Android 提供了Android 安全概述中描述的多層安全模型。 Android 的每次更新都包含數十項安全增強功能,以保護用戶。以下是 Android 4.2 中引入的一些安全增強功能:
- 應用程序驗證- 用戶可以選擇啟用“驗證應用程序”並在安裝之前讓應用程序驗證者篩選應用程序。應用程序驗證可以在用戶嘗試安裝可能有害的應用程序時提醒用戶;如果應用程序特別糟糕,它可以阻止安裝。
- 對高級 SMS 的更多控制- 如果應用程序嘗試將 SMS 發送到使用高級服務的短代碼,Android 將提供通知,這可能會導致額外費用。用戶可以選擇是允許應用程序發送消息還是阻止它。
- 永遠在線的 VPN - 可以配置 VPN,以便應用程序在建立 VPN 連接之前無法訪問網絡。這可以防止應用程序通過其他網絡發送數據。
- 證書固定- Android 核心庫現在支持證書固定。如果證書未鏈接到一組預期證書,則固定域將收到證書驗證失敗。這可以防止證書頒發機構受到可能的損害。
- 改進的 Android 權限顯示- 權限已組織成更易於用戶理解的組。在查看權限時,用戶可以點擊該權限,查看該權限的更多詳細信息。
- installd 強化-
installd守護程序不以 root 用戶身份運行,從而減少了 root 權限升級的潛在攻擊面。 - 初始化腳本強化- 初始化腳本現在應用
O_NOFOLLOW語義來防止與符號鏈接相關的攻擊。 - FORTIFY_SOURCE - Android 現在實現
FORTIFY_SOURCE。系統庫和應用程序使用它來防止內存損壞。 - ContentProvider 默認配置- 以 API 級別 17 為目標的應用程序將默認將每個Content Provider的“export”設置為“false”,從而減少應用程序的默認攻擊面。
- Cryptography - 修改 SecureRandom 和 Cipher.RSA 的默認實現以使用 OpenSSL。使用 OpenSSL 1.0.1 添加了對 TLSv1.1 和 TLSv1.2 的 SSL 套接字支持
- 安全修復- 帶有安全修復的升級開源庫包括 WebKit、libpng、OpenSSL 和 LibXML。 Android 4.2 還包括針對 Android 特定漏洞的修復。有關這些漏洞的信息已提供給開放手機聯盟成員,Android 開源項目中提供了修復程序。為提高安全性,一些裝有較早版本 Android 的設備也可能包含這些修復程序。