Bản cập nhật bảo mật và tài nguyên

Nhóm bảo mật của Android chịu trách nhiệm quản lý các lỗ hổng bảo mật được phát hiện trong nền tảng Android và nhiều ứng dụng Android cốt lõi đi kèm với thiết bị Android.

Nhóm bảo mật của Android tìm ra các lỗ hổng bảo mật thông qua nghiên cứu nội bộ cũng như phản hồi các lỗi do bên thứ ba báo cáo. Nguồn gây ra lỗi bên ngoài bao gồm các sự cố đã báo cáo thông qua biểu mẫu về lỗ hổng bảo mật, nghiên cứu học thuật đã được công bố và xuất bản trước, công ty bảo trì dự án nguồn mở thượng nguồn, thông báo của các đối tác nhà sản xuất thiết bị của chúng tôi và các vấn đề được công bố công khai trên blog hoặc mạng xã hội.

Báo cáo vấn đề bảo mật

Bất kỳ nhà phát triển, người dùng Android, hoặc nhà nghiên cứu bảo mật nào đều có thể thông báo cho nhóm bảo mật của Android về các vấn đề bảo mật tiềm ẩn thông qua biểu mẫu về lỗ hổng bảo mật.

Lỗi được đánh dấu là có vấn đề bảo mật sẽ không hiển thị ra bên ngoài, nhưng sau cùng có thể vẫn xuất hiện hiển thị sau khi vấn đề được đánh giá hoặc giải quyết. Nếu bạn định gửi bản vá hoặc Bài kiểm tra Bộ kiểm tra tính tương thích (CTS) để giải quyết vấn đề bảo mật, vui lòng đính kèm bản kiểm tra này vào lỗi báo cáo và đợi phản hồi trước khi tải mã lên AOSP.

Phân loại lỗi

Nhiệm vụ đầu tiên khi xử lý một lỗ hổng bảo mật là xác định mức độ nghiêm trọng của lỗi và thành phần nào của Android bị ảnh hưởng. Mức độ nghiêm trọng xác định cách ưu tiên vấn đề, thành phần này sẽ xác định người sửa lỗi, người nhận thông báo và cách triển khai bản sửa lỗi cho người dùng.

Loại bối cảnh

Bảng này trình bày định nghĩa về bối cảnh bảo mật phần cứng và phần mềm. Bối cảnh có thể được xác định theo độ nhạy cảm của dữ liệu mà công cụ này thường xử lý hoặc vùng mà chương trình chạy. Không phải mọi ngữ cảnh bảo mật đều áp dụng cho tất cả hệ thống. Bảng này được sắp xếp theo thứ tự từ ít đến nhiều nhất bí mật về mặt pháp lý.

Loại bối cảnh Định nghĩa kiểu
Ngữ cảnh ràng buộc Một môi trường thực thi bị hạn chế trong đó chỉ có tối thiểu các quyền đã cung cấp.

Ví dụ: các ứng dụng đáng tin cậy xử lý dữ liệu không đáng tin cậy trong một hộp cát môi trường.
Bối cảnh không có đặc quyền Một môi trường thực thi thông thường mà mã không có đặc quyền mong đợi.

Ví dụ: một ứng dụng Android chạy trong miền SELinux có phần tử Thuộc tính untrusted_app_all.
Ngữ cảnh được ưu tiên Một môi trường thực thi đặc quyền có thể có quyền truy cập vào các quyền cấp cao, xử lý nhiều PII của người dùng và/hoặc duy trì tính toàn vẹn của hệ thống.

