O Android fornece um modelo de segurança de várias camadas descrito na Visão geral de segurança do Android . Cada atualização do Android inclui dezenas de aprimoramentos de segurança para proteger os usuários. A seguir estão alguns dos aprimoramentos de segurança introduzidos no Android 4.2:
- Verificação do aplicativo - os usuários podem optar por ativar "Verificar aplicativos" e fazer com que os aplicativos sejam examinados por um verificador de aplicativos antes da instalação. A verificação do aplicativo pode alertar o usuário se ele tentar instalar um aplicativo que pode ser prejudicial; se um aplicativo for especialmente ruim, pode bloquear a instalação.
- Mais controle de SMS premium - o Android fornecerá uma notificação se um aplicativo tentar enviar SMS para um código curto que usa serviços premium que podem causar cobranças adicionais. O usuário pode optar por permitir que o aplicativo envie a mensagem ou bloqueá-la.
- Always-on VPN - A VPN pode ser configurada para que os aplicativos não tenham acesso à rede até que uma conexão VPN seja estabelecida. Isso impede que os aplicativos enviem dados por outras redes.
- Fixação de certificados - as bibliotecas principais do Android agora oferecem suporte à fixação de certificados . Os domínios fixados receberão uma falha de validação de certificado se o certificado não for encadeado a um conjunto de certificados esperados. Isso protege contra possível comprometimento das Autoridades de Certificação.
- Exibição aprimorada de permissões do Android - As permissões foram organizadas em grupos que são mais facilmente compreendidos pelos usuários. Durante a revisão das permissões, o usuário pode clicar na permissão para ver informações mais detalhadas sobre a permissão.
- installd hardening - O daemon
installdnão é executado como usuário root, reduzindo a potencial superfície de ataque para escalonamento de privilégios de root. - Init script hardening - scripts init agora aplicam a semântica
O_NOFOLLOWpara evitar ataques relacionados a links simbólicos. - FORTIFY_SOURCE - Android agora implementa
FORTIFY_SOURCE. Isso é usado por bibliotecas e aplicativos do sistema para evitar corrupção de memória. - Configuração padrão do ContentProvider - os aplicativos direcionados à API de nível 17 terão "exportar" definido como "falso" por padrão para cada provedor de conteúdo , reduzindo a superfície de ataque padrão para aplicativos.
- Criptografia - Modificadas as implementações padrão de SecureRandom e Cipher.RSA para usar OpenSSL. Adicionado suporte SSL Socket para TLSv1.1 e TLSv1.2 usando OpenSSL 1.0.1
- Correções de segurança - Bibliotecas de código aberto atualizadas com correções de segurança incluem WebKit, libpng, OpenSSL e LibXML. O Android 4.2 também inclui correções para vulnerabilidades específicas do Android. As informações sobre essas vulnerabilidades foram fornecidas aos membros da Open Handset Alliance e as correções estão disponíveis no Android Open Source Project. Para melhorar a segurança, alguns dispositivos com versões anteriores do Android também podem incluir essas correções.