تحسينات أمنية

يعمل Android باستمرار على تحسين قدراته وعروضه الأمنية. راجع قوائم التحسينات حسب الإصدار في شريط التنقل الأيمن.

أندرويد 14

يتضمن كل إصدار من إصدارات Android العشرات من التحسينات الأمنية لحماية المستخدمين. فيما يلي بعض التحسينات الأمنية الرئيسية المتوفرة في Android 14:

  • إن AddressSanitizer المدعوم بالأجهزة (HWASan)، الذي تم تقديمه في Android 10، عبارة عن أداة للكشف عن أخطاء الذاكرة مشابهة لـ AddressSanitizer . يقدم Android 14 تحسينات كبيرة على HWASan. تعرف على كيفية المساعدة في منع ظهور الأخطاء في إصدارات Android، HWAddressSanitizer
  • في Android 14، بدءًا من التطبيقات التي تشارك بيانات الموقع مع جهات خارجية، يتضمن مربع حوار إذن وقت تشغيل النظام الآن قسمًا قابلاً للنقر يسلط الضوء على ممارسات مشاركة البيانات الخاصة بالتطبيق، بما في ذلك معلومات مثل السبب الذي قد يجعل التطبيق يقرر مشاركة البيانات مع جهات خارجية .
  • قدم Android 12 خيارًا لتعطيل دعم 2G على مستوى المودم، مما يحمي المستخدمين من المخاطر الأمنية الكامنة من نموذج الأمان القديم لـ 2G. وإدراكًا لمدى أهمية تعطيل 2G لعملاء المؤسسات، يعمل Android 14 على تمكين ميزة الأمان هذه في Android Enterprise، حيث يقدم الدعم لمسؤولي تكنولوجيا المعلومات لتقييد قدرة الجهاز المُدار على الرجوع إلى اتصال 2G .
  • تمت إضافة دعم لرفض الاتصالات الخلوية المشفرة، مما يضمن تشفير حركة مرور الصوت والرسائل النصية القصيرة عبر الدوائر وحمايتها دائمًا من الاعتراض السلبي عبر الهواء. تعرف على المزيد حول برنامج Android لتقوية الاتصال الخلوي .
  • تمت إضافة دعم لعدة IMEIs
  • منذ إصدار Android 14، أصبح AES-HCTR2 هو الوضع المفضل لتشفير أسماء الملفات للأجهزة التي تحتوي على تعليمات تشفير سريعة.
  • الاتصال الخلوي
  • تمت إضافة الوثائق لمركز أمان Android
  • إذا كان تطبيقك يستهدف Android 14 ويستخدم التحميل الديناميكي للتعليمات البرمجية (DCL)، فيجب وضع علامة على جميع الملفات المحملة ديناميكيًا على أنها للقراءة فقط. وإلا فإن النظام يطرح استثناء. نوصي بأن تتجنب التطبيقات تحميل التعليمات البرمجية ديناميكيًا كلما أمكن ذلك، لأن القيام بذلك يزيد بشكل كبير من خطر تعرض التطبيق للخطر عن طريق حقن التعليمات البرمجية أو العبث بها.

تحقق من ملاحظات إصدار AOSP الكاملة وقائمة ميزات وتغييرات Android Developer.

أندرويد 13

يتضمن كل إصدار من إصدارات Android العشرات من التحسينات الأمنية لحماية المستخدمين. فيما يلي بعض التحسينات الأمنية الرئيسية المتوفرة في Android 13:

  • يضيف Android 13 دعم العرض التقديمي متعدد المستندات. تمكن واجهة جلسة العرض التقديمية الجديدة هذه التطبيق من تقديم عرض تقديمي متعدد المستندات، وهو أمر غير ممكن مع واجهة برمجة التطبيقات الحالية. لمزيد من المعلومات، راجع بيانات اعتماد الهوية
  • في Android 13، يتم تسليم الأغراض الناشئة من تطبيقات خارجية إلى مكون مُصدَّر إذا وفقط إذا تطابقت الأغراض مع عناصر تصفية الأغراض المعلنة.
  • Open Mobile API (OMAPI) هي واجهة برمجة تطبيقات قياسية تُستخدم للتواصل مع العنصر الآمن بالجهاز. قبل Android 13، كانت التطبيقات ووحدات إطار العمل فقط هي التي يمكنها الوصول إلى هذه الواجهة. ومن خلال تحويلها إلى واجهة مستقرة للبائع، تكون وحدات HAL قادرة أيضًا على التواصل مع العناصر الآمنة من خلال خدمة OMAPI. لمزيد من المعلومات، راجع واجهة OMAPI Vendor Stable .
  • اعتبارًا من Android 13-QPR، تم إهمال المعرفات الفريدة (UID) المشتركة. يجب على مستخدمي Android 13 أو الإصدارات الأحدث وضع السطر `android:sharedUserMaxSdkVersion="32"` في ملف البيان الخاص بهم. يمنع هذا الإدخال المستخدمين الجدد من الحصول على UID مشترك. لمزيد من المعلومات حول UIDs، راجع توقيع التطبيق .
  • أضاف Android 13 دعمًا لأساسيات التشفير المتماثل في Keystore مثل AES (معيار التشفير المتقدم)، وHMAC (رمز مصادقة رسالة Keyed-Hash)، وخوارزميات التشفير غير المتماثلة (بما في ذلك Elliptic Curve وRSA2048 وRSA4096 وCurve 25519).
  • يدعم Android 13 (مستوى API 33) والإصدارات الأحدث إذن التشغيل لإرسال إشعارات غير معفاة من أحد التطبيقات . وهذا يمنح المستخدمين التحكم في إشعارات الأذونات التي يرونها.
  • تمت إضافة مطالبة لكل استخدام للتطبيقات التي تطلب الوصول إلى جميع سجلات الجهاز ، مما يمنح المستخدمين القدرة على السماح بالوصول أو رفضه.
  • قدمت Android Virtualization Framework (AVF) ، الذي يجمع برامج Hypervisor المختلفة تحت إطار عمل واحد باستخدام واجهات برمجة التطبيقات القياسية. يوفر بيئات تنفيذ آمنة وخاصة لتنفيذ أعباء العمل المعزولة بواسطة برنامج Hypervisor.
  • تم تقديم نظام توقيع APK v3.1 ستستخدم جميع عمليات تدوير المفاتيح الجديدة التي تستخدم apksigner نظام توقيع v3.1 افتراضيًا لاستهداف التدوير لنظام Android 13 والإصدارات الأحدث.