Ví dụ: một ứng dụng Android có các tính năng bị cấm bởi SELinux untrusted_app hoặc có quyền truy cập vào Quyền privileged|signature.
Nhân hệ điều hành Chức năng:
  • là một phần của kernel
  • chạy trong cùng một ngữ cảnh CPU như nhân hệ điều hành (ví dụ: trình điều khiển thiết bị)
  • có quyền truy cập trực tiếp vào bộ nhớ nhân (ví dụ: các thành phần phần cứng trên thiết bị)
  • có khả năng tải tập lệnh vào một thành phần nhân (ví dụ: eBPF)
  • là một trong số ít dịch vụ người dùng được coi là tương đương với kernel (chẳng hạn như apexd, bpfloader, init, ueventd, và vold).
Cơ sở phần cứng đáng tin cậy (THB) Các thành phần phần cứng rời rạc, thường có trên SoC, cung cấp chức năng thiết yếu vào các trường hợp sử dụng cốt lõi của thiết bị (chẳng hạn như băng tần cơ sở di động, DSP, GPU và công nghệ học máy bộ xử lý).
Chuỗi trình tải khởi động Một thành phần định cấu hình thiết bị khi khởi động, sau đó truyền quyền kiểm soát sang hệ điều hành Android.
Môi trường thực thi đáng tin cậy (TEE) Một thành phần được thiết kế để bảo vệ khỏi cả một nhân hệ điều hành gây hại (ví dụ: TrustZone và các trình điều khiển ảo hoá (chẳng hạn như pKVM) giúp bảo vệ Máy ảo khỏi hệ điều hành nhân hệ điều hành).
Mạng lưới bảo mật / Phần tử bảo mật (SE) Là một thành phần phần cứng tuỳ chọn được thiết kế để bảo vệ khỏi tất cả các thành phần khác trên thiết bị của bạn và bị tấn công thân thể, như được định nghĩa trong Giới thiệu về các phần tử bảo mật.

Trong đó có cả chip Titan-M có trong một số thiết bị Android.

Mức độ nghiêm trọng

Mức độ nghiêm trọng của lỗi thường phản ánh tác hại tiềm ẩn có thể xảy ra nếu lỗi đó đã được khai thác thành công. Hãy sử dụng các tiêu chí sau đây để xác định mức độ nghiêm trọng.

