Setiap rilis Android menyertakan lusinan peningkatan keamanan untuk melindungi pengguna. Berikut ini adalah beberapa peningkatan keamanan yang tersedia di Android 4.3:
- Sandbox Android diperkuat dengan SELinux. Rilis ini memperkuat sandbox Android menggunakan sistem kontrol akses wajib (MAC) SELinux di kernel Linux. Penguatan SELinux tidak terlihat oleh pengguna dan pengembang, dan menambahkan ketahanan pada model keamanan Android yang ada sambil mempertahankan kompatibilitas dengan aplikasi yang ada. Untuk memastikan kompatibilitas yang berkelanjutan, rilis ini memungkinkan penggunaan SELinux dalam mode permisif. Mode ini mencatat pelanggaran kebijakan apa pun, tetapi tidak akan merusak aplikasi atau memengaruhi perilaku sistem.
- Tidak ada program setuid/setgid. Menambahkan dukungan untuk kemampuan sistem file ke file sistem Android dan menghapus semua program setuid/setguid. Ini mengurangi permukaan serangan root dan kemungkinan kerentanan keamanan potensial.
- Otentikasi ADB. Sejak Android 4.2.2, koneksi ke ADB diautentikasi dengan keypair RSA. Ini mencegah penggunaan ADB yang tidak sah di mana penyerang memiliki akses fisik ke perangkat.
- Batasi Setuid dari Aplikasi Android. Partisi /system sekarang dipasang nosuid untuk proses zygote-spawned, mencegah aplikasi Android menjalankan program setuid. Ini mengurangi permukaan serangan root dan kemungkinan kerentanan keamanan potensial.
- Pembatas kemampuan. Zigot Android dan ADB sekarang menggunakan prctl(PR_CAPBSET_DROP) untuk menghapus kemampuan yang tidak perlu sebelum menjalankan aplikasi. Ini mencegah aplikasi dan aplikasi Android yang diluncurkan dari shell dari memperoleh kemampuan istimewa.
- Penyedia AndroidKeyStore. Android sekarang memiliki penyedia keystore yang memungkinkan aplikasi membuat kunci penggunaan eksklusif. Ini menyediakan aplikasi dengan API untuk membuat atau menyimpan kunci pribadi yang tidak dapat digunakan oleh aplikasi lain.
- KeyChain adalahBoundKeyAlgorithm. Keychain API sekarang menyediakan metode (isBoundKeyType) yang memungkinkan aplikasi mengonfirmasi bahwa kunci di seluruh sistem terikat ke akar kepercayaan perangkat keras untuk perangkat. Ini menyediakan tempat untuk membuat atau menyimpan kunci pribadi yang tidak dapat diekspor dari perangkat, bahkan jika terjadi kompromi root.
- NO_NEW_PRIVS. Zigot Android sekarang menggunakan prctl(PR_SET_NO_NEW_PRIVS) untuk memblokir penambahan hak istimewa baru sebelum mengeksekusi kode aplikasi. Ini mencegah aplikasi Android melakukan operasi yang dapat meningkatkan hak istimewa melalui execve. (Ini membutuhkan kernel Linux versi 3.5 atau lebih tinggi).
- peningkatan FORTIFY_SOURCE. FORTIFY_SOURCE diaktifkan di Android x86 dan MIPS serta panggilan strchr(), strrchr(), strlen(), dan umask() yang diperkuat. Ini dapat mendeteksi potensi kerentanan kerusakan memori atau konstanta string yang tidak dihentikan.
- Perlindungan relokasi. Mengaktifkan relokasi baca saja (relro) untuk executable yang ditautkan secara statis dan menghapus semua relokasi teks dalam kode Android. Ini memberikan pertahanan mendalam terhadap potensi kerentanan korupsi memori.
- EntropyMixer yang ditingkatkan. EntropyMixer sekarang menulis entropi saat shutdown / reboot, selain pencampuran berkala. Ini memungkinkan retensi semua entropi yang dihasilkan saat perangkat dihidupkan, dan sangat berguna untuk perangkat yang di-boot ulang segera setelah penyediaan.
- Perbaikan Keamanan. Android 4.3 juga menyertakan perbaikan untuk kerentanan khusus Android. Informasi tentang kerentanan ini telah diberikan kepada anggota Open Handset Alliance dan perbaikannya tersedia di Android Open Source Project. Untuk meningkatkan keamanan, beberapa perangkat dengan versi Android yang lebih lama mungkin juga menyertakan perbaikan ini.