Android 5.0 中的安全增強功能

每個 Android 版本都包含數十項安全增強功能以保護用戶。以下是 Android 5.0 中提供的一些主要安全增強功能:

  • 默認加密。在附帶 L 開箱即用的設備上,默認情況下會啟用全盤加密,以提高對丟失或被盜設備上數據的保護。更新到 L 的設備可以在Settings > Security中加密。
  • 改進了全盤加密。使用scrypt保護用戶密碼免受暴力攻擊,並且在可用的情況下,將密鑰綁定到硬件密鑰庫以防止設備外攻擊。與往常一樣,Android 屏幕鎖定密碼和設備加密密鑰不會從設備發送出去或暴露給任何應用程序。
  • 使用 SELinux 增強的 Android 沙箱。 Android 現在要求所有域的 SELinux 處於強制模式。 SELinux 是 Linux 內核中的強制訪問控制 (MAC) 系統,用於增強現有的自主訪問控制 (DAC) 安全模型。這一新層提供了針對潛在安全漏洞的額外保護。
  • 智能鎖。 Android 現在包括為解鎖設備提供更多靈活性的 trustlet。例如,trustlet 可以允許設備在靠近另一個受信任設備(通過 NFC、藍牙)或被具有受信任面孔的人使用時自動解鎖。
  • 適用於手機和平板電腦的多用戶、受限個人資料和訪客模式。 Android 現在為手機上的多個用戶提供了一個訪客模式,該模式可用於提供對您的設備的輕鬆臨時訪問,而無需授予對您的數據和應用程序的訪問權限。
  • 在沒有 OTA 的情況下更新到 WebView。 WebView 現在可以獨立於框架進行更新,無需系統 OTA。這將允許更快地響應 WebView 中的潛在安全問題。
  • 更新了 HTTPS 和 TLS/SSL 的加密。現在啟用 TLSv1.2 和 TLSv1.1,現在首選前向保密,現在啟用 AES-GCM,並且現在禁用弱密碼套件(MD5、3DES 和導出密碼套件)。有關更多詳細信息,請參閱https://developer.android.com/reference/javax/net/ssl/SSLSocket.html
  • 非 PIE 鏈接器支持已刪除。 Android 現在要求所有動態鏈接的可執行文件都支持 PIE(與位置無關的可執行文件)。這增強了 Android 的地址空間佈局隨機化 (ASLR) 實現。
  • FORTIFY_SOURCE 改進。以下 libc 函數現在實現 FORTIFY_SOURCE 保護: stpcpy()stpncpy()read()recvfrom()FD_CLR()FD_SET()FD_ISSET() 。這提供了針對涉及這些功能的內存損壞漏洞的保護。
  • 安全修復。 Android 5.0 還包括針對 Android 特定漏洞的修復。有關這些漏洞的信息已提供給開放手機聯盟成員,Android 開源項目中提供了修復程序。為提高安全性,一些裝有較早版本 Android 的設備也可能包含這些修復程序。