Rating Hậu quả của việc khai thác thành công
Nghiêm trọng
  • Thực thi mã tuỳ ý trong TEE hoặc SE
  • Bỏ qua cơ chế phần mềm được thiết kế để ngăn chặn phần mềm hoặc phần cứng liên quan đến an toàn các thành phần khỏi bị hỏng (ví dụ: các bộ bảo vệ nhiệt)
  • Quyền truy cập từ xa vào thông tin xác thực nhạy cảm dùng để xác thực dịch vụ từ xa (cho ví dụ: mật khẩu của tài khoản hoặc mã thông báo truy cập)
  • Thực thi mã từ xa tuỳ ý trong ngữ cảnh băng tần cơ sở của mạng di động mà không có người dùng tương tác (ví dụ: khai thác lỗi trong dịch vụ vô tuyến di động)
  • Thực thi mã từ xa tuỳ ý trong ngữ cảnh đặc quyền, chuỗi trình tải khởi động, THB hoặc nhân hệ điều hành
  • Bỏ qua từ xa các yêu cầu tương tác của người dùng khi cài đặt gói hoặc các yêu cầu tương đương hành vi
  • Bỏ qua từ xa các yêu cầu về tương tác của người dùng đối với nhà phát triển chính, tính năng bảo mật hoặc chế độ cài đặt quyền riêng tư
  • Từ chối dịch vụ liên tục từ xa (vĩnh viễn, cần cài đặt lại toàn bộ hệ điều hành hoặc đặt lại về trạng thái ban đầu)
  • Bỏ qua quy trình khởi động an toàn từ xa
  • Hoạt động truy cập trái phép vào dữ liệu do SE bảo mật, bao gồm cả quyền truy cập do các khoá yếu trong SE.
Cao
  • Bỏ qua hoàn toàn một tính năng bảo mật cốt lõi (ví dụ: SELinux, FBE, hoặc seccomp)
  • Một đường tránh né chung đối với công nghệ phòng thủ theo chiều sâu hoặc công nghệ giảm thiểu khai thác trong chuỗi trình tải khởi động, TEE hoặc SE
  • Một cách bỏ qua chung cho các biện pháp bảo vệ của hệ điều hành làm lộ bộ nhớ hoặc nội dung tệp trên ranh giới của ứng dụng, người dùng hoặc hồ sơ
  • Các cuộc tấn công vào một SE, dẫn đến việc hạ cấp xuống một phương thức triển khai kém an toàn hơn
  • Chuyển hướng từ chương trình cơ sở kim loại trần bị xâm nhập từ xa (ví dụ: băng tần cơ sở, CP/Bộ xử lý giao tiếp) vào nhân hệ điều hành của Trình xử lý ứng dụng (AP) hoặc bỏ qua cơ chế được thiết kế để tách biệt chương trình cơ sở kim loại trần khỏi nhân AP
  • Bỏ qua tính năng bảo vệ thiết bị/bảo vệ bằng cách đặt lại về trạng thái ban đầu/các hạn chế của nhà mạng
  • Bỏ qua các yêu cầu về hoạt động tương tác của người dùng được bảo mật bằng TEE
  • Lỗ hổng bảo mật mã hoá cho phép tấn công các giao thức hai đầu, bao gồm cả các cuộc tấn công chống lại bảo mật tầng truyền tải (TLS) và Bluetooth (BT).
  • Quyền truy cập cục bộ vào thông tin xác thực nhạy cảm dùng để xác thực dịch vụ từ xa (cho ví dụ: mật khẩu của tài khoản hoặc mã thông báo truy cập)
  • Thực thi mã cục bộ tuỳ ý trong ngữ cảnh đặc quyền, chuỗi trình tải khởi động, THB hoặc nhân hệ điều hành
  • Bỏ qua quy trình khởi động an toàn trên máy
  • Bỏ qua màn hình khoá
  • Các yêu cầu bỏ qua cục bộ đối với hoạt động tương tác của người dùng đối với nhà phát triển chính, tính bảo mật hoặc quyền riêng tư cài đặt
  • Các yêu cầu bỏ qua cục bộ đối với tương tác của người dùng khi cài đặt gói hoặc tương đương hành vi
  • Từ chối dịch vụ liên tục cục bộ (vĩnh viễn, cần cài đặt lại toàn bộ hệ điều hành hoặc đặt lại về trạng thái ban đầu)
  • Quyền truy cập từ xa vào dữ liệu được bảo vệ (tức là dữ liệu chỉ giới hạn ở ngữ cảnh)
