Google berkomitmen untuk memajukan ekuitas ras untuk komunitas kulit hitam. Lihat bagaimana.
Halaman ini diterjemahkan oleh Cloud Translation API.
Switch to English

Pembaruan Keamanan dan Sumber Daya

Tim keamanan Android bertanggung jawab untuk mengelola kerentanan keamanan yang ditemukan di platform Android dan banyak aplikasi Android inti yang dibundel dengan perangkat Android.

Tim keamanan Android menemukan kerentanan keamanan melalui penelitian internal dan juga menanggapi bug yang dilaporkan oleh pihak ketiga. Sumber bug eksternal termasuk masalah yang dilaporkan melalui templat Masalah Keamanan Android , penelitian akademis yang dipublikasikan dan dipublikasikan, pengelola proyek sumber terbuka hulu, pemberitahuan dari mitra produsen perangkat kami, dan masalah yang diungkapkan kepada publik yang diposting di blog atau media sosial.

Melaporkan masalah keamanan

Pengembang, pengguna Android, atau peneliti keamanan apa pun dapat memberi tahu tim keamanan Android tentang kemungkinan masalah keamanan melalui formulir pelaporan kerentanan keamanan .

Bug yang ditandai sebagai masalah keamanan tidak terlihat secara eksternal, tetapi pada akhirnya dapat dibuat terlihat setelah masalah dievaluasi atau diselesaikan. Jika Anda berencana untuk mengirimkan uji tempel atau Tes Kompatibilitas Suite (CTS) untuk menyelesaikan masalah keamanan, silakan lampirkan ke laporan bug dan tunggu jawaban sebelum mengunggah kode ke AOSP.

Bug triaging

Tugas pertama dalam menangani kerentanan keamanan adalah mengidentifikasi tingkat keparahan bug dan komponen Android mana yang terpengaruh. Tingkat keparahan menentukan bagaimana masalah diprioritaskan, dan komponen menentukan siapa yang memperbaiki bug, siapa yang diberitahukan, dan bagaimana perbaikan tersebut dikerahkan kepada pengguna.

Jenis proses

Tabel ini mencakup definisi jenis proses. Jenis proses dapat ditentukan oleh jenis aplikasi atau proses atau area tempat aplikasi itu dijalankan. Tabel ini dipesan dari paling tidak sampai paling istimewa.

Jenis proses Ketikkan definisi
Proses terkendala Suatu proses yang berjalan dalam domain SELinux yang sangat terbatas.
ATAU
Sebuah proses yang jauh lebih terbatas daripada aplikasi normal.
Proses tanpa hak Aplikasi atau proses pihak ketiga.
ATAU
Aplikasi atau proses yang berjalan di domain SELinux untrusted_app .
Proses istimewa Aplikasi atau proses dengan kemampuan yang dilarang oleh domain SELinux untrusted_app .
ATAU
Aplikasi atau proses dengan hak istimewa penting yang tidak bisa didapatkan oleh aplikasi pihak ketiga.
ATAU
Komponen perangkat keras bawaan pada perangkat yang bukan bagian dari basis komputasi tepercaya (TCB).
Basis komputasi tepercaya (TCB) Fungsi yang merupakan bagian dari kernel, berjalan dalam konteks CPU yang sama dengan kernel (seperti driver perangkat), memiliki akses langsung ke memori kernel (seperti komponen perangkat keras pada perangkat), memiliki kemampuan untuk memuat skrip ke dalam komponen kernel ( misalnya, eBPF), Prosesor Baseband, atau merupakan salah satu dari sedikit layanan pengguna yang dianggap setara dengan kernel: init , ueventd , dan vold .
Bootloader Komponen yang mengkonfigurasi perangkat saat boot dan kemudian memberikan kontrol ke OS Android.
Lingkungan Eksekusi Tepercaya (TEE) Komponen yang dirancang untuk dilindungi bahkan dari kernel yang tidak bersahabat.
Elemen aman (SE) Komponen opsional yang dirancang untuk dilindungi dari semua komponen lain pada perangkat dan dari serangan fisik, sebagaimana didefinisikan dalam Pengantar Elemen Aman .