تحقق من ملاحظات إصدار AOSP الكاملة وقائمة ميزات وتغييرات Android Developer.

أندرويد 12

يتضمن كل إصدار من إصدارات Android العشرات من التحسينات الأمنية لحماية المستخدمين. فيما يلي بعض التحسينات الأمنية الرئيسية المتوفرة في Android 12:

  • يقدم Android 12 واجهة برمجة تطبيقات BiometricManager.Strings ، التي توفر سلاسل مترجمة للتطبيقات التي تستخدم BiometricPrompt للمصادقة. تهدف هذه السلاسل إلى أن تكون على دراية بالجهاز وتوفر مزيدًا من التحديد حول نوع (أنواع) المصادقة التي يمكن استخدامها. يتضمن Android 12 أيضًا دعمًا لمستشعرات بصمات الأصابع الموجودة أسفل الشاشة
  • تمت إضافة الدعم لأجهزة استشعار بصمات الأصابع تحت الشاشة
  • مقدمة عن لغة تعريف واجهة أندرويد لبصمة الإصبع (AIDL)
  • دعم Face AIDL الجديد
  • مقدمة لـ Rust كلغة لتطوير المنصات
  • تمت إضافة خيار للمستخدمين لمنح حق الوصول إلى موقعهم التقريبي فقط
  • تمت إضافة مؤشرات الخصوصية على شريط الحالة عندما يستخدم أحد التطبيقات الكاميرا أو الميكروفون
  • نظام الحوسبة الخاصة لنظام Android (PCC)
  • تمت إضافة خيار لتعطيل دعم 2G

أندرويد 11

يتضمن كل إصدار من إصدارات Android العشرات من التحسينات الأمنية لحماية المستخدمين. للحصول على قائمة ببعض التحسينات الأمنية الرئيسية المتوفرة في Android 11 ، راجع ملاحظات إصدار Android .

أندرويد 10

يتضمن كل إصدار من إصدارات Android العشرات من التحسينات الأمنية لحماية المستخدمين. يتضمن Android 10 العديد من تحسينات الأمان والخصوصية. راجع ملاحظات إصدار Android 10 للحصول على قائمة كاملة بالتغييرات في Android 10.

حماية

مطهر الحدود

ينشر Android 10 BoundsSanitizer (BoundSan) في البلوتوث وبرامج الترميز. يستخدم BoundSan مطهر حدود UBSan. يتم تمكين هذا التخفيف على مستوى كل وحدة نمطية. فهو يساعد في الحفاظ على أمان المكونات الهامة لنظام Android ويجب عدم تعطيله. يتم تمكين BoundSan في برامج الترميز التالية:

  • libFLAC
  • libavcdec
  • libavcenc
  • libhevcdec
  • libmpeg2
  • libopus
  • libvpx
  • libspeexresampler
  • libvorbisidec
  • libaac
  • libxaac

ذاكرة للتنفيذ فقط

افتراضيًا، يتم وضع علامة على أقسام التعليمات البرمجية القابلة للتنفيذ لثنائيات نظام AArch64 للتنفيذ فقط (غير قابلة للقراءة) كتخفيف من حدة هجمات إعادة استخدام التعليمات البرمجية في الوقت المناسب. لم تعد التعليمات البرمجية التي تمزج البيانات والتعليمات البرمجية معًا والتعليمات البرمجية التي تفحص هذه الأقسام عن قصد (دون إعادة تعيين شرائح الذاكرة أولاً لتكون قابلة للقراءة) تعمل. تتأثر التطبيقات التي تحتوي على SDK مستهدف لنظام Android 10 (مستوى واجهة برمجة التطبيقات 29 أو أعلى) إذا حاول التطبيق قراءة أقسام التعليمات البرمجية في مكتبات النظام التي تم تمكينها في ذاكرة التنفيذ فقط (XOM) في الذاكرة دون وضع علامة على القسم أولاً على أنه قابل للقراءة.

وصول موسع

يمكن للوكلاء الموثوقين، وهم الآلية الأساسية التي تستخدمها آليات المصادقة الثالثة مثل Smart Lock، تمديد فتح القفل فقط في Android 10. ولم يعد بإمكان الوكلاء الموثوقين فتح قفل جهاز مقفل ويمكنهم فقط إبقاء الجهاز مفتوحًا لمدة أربع ساعات كحد أقصى.

مصادقة الوجه

تتيح مصادقة الوجه للمستخدمين فتح قفل أجهزتهم بمجرد النظر إلى الجزء الأمامي من أجهزتهم. يضيف Android 10 دعمًا لمكدس مصادقة الوجه الجديد الذي يمكنه معالجة إطارات الكاميرا بشكل آمن، والحفاظ على الأمان والخصوصية أثناء مصادقة الوجه على الأجهزة المدعومة. يوفر Android 10 أيضًا طريقة سهلة للتطبيقات المتوافقة مع الأمان لتمكين تكامل التطبيق للمعاملات مثل الخدمات المصرفية عبر الإنترنت أو الخدمات الأخرى.

تعقيم الفائض الصحيح

يعمل Android 10 على تمكين Integer Overflow Sanitization (IntSan) في برامج الترميز. تأكد من أن أداء التشغيل مقبول لأي برامج ترميز غير مدعومة في أجهزة الجهاز. يتم تمكين IntSan في برامج الترميز التالية:

  • libFLAC
  • libavcdec
  • libavcenc
  • libhevcdec
  • libmpeg2
  • libopus
  • libvpx
  • libspeexresampler
  • libvorbisidec

مكونات النظام المعياري

يقوم Android 10 بتقسيم بعض مكونات نظام Android ويتيح تحديثها خارج دورة إصدار Android العادية. بعض الوحدات تشمل:

OEMCrypto

يستخدم Android 10 الإصدار 15 من واجهة برمجة تطبيقات OEMCrypto.

سكودو

Scudo هو مخصص ذاكرة ديناميكي لوضع المستخدم مصمم ليكون أكثر مرونة في مواجهة الثغرات الأمنية المرتبطة بالكومة. وهو يوفر أساسيات تخصيص C القياسية وإلغاء التخصيص، بالإضافة إلى أساسيات C++.