  • Thực thi mã tuỳ ý từ xa trong bối cảnh không có đặc quyền
  • Ngăn chặn truy cập từ xa vào dịch vụ di động hoặc Wi-Fi mà không có sự tương tác của người dùng (đối với ví dụ: sự cố dịch vụ vô tuyến di động với một gói không đúng định dạng)
  • Bỏ qua từ xa các yêu cầu tương tác của người dùng (quyền truy cập vào chức năng hoặc dữ liệu phải yêu cầu người dùng khởi tạo hoặc sự cho phép của người dùng)
  • Ngăn chặn truy cập có chủ đích vào các dịch vụ khẩn cấp
  • Truyền thông tin nhạy cảm qua một giao thức mạng không an toàn (ví dụ: HTTP và Bluetooth không được mã hoá) khi người yêu cầu muốn có một đường truyền an toàn. Ghi chú rằng quy tắc này không áp dụng cho mã hoá Wi-Fi (chẳng hạn như WEP)
  • Hoạt động truy cập trái phép vào dữ liệu được TEE bảo mật, bao gồm cả quyền truy cập do các khoá yếu cho phép trong TEE
Trung bình
  • Một đường tránh né chung đối với công nghệ phòng thủ theo chiều sâu hoặc công nghệ giảm thiểu tình trạng khai thác trong một bối cảnh đặc quyền, THB hoặc nhân hệ điều hành
  • Một cách bỏ qua chung cho các biện pháp bảo vệ hệ điều hành để lộ trạng thái xử lý hoặc siêu dữ liệu xuyên suốt ranh giới của ứng dụng, người dùng hoặc hồ sơ
  • Bỏ qua bước mã hoá hoặc xác thực Wi-Fi
  • Lỗ hổng bảo mật trong các dữ liệu mã hoá gốc tiêu chuẩn có thể làm rò rỉ văn bản thuần tuý (không phải dữ liệu gốc được dùng trong TLS)
  • Quyền truy cập cục bộ vào dữ liệu được bảo vệ (tức là dữ liệu chỉ giới hạn trong ngữ cảnh đặc quyền)
  • Thực thi mã cục bộ tuỳ ý trong ngữ cảnh không có đặc quyền
  • Bỏ qua cục bộ các yêu cầu tương tác của người dùng (quyền truy cập vào chức năng hoặc dữ liệu thường sẽ yêu cầu người dùng khởi tạo hoặc sự cho phép của người dùng)
  • Quyền truy cập từ xa vào dữ liệu không được bảo vệ (tức là những dữ liệu thường mà mọi người dùng ứng dụng đã cài đặt)
  • Thực thi mã tuỳ ý từ xa trong ngữ cảnh bị hạn chế
  • Thiết bị từ xa bị từ chối dịch vụ tạm thời (treo hoặc khởi động lại từ xa)
Thấp
  • Một đường tránh né chung đối với công nghệ bảo vệ theo chiều sâu cấp người dùng hoặc công nghệ giảm thiểu hoạt động khai thác trong bối cảnh không có lợi
  • Bỏ qua thông thường mức độ bảo vệ quyền
  • Lỗ hổng bảo mật mã hoá trong trường hợp sử dụng không theo chuẩn
  • Bỏ qua chung các tính năng cá nhân hoá trên thiết bị như Voice Match hoặc Face Match
  • Tài liệu không chính xác có thể dẫn đến lỗ hổng bảo mật
  • Thực thi mã cục bộ tuỳ ý trong ngữ cảnh ràng buộc
  • Văn bản do hệ thống xác định bao gồm phần mô tả gây hiểu lầm để tạo ra một văn bản giả kỳ vọng về mức độ bảo mật
Tác động không đáng tin cậy về bảo mật (NSI)
  • Lỗ hổng bảo mật có tác động đã được giảm thiểu bằng một hoặc nhiều hệ số sửa đổi điểm xếp hạng hoặc thay đổi cấu trúc theo phiên bản cụ thể sao cho mức độ nghiêm trọng hiệu quả dưới Thấp, mặc dù vấn đề cơ bản về mã có thể vẫn còn
  • Bất kỳ lỗ hổng nào đòi hỏi một hệ thống tệp không đúng định dạng, nếu hệ thống tệp đó luôn đã chọn/mã hoá trước khi sử dụng.
  • Từ chối dịch vụ tạm thời trên thiết bị, chẳng hạn như trường hợp có thể giải quyết điều kiện bằng cách khởi động lại thiết bị hoặc gỡ cài đặt ứng dụng kích hoạt.