Kerasnya

Tingkat keparahan bug umumnya mencerminkan potensi bahaya yang dapat terjadi jika bug berhasil dieksploitasi. Gunakan kriteria berikut untuk menentukan tingkat keparahan.

Peringkat Konsekuensi dari eksploitasi yang berhasil
Kritis
  • Akses tidak sah ke data yang dijamin oleh SE
  • Eksekusi kode sewenang-wenang di TEE atau SE
  • Eksekusi kode arbitrer jarak jauh dalam proses istimewa, bootloader, atau TCB
  • Remote denial of service permanen (tidak dapat digunakan perangkat: sepenuhnya permanen atau membutuhkan reflashing seluruh sistem operasi atau reset pabrik)
  • Bypass jauh dari persyaratan interaksi pengguna pada instalasi paket atau perilaku yang setara
  • Bypass jauh dari persyaratan interaksi pengguna untuk setiap pengembang, keamanan, atau pengaturan privasi
  • Bypass boot aman jarak jauh
  • Bypass mekanisme keselamatan yang dirancang untuk mencegah komponen perangkat keras kritis tidak berfungsi (misalnya, perlindungan termal)
Tinggi
  • Bypass boot aman lokal
  • Bypass lengkap dari fitur keamanan inti (seperti SELinux, FDE, atau seccomp)
  • Eksekusi kode arbitrer jarak jauh dalam proses tidak terprivat
  • Eksekusi kode arbitrer lokal dalam proses istimewa, bootloader, atau TCB
  • Akses tidak sah ke data yang diamankan oleh TEE
  • Serangan terhadap SE yang berakibat pada penurunan ke implementasi yang kurang aman
  • Bypass lokal dari persyaratan interaksi pengguna pada instalasi paket atau perilaku yang setara
  • Akses jarak jauh ke data yang dilindungi (data yang terbatas pada proses istimewa)
  • Penyangkalan permanen untuk layanan lokal (ketidakmampuan pengoperasian perangkat: permanen atau membutuhkan reflashing seluruh sistem operasi atau pengaturan ulang pabrik)
  • Pemotongan jarak jauh dari persyaratan interaksi pengguna (akses ke fungsionalitas atau data yang biasanya membutuhkan inisiasi pengguna atau izin pengguna)
  • Mengirimkan informasi sensitif melalui protokol jaringan yang tidak aman (misalnya, HTTP dan Bluetooth yang tidak terenkripsi) ketika pemohon mengharapkan transmisi yang aman (perhatikan bahwa ini tidak berlaku untuk enkripsi Wi-Fi, seperti WEP)
  • Bypass umum untuk pertahanan mendalam atau memanfaatkan teknologi mitigasi di bootloader atau TEE
  • Bypass umum untuk perlindungan sistem operasi yang mengisolasi data aplikasi atau profil pengguna dari satu sama lain
  • Bypass lokal dari persyaratan interaksi pengguna untuk setiap pengembang, keamanan, atau pengaturan privasi
  • Kerentanan kriptografi dalam keamanan lapisan transport standar (TLS) yang memungkinkan untuk serangan man-in-the-middle
  • Bypass layar kunci
  • Lewati perlindungan perangkat / perlindungan reset pabrik / pembatasan operator
  • Pencegahan target akses ke layanan darurat
  • Lewati persyaratan interaksi pengguna yang diamankan oleh TEE
Moderat
  • Eksekusi kode arbitrase jarak jauh dalam proses terbatas
  • Remote penolakan perangkat sementara layanan (remote hang atau reboot)
  • Eksekusi kode arbitrer lokal dalam proses tidakrivilegasi
  • Bypass umum untuk pertahanan mendalam atau memanfaatkan teknologi mitigasi dalam proses istimewa atau TCB
  • Lewati pembatasan pada proses yang dibatasi
  • Akses jarak jauh ke data yang tidak terlindungi (data biasanya dapat diakses oleh aplikasi apa pun yang dipasang secara lokal)
  • Akses lokal ke data yang dilindungi (data yang terbatas pada proses istimewa)
  • Bypass lokal dari persyaratan interaksi pengguna (akses ke fungsi yang biasanya membutuhkan inisiasi pengguna atau izin pengguna)
  • Kerentanan kriptografi dalam primitif kripto standar yang memungkinkan kebocoran plaintext (bukan primitif yang digunakan dalam TLS)
  • Memotong enkripsi atau otentikasi Wi-Fi dengan cara yang memungkinkan penyerang terhubung ke perangkat Android saat bertindak sebagai hotspot atau ke titik akses jaringan (AP) yang terhubung ke perangkat
Rendah
  • Eksekusi kode arbitrer lokal dalam proses terbatas
  • Kerentanan kriptografi dalam penggunaan non-standar
  • Bypass umum untuk pertahanan tingkat pengguna secara mendalam atau mengeksploitasi teknologi mitigasi dalam proses yang tidak terjangkau
Tidak Ada Dampak Keamanan (NSI)
  • Kerentanan yang dampaknya telah dimitigasi oleh satu atau lebih pengubah peringkat atau perubahan versi khusus sedemikian rupa sehingga tingkat keparahan efektif di bawah Rendah, meskipun masalah kode yang mendasarinya mungkin tetap

