA

กำลังรับการอัปเดต Android

โดยทั่วไป การอัปเดตระบบ Android จะถูกส่งไปยังอุปกรณ์ผ่านแพ็คเกจการอัปเดต OTA การอัปเดตเหล่านี้อาจมาจาก OEM ที่ผลิตอุปกรณ์หรือผู้ให้บริการที่ให้บริการอุปกรณ์ การอัปเดตอุปกรณ์ Google Pixel มาจากทีม Google Pixel หลังจากผ่านขั้นตอนการทดสอบการยอมรับทางเทคนิคของผู้ให้บริการ (TA) Google ยังเผยแพร่ ภาพโรงงาน Pixel ที่สามารถโหลดด้านข้างไปยังอุปกรณ์ได้

กำลังอัปเดตบริการของ Google

นอกเหนือจากการจัดหาแพตช์สำหรับจุดบกพร่องด้านความปลอดภัยแล้ว ทีมรักษาความปลอดภัยของ Android ยังตรวจสอบจุดบกพร่องด้านความปลอดภัยเพื่อพิจารณาว่ามีวิธีอื่นในการปกป้องผู้ใช้หรือไม่ ตัวอย่างเช่น Google Play จะสแกนแอปทั้งหมดและลบแอปที่พยายามใช้ประโยชน์จากจุดบกพร่องด้านความปลอดภัย สำหรับแอปที่ติดตั้งจากภายนอก Google Play อุปกรณ์ที่มีบริการ Google Play อาจใช้คุณลักษณะ ยืนยันแอป เพื่อเตือนผู้ใช้เกี่ยวกับแอปที่อาจเป็นอันตราย

แหล่งข้อมูลอื่นๆ

ข้อมูลสำหรับนักพัฒนาแอป Android: https://developer.android.com

ข้อมูลความปลอดภัยมีอยู่ทั่วทั้งไซต์ Android โอเพ่นซอร์สและนักพัฒนา จุดเริ่มต้นที่ดี:

รายงาน

บางครั้งทีมความปลอดภัยของ Android จะเผยแพร่รายงานหรือเอกสารรายงาน ดู รายงานความปลอดภัย สำหรับรายละเอียดเพิ่มเติม