Công cụ sửa đổi điểm xếp hạng

Mặc dù mức độ nghiêm trọng của lỗ hổng bảo mật thường dễ xác định, nhưng điểm xếp hạng có thể thay đổi dựa trên hoàn cảnh.

Lý do Hiệu ứng
Yêu cầu chạy dưới dạng ngữ cảnh đặc quyền để thực thi cuộc tấn công (không áp dụng cho TEE, SE, và trình điều khiển ảo hoá như pKVM) -1 Mức độ nghiêm trọng
Thông tin chi tiết về lỗ hổng bảo mật cụ thể sẽ giới hạn mức độ ảnh hưởng của vấn đề -1 Mức độ nghiêm trọng
Phương pháp bỏ qua xác thực bằng sinh trắc học đòi hỏi thông tin sinh trắc học trực tiếp từ chủ sở hữu thiết bị -1 Mức độ nghiêm trọng
Cấu hình trình biên dịch hoặc nền tảng giảm thiểu lỗ hổng bảo mật trong mã nguồn Mức độ nghiêm trọng trung bình nếu lỗ hổng bảo mật cơ bản là Trung bình hoặc cao hơn
Yêu cầu truy cập vào bộ phận bên trong thiết bị và vẫn có thể dùng được nếu thiết bị đang tắt hoặc chưa được mở khoá kể từ khi được bật nguồn -1 Mức độ nghiêm trọng
Yêu cầu phải truy cập vào bộ phận bên trong thiết bị khi thiết bị đang bật và trước đó đã đã được mở khoá -2 Mức độ nghiêm trọng
Cuộc tấn công cục bộ yêu cầu bạn phải mở khoá chuỗi trình tải khởi động Không cao hơn Thấp
Cuộc tấn công cục bộ đòi hỏi Chế độ nhà phát triển hoặc bất kỳ chế độ cài đặt liên tục nào cho chế độ nhà phát triển hiện được bật trên thiết bị (và không phải là lỗi trong Chế độ nhà phát triển). Không cao hơn Thấp
Nếu không có miền SELinux nào có thể tiến hành thao tác theo SEPolicy do Google cung cấp Tác động an ninh không đáng kể

Cục bộ, gần và từ xa

Vectơ tấn công từ xa cho biết lỗi có thể bị khai thác mà không cần cài đặt ứng dụng hoặc mà không cần tiếp cận vật lý vào một thiết bị. Điều này bao gồm các lỗi có thể được kích hoạt bằng cách duyệt tới trang web, đọc email, nhận tin nhắn SMS hoặc kết nối với một mạng thù địch.

Vectơ tấn công gần được coi là từ xa. Những lỗi này bao gồm cả những lỗi chỉ có thể khai thác bởi kẻ tấn công ở gần thiết bị mục tiêu (ví dụ: một lỗi yêu cầu đang gửi các gói Wi-Fi hoặc Bluetooth không đúng định dạng. Chúng tôi cân nhắc sử dụng băng tần siêu rộng (UWB) và NFC tấn công gần và từ xa.

Các cuộc tấn công cục bộ yêu cầu kẻ tấn công phải có quyền truy cập trước vào nạn nhân. Trong tình huống giả định ví dụ chỉ về phần mềm, hành vi này có thể là thông qua một ứng dụng độc hại mà nạn nhân đã cài đặt, hoặc Ứng dụng tức thì mà họ có đồng ý chạy.

Vectơ tấn công vật lý được coi là cục bộ. Đó là những lỗi chỉ có thể khai thác kẻ tấn công có quyền truy cập vật lý vào thiết bị, ví dụ như lỗi trên màn hình khoá hoặc yêu cầu cắm cáp USB. Vì thông thường, các thiết bị sẽ được mở khoá khi cắm vào USB, thì các cuộc tấn công yêu cầu kết nối USB đều có mức độ nghiêm trọng như nhau bất kể xem có cần mở khoá thiết bị hay không.

Bảo mật mạng

Android giả định rằng tất cả các mạng đều có tính thù địch và có thể thực hiện các cuộc tấn công hoặc do thám lưu lượng truy cập. Trong khi cơ chế bảo mật lớp liên kết (ví dụ: mã hoá Wi-Fi) bảo mật hoạt động giao tiếp giữa một thiết bị và Điểm truy cập được kết nối với thiết bị đó, công cụ này không làm gì để bảo mật các liên kết còn lại trong chuỗi giữa thiết bị và máy chủ mà thiết bị đang giao tiếp.

Ngược lại, HTTPS thường bảo vệ toàn bộ quá trình giao tiếp hai đầu, mã hoá dữ liệu tại nguồn, sau đó chỉ giải mã và xác minh mã khi đã đến đích cuối cùng. Do đó, các lỗ hổng bảo mật ảnh hưởng đến tính bảo mật của mạng lớp liên kết sẽ được đánh giá thấp hơn nghiêm trọng hơn lỗ hổng bảo mật trong HTTPS/TLS: chỉ mã hoá Wi-Fi là không đủ giao tiếp trên Internet.