ShadowCallStack

ShadowCallStack (SCS) هو وضع أدوات LLVM يحمي من عمليات الكتابة فوق عنوان الإرجاع (مثل تجاوز سعة المخزن المؤقت للمكدس) عن طريق حفظ عنوان إرجاع الوظيفة إلى مثيل ShadowCallStack المخصص بشكل منفصل في برولوج الوظائف للوظائف غير الورقية وتحميل عنوان الإرجاع من مثيل ShadowCallStack في الخاتمة الوظيفية.

فتح WPA3 وWi-Fi المحسن

يضيف Android 10 دعمًا لمعايير الأمان Wi-Fi Protected Access 3 (WPA3) وWi-Fi Enhanced Open لتوفير خصوصية وقوة أفضل ضد الهجمات المعروفة.

خصوصية

الوصول إلى التطبيق عند استهداف Android 9 أو أقل

إذا كان تطبيقك يعمل بنظام التشغيل Android 10 أو أعلى ولكنه يستهدف Android 9 (مستوى واجهة برمجة التطبيقات (API) 28) أو أقل، فإن النظام الأساسي يطبق السلوك التالي:

  • إذا أعلن تطبيقك عن عنصر <uses-permission> لـ ACCESS_FINE_LOCATION أو ACCESS_COARSE_LOCATION ، فسيضيف النظام تلقائيًا عنصر <uses-permission> لـ ACCESS_BACKGROUND_LOCATION أثناء التثبيت.
  • إذا طلب تطبيقك ACCESS_FINE_LOCATION أو ACCESS_COARSE_LOCATION ، فسيقوم النظام تلقائيًا بإضافة ACCESS_BACKGROUND_LOCATION إلى الطلب.

قيود النشاط في الخلفية

بدءًا من Android 10، يضع النظام قيودًا على بدء الأنشطة من الخلفية . يساعد تغيير السلوك هذا على تقليل مقاطعات المستخدم ويبقي المستخدم أكثر تحكمًا في ما يظهر على شاشته. طالما أن تطبيقك يبدأ الأنشطة كنتيجة مباشرة لتفاعل المستخدم، فمن المرجح ألا يتأثر تطبيقك بهذه القيود.
لمعرفة المزيد حول البديل الموصى به لبدء الأنشطة من الخلفية، راجع الدليل الخاص بكيفية تنبيه المستخدمين بالأحداث الحساسة للوقت في تطبيقك.

البيانات الوصفية للكاميرا

يقوم Android 10 بتغيير نطاق المعلومات التي ترجعها طريقة getCameraCharacteristics() افتراضيًا. على وجه الخصوص، يجب أن يحصل تطبيقك على إذن CAMERA حتى يتمكن من الوصول إلى البيانات التعريفية الخاصة بالجهاز والمضمنة في القيمة المرجعة لهذه الطريقة.
لمعرفة المزيد حول هذه التغييرات، راجع القسم الخاص بحقول الكاميرا التي تتطلب إذنًا .

بيانات الحافظة

ما لم يكن تطبيقك هو محرر أسلوب الإدخال الافتراضي (IME) أو هو التطبيق الذي يتم التركيز عليه حاليًا، فلن يتمكن تطبيقك من الوصول إلى بيانات الحافظة على Android 10 أو الإصدارات الأحدث.

موقع الجهاز

لدعم التحكم الإضافي الذي يتمتع به المستخدمون في وصول التطبيق إلى معلومات الموقع، يقدم Android 10 إذن ACCESS_BACKGROUND_LOCATION .
على عكس أذونات ACCESS_FINE_LOCATION و ACCESS_COARSE_LOCATION ، يؤثر إذن ACCESS_BACKGROUND_LOCATION فقط على وصول التطبيق إلى الموقع عند تشغيله في الخلفية. يعتبر التطبيق أنه يصل إلى الموقع في الخلفية ما لم يتم استيفاء أحد الشروط التالية:

  • نشاط ينتمي إلى التطبيق مرئي.
  • يقوم التطبيق بتشغيل خدمة مقدمة أعلنت عننوع خدمة مقدمة location .
    للإعلان عن نوع الخدمة الأمامية لخدمة ما في تطبيقك، قم بتعيين targetSdkVersion لتطبيقك أو compileSdkVersion على 29 أو أعلى. تعرف على المزيد حول كيفية قيام الخدمات الأمامية بمواصلة الإجراءات التي يبدأها المستخدم والتي تتطلب الوصول إلى الموقع.

تخزين خارجي

افتراضيًا، يتم منح التطبيقات التي تستهدف نظام التشغيل Android 10 والإصدارات الأحدث وصولاً محددًا إلى وحدة التخزين الخارجية أو وحدة التخزين المخصصة . يمكن لمثل هذه التطبيقات رؤية الأنواع التالية من الملفات داخل جهاز تخزين خارجي دون الحاجة إلى طلب أي أذونات مستخدم متعلقة بالتخزين:

  • الملفات الموجودة في الدليل الخاص بالتطبيق، والتي يمكن الوصول إليها باستخدام getExternalFilesDir() .
  • الصور ومقاطع الفيديو والمقاطع الصوتية التي أنشأها التطبيق من متجر الوسائط .

لمعرفة المزيد حول التخزين المحدد، بالإضافة إلى كيفية مشاركة الملفات المحفوظة على أجهزة تخزين خارجية والوصول إليها وتعديلها، راجع الأدلة الخاصة بكيفية إدارة الملفات في وحدة التخزين الخارجية والوصول إلى ملفات الوسائط وتعديلها .

التوزيع العشوائي لعنوان MAC

على الأجهزة التي تعمل بنظام Android 10 أو أعلى، ينقل النظام عناوين MAC العشوائية افتراضيًا.
إذا كان تطبيقك يتعامل مع حالة استخدام مؤسسية ، فإن النظام الأساسي يوفر واجهات برمجة التطبيقات (APIs) للعديد من العمليات المتعلقة بعناوين MAC:

  • الحصول على عنوان MAC عشوائي : يمكن لتطبيقات مالك الجهاز وتطبيقات مالك الملف الشخصي استرداد عنوان MAC العشوائي المخصص لشبكة معينة عن طريق استدعاء getRandomizedMacAddress() .
  • الحصول على عنوان MAC الفعلي للمصنع: يمكن لتطبيقات مالك الجهاز استرداد عنوان MAC الفعلي للجهاز عن طريق استدعاء getWifiMacAddress() . هذه الطريقة مفيدة لتتبع أساطيل الأجهزة.