Pengubah peringkat

Sementara tingkat keparahan kerentanan keamanan seringkali mudah diidentifikasi, peringkat dapat berubah berdasarkan keadaan.

Alasan Efek
Membutuhkan berjalan sebagai proses istimewa untuk mengeksekusi serangan -1 Keparahan
Rincian kerentanan khusus membatasi dampak masalah -1 Keparahan
Konfigurasi kompiler atau platform mengurangi kerentanan dalam kode sumber Moderate Severity jika kerentanan yang mendasarinya adalah Moderate atau lebih tinggi
Membutuhkan akses fisik ke internal perangkat dan masih dimungkinkan jika ponsel mati atau belum dibuka sejak dihidupkan -1 Keparahan
Membutuhkan akses fisik ke internal perangkat saat ponsel aktif dan sebelumnya telah dibuka -2 Keparahan
Serangan lokal yang mengharuskan bootloader dibuka kuncinya Tidak lebih tinggi dari Rendah
Serangan lokal yang memerlukan Mode Pengembang atau pengaturan mode pengembang tetap untuk diaktifkan pada perangkat (dan bukan bug dalam Mode Pengembang). Tidak lebih tinggi dari Rendah
Jika tidak ada domain SELinux dapat melakukan operasi di bawah SEPolicy yang disediakan Google Tidak Ada Dampak Keamanan

Lokal versus jarak jauh

Vektor serangan jarak jauh menunjukkan bahwa bug dapat dieksploitasi tanpa menginstal aplikasi atau tanpa akses fisik ke perangkat. Ini termasuk bug yang dapat dipicu oleh browsing ke halaman web, membaca email, menerima pesan SMS, atau menghubungkan ke jaringan yang bermusuhan. Untuk tujuan tingkat keparahan kami, tim keamanan Android juga menganggap vektor serangan "proksimal" sebagai jarak jauh. Ini termasuk bug yang dapat dieksploitasi hanya oleh penyerang yang secara fisik dekat dengan perangkat target, misalnya, bug yang mengharuskan pengiriman paket Wi-Fi atau Bluetooth yang salah. Tim keamanan Android menganggap serangan berbasis NFC sebagai proksimal dan karenanya jauh.

Serangan lokal mengharuskan korban untuk menjalankan aplikasi, baik dengan menginstal dan menjalankan aplikasi atau dengan menyetujui untuk menjalankan Aplikasi Instan . Untuk tujuan tingkat keparahan, tim keamanan Android juga menganggap vektor serangan fisik sebagai lokal. Ini termasuk bug yang dapat dieksploitasi hanya oleh penyerang yang memiliki akses fisik ke perangkat, misalnya bug di layar kunci atau yang membutuhkan penyambungan kabel USB. Perhatikan bahwa serangan yang memerlukan koneksi USB memiliki tingkat keparahan yang sama terlepas dari apakah perangkat tersebut harus dibuka atau tidak; itu umum untuk perangkat untuk dibuka kuncinya saat dicolokkan ke USB.