Xác thực bằng sinh trắc học

Xác thực bằng sinh trắc học là một không gian đầy thách thức và ngay cả những hệ thống tốt nhất cũng có thể bị đánh lừa bởi gần khớp (xem Blog dành cho nhà phát triển Android: Cải tiến tính năng xác thực và màn hình khoá trong Android 11). Các mức phân loại mức độ nghiêm trọng này phân biệt giữa hai loại tấn công và nhằm rủi ro thực tế cho người dùng cuối.

Loại tấn công thứ nhất cho phép bỏ qua bước xác thực bằng sinh trắc học theo một cách có thể khái quát hoá, mà không có dữ liệu sinh trắc học chất lượng cao từ chủ sở hữu. Ví dụ: nếu kẻ tấn công có thể đặt một miếng kẹo cao su trên cảm biến vân tay rồi cấp quyền truy cập vào thiết bị dựa trên dư lượng còn lại trên cảm biến, thì đó là một cuộc tấn công đơn giản có thể được thực hiện trên bất kỳ thiết bị dễ bị tấn công nào. Nó mà không đòi hỏi chủ sở hữu thiết bị phải biết. Do đó, nó có thể khái quát hoá và có thể ảnh hưởng đến nhiều người dùng hơn, cuộc tấn công này sẽ nhận được mức đánh giá mức độ nghiêm trọng đầy đủ (ví dụ: Cao, đối với lượt bỏ qua Màn hình khoá).

Loại tấn công khác thường liên quan đến công cụ tấn công giả mạo (giả mạo) trên chủ sở hữu thiết bị. Đôi khi thông tin sinh trắc học này tương đối dễ lấy (cho ví dụ: nếu ảnh hồ sơ của một người trên mạng xã hội đủ để đánh lừa xác thực sinh trắc học, thì lượt bỏ qua bằng sinh trắc học sẽ nhận được mức phân loại mức độ nghiêm trọng đầy đủ). Nhưng nếu kẻ tấn công cần để lấy dữ liệu sinh trắc học trực tiếp từ chủ sở hữu thiết bị (ví dụ: quét hồng ngoại của khuôn mặt của họ), đó là một rào cản đáng kể để hạn chế số người bị ảnh hưởng nên có công cụ sửa đổi -1.

SYSTEM_ALERT_WINDOW và Tapjacking

Để biết thông tin về các chính sách của chúng tôi liên quan đến SYSTEM_ALERT_WINDOW và hành vi bẻ khoá, xem thông tin về "Lỗ hổng Tapjacking/lớp phủ SYSTEM_ALERT_WINDOW trên màn hình không quan trọng về bảo mật" thuộc Đại học BugHunter Lỗi không ảnh hưởng đến tính bảo mật .

Bảo mật cho nhiều người dùng trong Android Automotive OS

Android Automotive OS áp dụng mô hình bảo mật nhiều người dùng khác với các kiểu dáng thiết bị khác. Mỗi người dùng Android đều hướng đến một một người. Ví dụ: người dùng khách tạm thời có thể được chỉ định cho một người bạn mượn chiếc xe của chủ sở hữu chiếc xe. Để phù hợp với các trường hợp sử dụng như thế này, theo mặc định, người dùng phải quyền truy cập vào các thành phần cần thiết để sử dụng xe, chẳng hạn như Wi-Fi và mạng di động phần cài đặt.

Thành phần bị ảnh hưởng

Nhóm phát triển chịu trách nhiệm sửa lỗi phụ thuộc vào thành phần của lỗi. Đó có thể là thành phần cốt lõi của nền tảng Android, một trình điều khiển nhân được cung cấp bởi phiên bản gốc nhà sản xuất thiết bị (OEM) hoặc một trong những ứng dụng tải trước trên thiết bị Pixel.