معرفات الأجهزة غير القابلة لإعادة التعيين

بدءًا من Android 10، يجب أن تتمتع التطبيقات بالإذن المميز READ_PRIVILEGED_PHONE_STATE من أجل الوصول إلى معرفات الجهاز غير القابلة لإعادة التعيين، والتي تتضمن كلاً من IMEI والرقم التسلسلي.

إذا لم يكن لدى تطبيقك الإذن وحاولت طلب معلومات حول المعرفات غير القابلة لإعادة التعيين على أي حال، فستختلف استجابة النظام الأساسي بناءً على إصدار SDK المستهدف:

  • إذا كان تطبيقك يستهدف نظام التشغيل Android 10 أو الإصدارات الأحدث، فسيحدث SecurityException .
  • إذا كان تطبيقك يستهدف Android 9 (مستوى واجهة برمجة التطبيقات 28) أو أقل، فستُرجع الطريقة بيانات null أو بيانات نائبة إذا كان التطبيق لديه إذن READ_PHONE_STATE . وإلا، يحدث SecurityException .

التعرف على النشاط البدني

يقدم Android 10 إذن التشغيل android.permission.ACTIVITY_RECOGNITION للتطبيقات التي تحتاج إلى اكتشاف عدد خطوات المستخدم أو تصنيف النشاط البدني للمستخدم، مثل المشي أو ركوب الدراجات أو التحرك في السيارة. تم تصميم هذا لمنح المستخدمين رؤية لكيفية استخدام بيانات مستشعر الجهاز في الإعدادات.
لا تقدم بعض المكتبات ضمن خدمات Google Play، مثل Activity Recognition API و Google Fit API ، نتائج ما لم يمنح المستخدم هذا الإذن لتطبيقك.
أجهزة الاستشعار المدمجة الوحيدة في الجهاز التي تتطلب منك الإعلان عن هذا الإذن هي أجهزة استشعار عداد الخطوات وكاشف الخطوات .
إذا كان تطبيقك يستهدف Android 9 (مستوى واجهة برمجة التطبيقات 28) أو أقل، فإن النظام يمنح تلقائيًا الإذن android.permission.ACTIVITY_RECOGNITION لتطبيقك، حسب الحاجة، إذا كان تطبيقك يلبي كلًا من الشروط التالية:

  • يتضمن ملف البيان إذن com.google.android.gms.permission.ACTIVITY_RECOGNITION .
  • لا يتضمن ملف البيان إذن android.permission.ACTIVITY_RECOGNITION .

إذا منح النظام تلقائيًا الإذن android.permission.ACTIVITY_RECOGNITION ، فسيحتفظ تطبيقك بالإذن بعد تحديث تطبيقك لاستهداف Android 10. ومع ذلك، يمكن للمستخدم إلغاء هذا الإذن في أي وقت في إعدادات النظام.

/proc/net قيود نظام الملفات

على الأجهزة التي تعمل بنظام التشغيل Android 10 أو الإصدارات الأحدث، لا يمكن للتطبيقات الوصول إلى /proc/net ، والذي يتضمن معلومات حول حالة شبكة الجهاز. يجب على التطبيقات التي تحتاج إلى الوصول إلى هذه المعلومات، مثل شبكات VPN، استخدام فئة NetworkStatsManager أو ConnectivityManager .

تمت إزالة مجموعات الأذونات من واجهة المستخدم

اعتبارًا من نظام التشغيل Android 10، لا يمكن للتطبيقات البحث عن كيفية تجميع الأذونات في واجهة المستخدم.

إزالة تقارب الاتصالات

بدءًا من Android 10، لا يتتبع النظام الأساسي معلومات تقارب جهات الاتصال. ونتيجة لذلك، إذا أجرى تطبيقك بحثًا عن جهات اتصال المستخدم، فلن يتم ترتيب النتائج حسب تكرار التفاعل.
يحتوي الدليل الخاص بـ ContactsProvider على إشعار يصف الحقول والأساليب المحددة التي عفا عليها الزمن على جميع الأجهزة التي تبدأ في Android 10.

تقييد الوصول إلى محتويات الشاشة

لحماية محتويات شاشة المستخدمين، يمنع Android 10 الوصول الصامت إلى محتويات شاشة الجهاز عن طريق تغيير نطاق أذونات READ_FRAME_BUFFER و CAPTURE_VIDEO_OUTPUT و CAPTURE_SECURE_VIDEO_OUTPUT . اعتبارًا من Android 10، هذه الأذونات مخصصة للوصول إلى التوقيع فقط.
يجب أن تستخدم التطبيقات التي تحتاج إلى الوصول إلى محتويات شاشة الجهاز واجهة برمجة تطبيقات MediaProjection ، التي تعرض مطالبة تطلب من المستخدم تقديم الموافقة.

الرقم التسلسلي لجهاز USB

إذا كان تطبيقك يستهدف نظام التشغيل Android 10 أو الإصدارات الأحدث، فلن يتمكن تطبيقك من قراءة الرقم التسلسلي حتى يمنح المستخدم إذنًا لتطبيقك للوصول إلى جهاز USB أو الملحق.
لمعرفة المزيد حول العمل مع أجهزة USB، راجع الدليل الخاص بكيفية تكوين مضيفي USB .

واي فاي

لا يمكن للتطبيقات التي تستهدف نظام التشغيل Android 10 أو الإصدارات الأحدث تمكين شبكة Wi-Fi أو تعطيلها. دائمًا ما يُرجع الأسلوب WifiManager.setWifiEnabled() القيمة false .
إذا كنت بحاجة إلى مطالبة المستخدمين بتمكين Wi-Fi وتعطيله، فاستخدم لوحة الإعدادات .

القيود المفروضة على الوصول المباشر إلى شبكات Wi-Fi التي تم تكوينها

لحماية خصوصية المستخدم، يقتصر التكوين اليدوي لقائمة شبكات Wi-Fi على تطبيقات النظام ووحدات التحكم في سياسة الجهاز (DPCs) . يمكن أن يكون DPC المحدد إما مالك الجهاز أو مالك الملف الشخصي.
إذا كان تطبيقك يستهدف نظام التشغيل Android 10 أو الإصدارات الأحدث، ولم يكن تطبيق نظام أو DPC، فلن تقوم الطرق التالية بإرجاع بيانات مفيدة:

أندرويد 9

يتضمن كل إصدار من إصدارات Android العشرات من التحسينات الأمنية لحماية المستخدمين. للحصول على قائمة ببعض التحسينات الأمنية الرئيسية المتوفرة في Android 9 ، راجع ملاحظات إصدار Android .

