Android proporciona un modelo de seguridad de varias capas que se describe en Descripción general de seguridad de Android . Cada actualización de Android incluye docenas de mejoras de seguridad para proteger a los usuarios. Las siguientes son algunas de las mejoras de seguridad introducidas en Android 4.2:
- Verificación de aplicaciones : los usuarios pueden optar por habilitar "Verificar aplicaciones" y hacer que un verificador de aplicaciones evalúe las aplicaciones antes de la instalación. La verificación de aplicaciones puede alertar al usuario si intenta instalar una aplicación que podría ser dañina; si una aplicación es especialmente mala, puede bloquear la instalación.
- Más control de SMS premium : Android proporcionará una notificación si una aplicación intenta enviar SMS a un código corto que usa servicios premium, lo que podría generar cargos adicionales. El usuario puede elegir si permitir que la aplicación envíe el mensaje o bloquearlo.
- VPN siempre activa: la VPN se puede configurar para que las aplicaciones no tengan acceso a la red hasta que se establezca una conexión VPN. Esto evita que las aplicaciones envíen datos a través de otras redes.
- Fijación de certificados : las bibliotecas principales de Android ahora admiten la fijación de certificados . Los dominios anclados recibirán una falla de validación de certificado si el certificado no se encadena a un conjunto de certificados esperados. Esto protege contra un posible compromiso de las autoridades de certificación.
- Visualización mejorada de los permisos de Android : los permisos se han organizado en grupos que los usuarios entienden más fácilmente. Durante la revisión de los permisos, el usuario puede hacer clic en el permiso para ver información más detallada sobre el permiso.
- Refuerzo de installd : el daemon
installdno se ejecuta como usuario root, lo que reduce la superficie de ataque potencial para la escalada de privilegios de root. - Fortalecimiento de la secuencia de comandos de inicio: las secuencias de comandos de inicio ahora aplican la semántica
O_NOFOLLOWpara evitar ataques relacionados con enlaces simbólicos. - FORTIFY_SOURCE : Android ahora implementa
FORTIFY_SOURCE. Esto lo utilizan las bibliotecas del sistema y las aplicaciones para evitar la corrupción de la memoria. - Configuración predeterminada de ContentProvider : las aplicaciones cuyo objetivo es el nivel de API 17 tendrán "exportación" establecida en "falso" de forma predeterminada para cada proveedor de contenido , lo que reduce la superficie de ataque predeterminada para las aplicaciones.
- Criptografía : se modificaron las implementaciones predeterminadas de SecureRandom y Cipher.RSA para usar OpenSSL. Se agregó soporte SSL Socket para TLSv1.1 y TLSv1.2 usando OpenSSL 1.0.1
- Correcciones de seguridad : las bibliotecas de código abierto actualizadas con correcciones de seguridad incluyen WebKit, libpng, OpenSSL y LibXML. Android 4.2 también incluye correcciones para vulnerabilidades específicas de Android. Se ha proporcionado información sobre estas vulnerabilidades a los miembros de Open Handset Alliance y las soluciones están disponibles en Android Open Source Project. Para mejorar la seguridad, algunos dispositivos con versiones anteriores de Android también pueden incluir estas correcciones.