Keamanan Wi-Fi

Android mengasumsikan bahwa semua jaringan bermusuhan dan bisa menyuntikkan serangan atau memata-matai lalu lintas. Untuk memastikan bahwa musuh tingkat jaringan tidak melewati perlindungan data aplikasi, Android sangat menganjurkan agar semua lalu lintas jaringan menggunakan enkripsi ujung-ke-ujung. Enkripsi level tautan tidak cukup.

Komponen yang terpengaruh

Tim pengembang yang bertanggung jawab untuk memperbaiki bug tergantung pada komponen di mana bug tersebut berada. Ini bisa menjadi komponen inti dari platform Android, driver kernel yang dipasok oleh produsen peralatan asli (OEM), atau salah satu aplikasi yang dimuat sebelumnya pada perangkat Pixel .

Bug dalam kode AOSP diperbaiki oleh tim teknik Android. Bug dengan keparahan rendah, bug dalam komponen tertentu, atau bug yang sudah diketahui publik dapat diperbaiki secara langsung di cabang master AOSP yang tersedia untuk umum; kalau tidak mereka akan diperbaiki di repositori internal kami terlebih dahulu.

Komponen juga merupakan faktor dalam cara pengguna mendapatkan pembaruan. Bug dalam framework atau kernel membutuhkan pembaruan firmware over-the-air (OTA) yang perlu didorong oleh setiap OEM. Bug di aplikasi atau perpustakaan yang diterbitkan di Google Play (misalnya, Gmail, Google Play Services, atau WebView) dapat dikirim ke pengguna Android sebagai pembaruan dari Google Play.

Memberitahu mitra

Saat kerentanan keamanan di AOSP diperbaiki dalam Buletin Keamanan Android, kami akan memberi tahu mitra Android tentang detail masalah dan memberikan tambalan. Daftar versi yang didukung backport berubah dengan setiap rilis Android baru. Hubungi produsen perangkat Anda untuk daftar perangkat yang didukung.

Melepaskan kode ke AOSP

Jika bug keamanan ada dalam komponen AOSP, perbaikan akan didorong ke AOSP setelah OTA dirilis ke pengguna. Perbaikan untuk masalah dengan tingkat keparahan rendah dapat dikirimkan langsung ke cabang master AOSP sebelum perbaikan tersedia untuk perangkat melalui OTA.

Menerima pembaruan Android

Pembaruan untuk sistem Android umumnya dikirimkan ke perangkat melalui paket pembaruan OTA. Pembaruan ini dapat datang dari OEM yang menghasilkan perangkat atau operator yang menyediakan layanan ke perangkat. Pembaruan perangkat Google Pixel datang dari tim Google Pixel setelah melalui prosedur pengujian penerimaan teknis (TA) operator. Google juga menerbitkan gambar pabrik Pixel yang dapat dimuat ke perangkat.

Memperbarui layanan Google

Selain menyediakan tambalan untuk bug keamanan, tim keamanan Android meninjau bug keamanan untuk menentukan apakah ada cara lain untuk melindungi pengguna. Misalnya, Google Play memindai semua aplikasi dan menghapus aplikasi apa pun yang berupaya mengeksploitasi bug keamanan. Untuk aplikasi yang diinstal dari luar Google Play, perangkat dengan Layanan Google Play juga dapat menggunakan fitur Verifikasi Aplikasi untuk memperingatkan pengguna tentang aplikasi yang mungkin berpotensi berbahaya.

Sumber daya lainnya

Informasi untuk pengembang aplikasi Android: https://developer.android.com

Informasi keamanan ada di seluruh situs Open Source dan Pengembang Android. Tempat yang bagus untuk memulai:

Laporan

Terkadang tim Keamanan Android menerbitkan laporan atau whitepapers. Lihat Laporan Keamanan untuk lebih jelasnya.