أندرويد 8

يتضمن كل إصدار من إصدارات Android العشرات من التحسينات الأمنية لحماية المستخدمين. فيما يلي بعض التحسينات الأمنية الرئيسية المتوفرة في Android 8.0:

  • التشفير . دعم إضافي لطرد المفتاح في الملف الشخصي للعمل.
  • تم التحقق من التمهيد . تمت إضافة التمهيد المعتمد من Android (AVB). قاعدة بيانات التمهيد التي تم التحقق منها تدعم الحماية من التراجع للاستخدام في برامج تحميل التمهيد المضافة إلى AOSP. يوصي بدعم محمل الإقلاع لحماية التراجع عن HLOS. لا يمكن إلغاء قفل أدوات تحميل التمهيد الموصى بها إلا من خلال تفاعل المستخدم فعليًا مع الجهاز.
  • شاشة القفل . تمت إضافة دعم لاستخدام أجهزة مقاومة للعبث للتحقق من بيانات اعتماد شاشة القفل.
  • KeyStore . شهادة مفتاح مطلوبة لجميع الأجهزة التي تعمل بنظام Android 8.0+. تمت إضافة دعم التصديق على المعرف لتحسين تسجيل Zero Touch.
  • وضع الحماية . أكثر إحكامًا في وضع الحماية للعديد من المكونات باستخدام واجهة Project Treble القياسية بين الإطار والمكونات الخاصة بالجهاز. تطبيق تصفية seccomp على جميع التطبيقات غير الموثوق بها لتقليل سطح هجوم kernel. يتم تشغيل WebView الآن في عملية معزولة مع وصول محدود للغاية لبقية النظام.
  • تصلب النواة . تم تنفيذ نسخة صلبة من usercopy ومحاكاة PAN للقراءة فقط بعد init و KASLR.
  • تصلب مساحة المستخدمين . تم تنفيذ CFI لمكدس الوسائط. لم يعد بإمكان تراكبات التطبيقات تغطية النوافذ ذات الأهمية الحاسمة للنظام وأصبح لدى المستخدمين طريقة لرفضها.
  • تدفق تحديث نظام التشغيل . التحديثات الممكّنة على الأجهزة ذات مساحة القرص المنخفضة.
  • تثبيت تطبيقات غير معروفة . يجب على المستخدمين منح الإذن لتثبيت التطبيقات من مصدر ليس متجر تطبيقات تابعًا لطرف أول.
  • الخصوصية . معرف Android (SSAID) له قيمة مختلفة لكل تطبيق وكل مستخدم على الجهاز. بالنسبة لتطبيقات مستعرض الويب ، يُرجع Widevine Client ID قيمة مختلفة لكل اسم حزمة تطبيق وأصل الويب. net.hostname فارغ الآن ولم يعد عميل dhcp يرسل اسم مضيف. android.os.Build.SERIAL تم استبداله بواجهة Build.SERIAL API المحمية بموجب إذن يتحكم فيه المستخدم. تحسين عشوائي لعنوان MAC في بعض الشرائح.

أندرويد 7

يتضمن كل إصدار من إصدارات Android العشرات من التحسينات الأمنية لحماية المستخدمين. فيما يلي بعض التحسينات الأمنية الرئيسية المتوفرة في Android 7.0:

  • التشفير المستند إلى الملفات . التشفير على مستوى الملف ، بدلاً من تشفير منطقة التخزين بأكملها كوحدة واحدة ، يعمل على عزل وحماية المستخدمين الفرديين والملفات الشخصية (مثل الشخصية والعمل) بشكل أفضل على الجهاز.
  • التمهيد المباشر . بتمكينه من خلال التشفير المستند إلى الملفات ، يسمح Direct Boot بتشغيل تطبيقات معينة مثل المنبه وميزات إمكانية الوصول عند تشغيل الجهاز ولكن لم يتم إلغاء قفله.
  • تم التحقق من التمهيد . يتم الآن تطبيق "التمهيد المتحقق منه" بشكل صارم لمنع تمهيد الأجهزة المخترقة ؛ يدعم تصحيح الأخطاء لتحسين الوثوقية ضد تلف البيانات غير الضارة.
  • سيلينو . يعمل تكوين SELinux المحدث وتغطية seccomp المتزايدة على تأمين وضع الحماية للتطبيق وتقليل سطح الهجوم.
  • ترتيب تحميل المكتبة العشوائية وتحسين ASLR . زيادة العشوائية تجعل بعض هجمات إعادة استخدام التعليمات البرمجية أقل موثوقية.
  • تصلب النواة . تمت إضافة حماية إضافية للذاكرة للنواة الأحدث عن طريق وضع علامة على أجزاء من ذاكرة kernel للقراءة فقط ، وتقييد وصول kernel إلى عناوين مساحة المستخدمين وتقليل سطح الهجوم الحالي.
  • مخطط توقيع APK الإصدار 2 . تقديم مخطط توقيع كامل يحسن سرعة التحقق ويعزز ضمانات النزاهة.
  • محل CA موثوق به . لتسهيل تحكم التطبيقات في الوصول إلى حركة مرور الشبكة الآمنة الخاصة بها ، لم تعد المراجع المصدقة المثبتة من قبل المستخدم وتلك المثبتة من خلال واجهات برمجة تطبيقات مسؤول الأجهزة موثوقًا بها افتراضيًا للتطبيقات التي تستهدف مستوى واجهة برمجة التطبيقات 24+. بالإضافة إلى ذلك ، يجب شحن جميع أجهزة Android الجديدة مع نفس متجر CA الموثوق به.
  • تكوين أمان الشبكة . تكوين أمان الشبكة و TLS من خلال ملف التكوين التعريفي.

