Android 7.0 中的安全增強功能

每個 Android 版本都包含數十項安全增強功能以保護用戶。以下是 Android 7.0 中提供的一些主要安全增強功能:

  • 基於文件的加密。在文件級別加密,而不是將整個存儲區域作為單個單元進行加密,可以更好地隔離和保護設備上的個人用戶和配置文件(例如個人和工作)。
  • 直接啟動。通過基於文件的加密啟用,Direct Boot 允許某些應用程序(例如鬧鐘和輔助功能)在設備開機但未解鎖時運行。
  • 驗證啟動。現在嚴格執行驗證啟動,以防止受損設備啟動;它支持糾錯以提高針對非惡意數據損壞的可靠性。
  • SELinux .更新的 SELinux 配置和增加的 seccomp 覆蓋範圍進一步鎖定了應用程序沙箱並減少了攻擊面。
  • 庫加載順序隨機化和改進的 ASLR 。增加的隨機性使一些代碼重用攻擊不太可靠。
  • 內核硬化。通過將部分內核內存標記為只讀,限制內核對用戶空間地址的訪問並進一步減少現有的攻擊面,為較新的內核增加了額外的內存保護。
  • APK 簽名方案 v2 .引入了全文件簽名方案,提高了驗證速度並加強了完整性保證。
  • 受信任的 CA 存儲。為了使應用程序更容易控制對其安全網絡流量的訪問,默認情況下,用戶安裝的證書頒發機構和通過設備管理 API 安裝的證書頒發機構不再受針對 API 級別 24+ 的應用程序的信任。此外,所有新的 Android 設備都必須隨附同一個受信任的 CA 商店。
  • 網絡安全配置。通過聲明性配置文件配置網絡安全和 TLS。