Nhóm kỹ thuật Android đã khắc phục các lỗi trong mã AOSP (Dự án nguồn mở Android). Lỗi có mức độ nghiêm trọng thấp, lỗi trong một số thành phần hoặc lỗi đã biết công khai có thể được khắc phục trực tiếp trong nhánh chính của AOSP (Dự án nguồn mở Android) công khai; nếu không, chúng sẽ được khắc phục trong các kho lưu trữ nội bộ của chúng tôi đầu tiên.

Thành phần này cũng là một yếu tố ảnh hưởng đến cách người dùng nhận được bản cập nhật. Lỗi trong khung hoặc nhân hệ điều hành yêu cầu bản cập nhật chương trình cơ sở qua mạng không dây (OTA) mà mỗi OEM cần đẩy. Lỗi trong ứng dụng hoặc thư viện phát hành trong Google Play (ví dụ: Gmail, Dịch vụ Google Play hoặc WebView) có thể là gửi cho người dùng Android dưới dạng bản cập nhật qua Google Play.

Thông báo cho đối tác

Khi bạn khắc phục một lỗ hổng bảo mật trong AOSP (Dự án nguồn mở Android) trong một Bản tin về bảo mật Android, chúng tôi sẽ thông báo Các đối tác Android chuyên cung cấp thông tin chi tiết về vấn đề và cung cấp bản vá. Danh sách các phiên bản được điều chỉnh cho phiên bản cũ thay đổi với mỗi bản phát hành Android mới. Hãy liên hệ với nhà sản xuất thiết bị của bạn để biết danh sách thiết bị được hỗ trợ.

Phát hành mã cho AOSP (Dự án nguồn mở Android)

Nếu lỗi bảo mật nằm trong một thành phần AOSP (Dự án nguồn mở Android), thì bản sửa lỗi sẽ được chuyển sang AOSP (Dự án nguồn mở Android) sau khi OTA được được phát hành cho người dùng. Bạn có thể gửi trực tiếp các bản sửa lỗi cho các vấn đề mức độ nghiêm trọng thấp đến nền tảng chính của AOSP (Dự án nguồn mở Android) trước khi bản sửa lỗi được cung cấp cho các thiết bị thông qua OTA.

Nhận bản cập nhật Android

Các bản cập nhật cho hệ thống Android thường được phân phối đến các thiết bị thông qua gói cập nhật qua mạng không dây (OTA). Các bản cập nhật này có thể đến từ OEM (Nhà sản xuất thiết bị gốc) sản xuất thiết bị hoặc nhà mạng cung cấp dịch vụ cho thiết bị. Bản cập nhật cho thiết bị Google Pixel do nhóm Google Pixel cung cấp sau khi thông qua quy trình thử nghiệm chấp nhận kỹ thuật của nhà mạng (TA). Google cũng phát hành Hình ảnh gốc trên Pixel có thể cài đặt không qua cửa hàng ứng dụng đến các thiết bị.

Đang cập nhật các dịch vụ của Google

Ngoài việc cung cấp các bản vá cho các lỗi bảo mật, nhóm bảo mật Android còn xem xét vấn đề bảo mật để xác định xem có cách nào khác giúp bảo vệ người dùng hay không. Ví dụ: Google Play quét tất cả và xoá mọi ứng dụng tìm cách khai thác lỗi bảo mật. Đối với các ứng dụng được cài đặt từ ngoài Google Play, các thiết bị có Dịch vụ Google Play cũng có thể sử dụng Tính năng Xác minh ứng dụng để cảnh báo người dùng về các ứng dụng có thể gây hại.

Tài nguyên khác

Thông tin dành cho nhà phát triển ứng dụng Android: https://developer.android.com

Thông tin bảo mật tồn tại trên khắp các trang web dành cho Nhà phát triển và Nguồn mở Android. Tốt nơi để bắt đầu:

Báo cáo

Đôi khi, nhóm Bảo mật Android sẽ xuất bản các báo cáo hoặc sách trắng. Xem Báo cáo bảo mật để biết thêm chi tiết.