أندرويد 6

يتضمن كل إصدار من إصدارات Android العشرات من التحسينات الأمنية لحماية المستخدمين. فيما يلي بعض التحسينات الأمنية الرئيسية المتوفرة في Android 6.0:

  • أذونات وقت التشغيل . تطلب التطبيقات أذونات في وقت التشغيل بدلاً من منحها في وقت تثبيت التطبيق. يمكن للمستخدمين تبديل الأذونات وإيقاف تشغيلها لكل من تطبيقات M و pre-M.
  • تم التحقق من التمهيد . يتم إجراء مجموعة من فحوصات التشفير لبرامج النظام قبل التنفيذ للتأكد من أن الهاتف يتمتع بصحة جيدة من أداة تحميل التشغيل وصولاً إلى نظام التشغيل.
  • الأمان المعزول عن الأجهزة . طبقة تجريد جديدة للأجهزة (HAL) مستخدمة بواسطة Fingerprint API و Lockscreen و Device Encryption و Client Certificates لحماية المفاتيح من اختراق kernel و / أو الهجمات المادية المحلية
  • بصمات الأصابع . يمكن الآن فتح قفل الأجهزة بلمسة واحدة فقط. يمكن للمطورين أيضًا الاستفادة من واجهات برمجة التطبيقات الجديدة لاستخدام بصمات الأصابع لقفل وفتح مفاتيح التشفير.
  • اعتماد بطاقة SD . يمكن اعتماد الوسائط القابلة للإزالة على جهاز وتوسيع مساحة التخزين المتاحة لبيانات التطبيق المحلية والصور ومقاطع الفيديو وما إلى ذلك ، ولكن تظل محمية بواسطة تشفير على مستوى الكتلة.
  • مسح حركة النص . يمكن للمطورين استخدام StrictMode جديد للتأكد من أن تطبيقهم لا يستخدم نصًا واضحًا.
  • تصلب النظام . تصلب النظام من خلال السياسات التي تفرضها SELinux. يوفر هذا عزلًا أفضل بين المستخدمين ، وتصفية IOCTL ، وتقليل تهديد الخدمات المكشوفة ، وزيادة تشديد نطاقات SELinux ، والوصول المحدود للغاية / proc.
  • التحكم في الوصول عبر USB: يجب على المستخدمين التأكيد للسماح بوصول USB إلى الملفات أو التخزين أو الوظائف الأخرى على الهاتف. الافتراضي هو المسؤول الآن فقط مع الوصول إلى مساحة التخزين التي تتطلب موافقة صريحة من المستخدم.

أندرويد 5

5.0

يتضمن كل إصدار من إصدارات Android العشرات من التحسينات الأمنية لحماية المستخدمين. فيما يلي بعض التحسينات الأمنية الرئيسية المتوفرة في Android 5.0:

  • مشفر افتراضيًا. على الأجهزة التي يتم شحنها مع L خارج الصندوق ، يتم تمكين تشفير القرص بالكامل افتراضيًا لتحسين حماية البيانات على الأجهزة المفقودة أو المسروقة. يمكن تشفير الأجهزة التي يتم تحديثها إلى L في الإعدادات > الأمان .
  • تحسين تشفير القرص الكامل. تتم حماية كلمة مرور المستخدم من هجمات القوة الغاشمة باستخدام scrypt ، وعند توفرها ، يكون المفتاح مرتبطًا بمخزن مفاتيح الأجهزة لمنع الهجمات خارج الجهاز. كما هو الحال دائمًا ، لا يتم إرسال سر قفل شاشة Android ومفتاح تشفير الجهاز من الجهاز أو تعرضهما لأي تطبيق.
  • وضع الحماية لنظام Android معزز بـ SELinux . يتطلب Android الآن SELinux في وضع الإنفاذ لجميع المجالات. SELinux هو نظام تحكم بالوصول (MAC) إلزامي في Linux kernel يستخدم لزيادة نموذج أمان التحكم في الوصول التقديري الحالي (DAC). توفر هذه الطبقة الجديدة حماية إضافية ضد الثغرات الأمنية المحتملة.
  • قفل ذكي. يتضمن Android الآن Trustlets التي توفر المزيد من المرونة لإلغاء قفل الأجهزة. على سبيل المثال ، يمكن أن تسمح Trustlets بإلغاء قفل الأجهزة تلقائيًا عندما تكون قريبة من جهاز آخر موثوق به (عبر NFC أو Bluetooth) أو عند استخدامها من قبل شخص لديه وجه موثوق به.
  • تعدد المستخدمين والملف الشخصي المقيد وأنماط الضيف للهواتف والأجهزة اللوحية. يوفر Android الآن لعدة مستخدمين على الهواتف ويتضمن وضع الضيف الذي يمكن استخدامه لتوفير وصول مؤقت سهل إلى جهازك دون منح الوصول إلى بياناتك وتطبيقاتك.
  • تحديثات WebView بدون OTA. يمكن الآن تحديث WebView بشكل مستقل عن إطار العمل وبدون نظام OTA. سيسمح هذا بالاستجابة بشكل أسرع لمشاكل الأمان المحتملة في WebView.
  • تشفير محدث لـ HTTPS و TLS / SSL. تم تمكين TLSv1.2 و TLSv1.1 الآن ، يُفضل الآن Forward Secrecy ، وتم تمكين AES-GCM الآن ، وتم تعطيل مجموعات التشفير الضعيفة (MD5 و 3DES ومجموعات تشفير التصدير). راجع https://developer.android.com/reference/javax/net/ssl/SSLSocket.html لمزيد من التفاصيل.
  • تمت إزالة دعم رابط غير PIE. يتطلب Android الآن جميع الملفات التنفيذية المرتبطة ديناميكيًا لدعم PIE (الملفات التنفيذية المستقلة عن الموضع). هذا يعزز تنفيذ التوزيع العشوائي لتخطيط مساحة عنوان Android (ASLR).
  • تحسينات FORTIFY_SOURCE. تنفذ وظائف libc التالية الآن حماية FORTIFY_SOURCE: stpcpy() و stpncpy() و read() و recvfrom() و FD_CLR() و FD_SET() و FD_ISSET() . يوفر هذا الحماية ضد الثغرات الأمنية لتلف الذاكرة التي تنطوي على تلك الوظائف.
  • إصلاحات أمنية. يتضمن Android 5.0 أيضًا إصلاحات للثغرات الأمنية الخاصة بنظام Android. تم توفير معلومات حول هذه الثغرات الأمنية لأعضاء Open Handset Alliance ، والإصلاحات متاحة في مشروع Android Open Source Project. لتحسين الأمان ، قد تتضمن بعض الأجهزة التي تعمل بإصدارات سابقة من Android أيضًا هذه الإصلاحات.

أندرويد 4 وأقل

يتضمن كل إصدار من إصدارات Android العشرات من التحسينات الأمنية لحماية المستخدمين. فيما يلي بعض التحسينات الأمنية المتوفرة في Android 4.4:

  • وضع الحماية لنظام Android معزز بـ SELinux. يستخدم Android الآن SELinux في وضع الفرض. SELinux هو نظام تحكم بالوصول (MAC) إلزامي في Linux kernel يستخدم لزيادة نموذج الأمان القائم على التحكم في الوصول التقديري (DAC). يوفر هذا حماية إضافية ضد الثغرات الأمنية المحتملة.
  • لكل مستخدم VPN. على الأجهزة متعددة المستخدمين ، يتم الآن تطبيق شبكات VPN لكل مستخدم. يمكن أن يسمح هذا للمستخدم بتوجيه كل حركة مرور الشبكة عبر VPN دون التأثير على المستخدمين الآخرين على الجهاز.
  • دعم مزود ECDSA في AndroidKeyStore. لدى Android الآن مزود مخزن مفاتيح يسمح باستخدام خوارزميات ECDSA و DSA.
  • تحذيرات مراقبة الجهاز. يوفر Android للمستخدمين تحذيرًا إذا تمت إضافة أي شهادة إلى مخزن شهادات الجهاز مما قد يسمح بمراقبة حركة مرور الشبكة المشفرة.
  • FORTIFY_SOURCE. يدعم Android الآن المستوى 2 من FORTIFY_SOURCE ، ويتم تجميع جميع التعليمات البرمجية باستخدام وسائل الحماية هذه. تم تحسين FORTIFY_SOURCE للعمل مع clang.
  • تثبيت الشهادة. يكتشف Android 4.4 ويمنع استخدام شهادات Google الاحتيالية المستخدمة في اتصالات SSL / TLS الآمنة.
  • إصلاحات أمنية. يتضمن Android 4.4 أيضًا إصلاحات للثغرات الأمنية الخاصة بنظام Android. تم توفير معلومات حول هذه الثغرات الأمنية لأعضاء Open Handset Alliance والإصلاحات متوفرة في مشروع Android Open Source Project. لتحسين الأمان ، قد تتضمن بعض الأجهزة التي تعمل بإصدارات سابقة من Android أيضًا هذه الإصلاحات.

يتضمن كل إصدار من إصدارات Android العشرات من التحسينات الأمنية لحماية المستخدمين. فيما يلي بعض التحسينات الأمنية المتوفرة في Android 4.3:

  • صندوق حماية Android معزز بـ SELinux. يعمل هذا الإصدار على تعزيز وضع الحماية لنظام Android باستخدام نظام SELinux الإلزامي للتحكم في الوصول (MAC) في Linux kernel. إن تعزيز SELinux غير مرئي للمستخدمين والمطورين، ويضيف المتانة إلى نموذج أمان Android الحالي مع الحفاظ على التوافق مع التطبيقات الحالية. لضمان استمرار التوافق، يسمح هذا الإصدار باستخدام SELinux في وضع متساهل. يقوم هذا الوضع بتسجيل أي انتهاكات للسياسة، ولكنه لن يؤدي إلى تعطيل التطبيقات أو التأثير على سلوك النظام.
  • لا توجد برامج setuid/setgid. تمت إضافة دعم لقدرات نظام الملفات إلى ملفات نظام Android وإزالة جميع برامج setuid/setguid. وهذا يقلل من سطح هجوم الجذر واحتمال وجود ثغرات أمنية محتملة.
  • مصادقة بنك التنمية الآسيوي. منذ Android 4.2.2، تتم مصادقة الاتصالات بـ ADB باستخدام زوج مفاتيح RSA. وهذا يمنع الاستخدام غير المصرح به لـ ADB حيث يكون للمهاجم حق الوصول الفعلي إلى الجهاز.
  • تقييد Setuid من تطبيقات Android. تم الآن تثبيت قسم /system على nosuid للعمليات التي ولدت الزيجوت، مما يمنع تطبيقات Android من تنفيذ برامج setuid. وهذا يقلل من سطح هجوم الجذر واحتمال وجود ثغرات أمنية محتملة.
  • حدود القدرة. يستخدم Android zygote وADB الآن prctl(PR_CAPBSET_DROP) لإسقاط الإمكانات غير الضرورية قبل تنفيذ التطبيقات. وهذا يمنع تطبيقات Android والتطبيقات التي يتم تشغيلها من الغلاف من الحصول على إمكانيات مميزة.
  • مزود AndroidKeyStore. يمتلك Android الآن مزودًا لتخزين المفاتيح يسمح للتطبيقات بإنشاء مفاتيح استخدام حصرية. يوفر هذا للتطبيقات واجهة برمجة التطبيقات (API) لإنشاء أو تخزين مفاتيح خاصة لا يمكن استخدامها بواسطة تطبيقات أخرى.
  • KeyChain هي خوارزمية BoundKey. توفر Keychain API الآن طريقة (isBoundKeyType) تسمح للتطبيقات بالتأكد من أن المفاتيح على مستوى النظام مرتبطة بجذر ثقة الجهاز الخاص بالجهاز. يوفر هذا مكانًا لإنشاء أو تخزين المفاتيح الخاصة التي لا يمكن تصديرها خارج الجهاز، حتى في حالة اختراق الجذر.
  • NO_NEW_PRIVS. يستخدم Android zygote الآن prctl(PR_SET_NO_NEW_PRIVS) لمنع إضافة امتيازات جديدة قبل تنفيذ رمز التطبيق. وهذا يمنع تطبيقات Android من تنفيذ العمليات التي يمكن أن ترفع الامتيازات عبر execve. (يتطلب هذا إصدار Linux kernel 3.5 أو أحدث).
  • تحسينات FORTIFY_SOURCE. تم تمكين FORTIFY_SOURCE على Android x86 وMIPS ومكالمات strchr() وstrrchr() وstrlen() وumask() المحصنة. يمكن أن يكشف هذا عن ثغرات أمنية محتملة في تلف الذاكرة أو ثوابت السلسلة غير المنتهية.
  • حماية النقل. تم تمكين عمليات نقل القراءة فقط (relro) للملفات التنفيذية المرتبطة بشكل ثابت وإزالة جميع عمليات نقل النص في كود Android. وهذا يوفر دفاعًا متعمقًا ضد الثغرات الأمنية المحتملة لتلف الذاكرة.
  • تحسين الانتروبياميكسر. يقوم EntropyMixer الآن بكتابة الإنتروبيا عند إيقاف التشغيل/إعادة التشغيل، بالإضافة إلى الخلط الدوري. يسمح هذا بالاحتفاظ بكل الإنتروبيا التي تم إنشاؤها أثناء تشغيل الأجهزة، وهو مفيد بشكل خاص للأجهزة التي يتم إعادة تشغيلها مباشرة بعد التزويد.
  • إصلاحات الأمان. يتضمن Android 4.3 أيضًا إصلاحات للثغرات الأمنية الخاصة بنظام Android. تم توفير معلومات حول نقاط الضعف هذه لأعضاء Open Handset Alliance وتتوفر الإصلاحات في Android Open Source Project. لتحسين الأمان، قد تتضمن بعض الأجهزة التي تحتوي على إصدارات سابقة من Android هذه الإصلاحات أيضًا.

يوفر Android نموذج أمان متعدد الطبقات موصوف في نظرة عامة على أمان Android . يتضمن كل تحديث لنظام Android العشرات من التحسينات الأمنية لحماية المستخدمين. فيما يلي بعض التحسينات الأمنية المقدمة في Android 4.2:

  • التحقق من التطبيق - يمكن للمستخدمين اختيار تمكين "التحقق من التطبيقات" وفحص التطبيقات بواسطة أداة التحقق من التطبيق ، قبل التثبيت. يمكن أن ينبه التحقق من التطبيق المستخدم إذا حاول تثبيت تطبيق قد يكون ضارًا ؛ إذا كان التطبيق سيئًا بشكل خاص ، يمكنه منع التثبيت.
  • مزيد من التحكم في الرسائل القصيرة المميزة - سيقدم Android إشعارًا إذا حاول أحد التطبيقات إرسال رسالة نصية قصيرة إلى رمز قصير يستخدم خدمات مميزة قد تتسبب في رسوم إضافية. يمكن للمستخدم اختيار السماح للتطبيق بإرسال الرسالة أو حظرها.
  • VPN قيد التشغيل دائمًا - يمكن تكوين VPN بحيث لا تتمكن التطبيقات من الوصول إلى الشبكة حتى يتم إنشاء اتصال VPN. هذا يمنع التطبيقات من إرسال البيانات عبر الشبكات الأخرى.
  • تثبيت الشهادة - تدعم مكتبات Android الأساسية الآن تثبيت الشهادة . ستتلقى المجالات المثبتة فشل التحقق من صحة الشهادة إذا لم تتصل الشهادة بمجموعة من الشهادات المتوقعة. هذا يحمي من الاختراق المحتمل للمراجع المصدقة.
  • عرض محسّن لأذونات Android - تم تنظيم الأذونات في مجموعات يسهل على المستخدمين فهمها. أثناء مراجعة الأذونات ، يمكن للمستخدم النقر فوق الإذن لرؤية المزيد من المعلومات التفصيلية حول الإذن.
  • installd hardening - لا يعمل برنامج installd الخفي كمستخدم جذر ، مما يقلل من سطح الهجوم المحتمل لتصعيد امتياز الجذر.
  • تصلب البرنامج النصي init - تقوم البرامج النصية الخاصة بـ init الآن بتطبيق دلالات O_NOFOLLOW لمنع الهجمات المرتبطة بالارتباط الرمزي.
  • FORTIFY_SOURCE - يطبق Android الآن FORTIFY_SOURCE . يتم استخدام هذا بواسطة مكتبات النظام والتطبيقات لمنع تلف الذاكرة.
  • التكوين الافتراضي لـ ContentProvider - التطبيقات التي تستهدف المستوى 17 من واجهة برمجة التطبيقات سيتم تعيين "تصدير" على "خطأ" افتراضيًا لكل موفر محتوى ، مما يقلل من سطح الهجوم الافتراضي للتطبيقات.
  • التشفير - تم تعديل عمليات التنفيذ الافتراضية لـ SecureRandom و Cipher.RSA لاستخدام OpenSSL. تمت إضافة دعم SSL Socket لـ TLSv1.1 و TLSv1.2 باستخدام OpenSSL 1.0.1
  • إصلاحات الأمان - تشمل المكتبات مفتوحة المصدر التي تمت ترقيتها مع إصلاحات الأمان WebKit و libpng و OpenSSL و LibXML. يتضمن Android 4.2 أيضًا إصلاحات للثغرات الأمنية الخاصة بنظام Android. تم توفير معلومات حول هذه الثغرات الأمنية لأعضاء Open Handset Alliance والإصلاحات متوفرة في مشروع Android Open Source Project. لتحسين الأمان ، قد تتضمن بعض الأجهزة التي تعمل بإصدارات سابقة من Android أيضًا هذه الإصلاحات.

يوفر Android نموذج أمان متعدد الطبقات موصوف في نظرة عامة على أمان Android . يتضمن كل تحديث لنظام Android العشرات من التحسينات الأمنية لحماية المستخدمين. فيما يلي بعض التحسينات الأمنية التي تم تقديمها في إصدارات Android من 1.5 إلى 4.1:

أندرويد 1.5
  • ProPolice لمنع تجاوز المخزن المؤقت للتكدس (-fstack-protector)
  • Safe_iop لتقليل فيض الأعداد الصحيحة
  • امتدادات لـ OpenBSD dlmalloc لمنع الثغرات الأمنية المزدوجة المجانية ولمنع هجمات الدمج الجماعي. تعد هجمات الدمج المقطوعة طريقة شائعة لاستغلال تلف الكومة.
  • OpenBSD calloc لمنع تجاوز عدد صحيح أثناء تخصيص الذاكرة
أندرويد 2.3
  • حماية الثغرات الأمنية لسلسلة التنسيق (-Wformat- الأمان- خطأ = تنسيق-الأمان)
  • لا يعتمد على الأجهزة (NX) لمنع تنفيذ التعليمات البرمجية على المكدس والكومة
  • Linux mmap_min_addr للتخفيف من تصعيد امتياز إشارة مرجعية للمؤشر الفارغ (تم تحسينه بشكل أكبر في Android 4.1)
أندرويد 4.0
عشوائية تخطيط مساحة العنوان (ASLR) لترتيب المواقع الرئيسية بشكل عشوائي في الذاكرة
أندرويد 4.1
  • دعم PIE (المنصب المستقل القابل للتنفيذ)
  • عمليات النقل للقراءة فقط / الربط الفوري (-Wl ، -z ، relro -Wl ، -z ، الآن)
  • تم تمكين dmesg_restrict (تجنب تسريب عناوين kernel)
  • تم تمكين kptr_restrict (تجنب تسريب عناوين kernel)