Google มุ่งมั่นที่จะพัฒนาความเท่าเทียมทางเชื้อชาติสำหรับชุมชนคนผิวดำ มาดูกันว่า
หน้านี้ได้รับการแปลโดย Cloud Translation API
Switch to English

การปรับปรุงความปลอดภัยและทรัพยากร

ทีมรักษาความปลอดภัย Android มีหน้าที่รับผิดชอบในการจัดการช่องโหว่ด้านความปลอดภัยที่พบในแพลตฟอร์ม Android และแอพ Android หลักจำนวนมากที่มาพร้อมกับอุปกรณ์ Android

ทีมรักษาความปลอดภัย Android พบช่องโหว่ด้านความปลอดภัยจากการวิจัยภายในและตอบสนองต่อข้อบกพร่องที่รายงานโดยบุคคลที่สาม แหล่งที่มาของข้อบกพร่องภายนอก ได้แก่ ปัญหาที่รายงานผ่าน เทมเพลตปัญหาด้านความปลอดภัยของ Android งานวิจัยทางวิชาการที่ตีพิมพ์และเผยแพร่ซ้ำผู้ดูแลโครงการโอเพนซอร์ซต้นน้ำการแจ้งเตือนจากพันธมิตรผู้ผลิตอุปกรณ์ของเรา

การรายงานปัญหาด้านความปลอดภัย

นักพัฒนาผู้ใช้ Android หรือนักวิจัยด้านความปลอดภัยสามารถแจ้งทีมความปลอดภัยของ Android เกี่ยวกับปัญหาความปลอดภัยที่อาจเกิดขึ้นผ่าน แบบฟอร์มการรายงานความเสี่ยงด้านความปลอดภัย

ข้อบกพร่องที่ทำเครื่องหมายว่าเป็นปัญหาด้านความปลอดภัยไม่สามารถมองเห็นได้จากภายนอก แต่ในที่สุดพวกเขาก็อาจมองเห็นได้หลังจากที่ปัญหาถูกประเมินหรือแก้ไข หากคุณวางแผนที่จะส่งชุดทดสอบหรือชุดทดสอบความเข้ากันได้ (CTS) เพื่อแก้ไขปัญหาความปลอดภัยโปรดแนบไปกับรายงานข้อผิดพลาดและรอการตอบกลับก่อนอัปโหลดรหัสไปยัง AOSP

ข้อบกพร่อง Triaging

ภารกิจแรกในการจัดการช่องโหว่ด้านความปลอดภัยคือการระบุความรุนแรงของข้อบกพร่องและองค์ประกอบของ Android ที่ได้รับผลกระทบ ความรุนแรงจะกำหนดวิธีการจัดลำดับความสำคัญของปัญหาและส่วนประกอบกำหนดว่าใครแก้ไขข้อผิดพลาดใครจะได้รับแจ้งและวิธีการแก้ไขจะถูกปรับใช้กับผู้ใช้

ประเภทกระบวนการ

ตารางนี้ครอบคลุมคำจำกัดความของประเภทกระบวนการ ประเภทกระบวนการสามารถกำหนดได้ตามประเภทของแอพหรือกระบวนการหรือพื้นที่ที่มันทำงาน ตารางนี้เรียงลำดับจากน้อยไปหามากที่สุด

ประเภทกระบวนการ พิมพ์คำจำกัดความ
กระบวนการ จำกัด กระบวนการที่ทำงานในโดเมน SELinux ที่ จำกัด
หรือ
กระบวนการที่ จำกัด อย่างมีนัยสำคัญมากกว่าแอปทั่วไป
กระบวนการที่ไม่ได้รับสิทธิพิเศษ แอพหรือกระบวนการของบุคคลที่สาม
หรือ
แอปหรือกระบวนการที่ทำงานในโดเมน SELinux untrusted_app
กระบวนการพิเศษ แอปหรือกระบวนการที่มีความสามารถที่ต้องห้ามโดยโดเมน SELinux untrusted_app
หรือ
แอพหรือกระบวนการที่มีสิทธิ์สำคัญที่แอพของบุคคลที่สามไม่สามารถรับได้
หรือ
ส่วนประกอบฮาร์ดแวร์ในตัวบนอุปกรณ์ที่ไม่ได้เป็นส่วนหนึ่งของฐานการคำนวณที่เชื่อถือได้ (TCB)
ฐานการคำนวณที่เชื่อถือได้ (TCB) ฟังก์ชั่นที่เป็นส่วนหนึ่งของเคอร์เนลทำงานในบริบท CPU เดียวกันกับเคอร์เนล (เช่นไดรเวอร์อุปกรณ์) มีการเข้าถึงโดยตรงไปยังหน่วยความจำเคอร์เนล (เช่นส่วนประกอบฮาร์ดแวร์บนอุปกรณ์) มีความสามารถในการโหลดสคริปต์ลงในองค์ประกอบเคอร์เนล ( ตัวอย่างเช่น eBPF), ตัวประมวลผล Baseband หรือเป็นหนึ่งในบริการผู้ใช้จำนวนหนึ่งที่พิจารณาว่าเทียบเท่ากับเคอร์เนล: init , ueventd และ vold
bootloader ส่วนประกอบที่กำหนดค่าอุปกรณ์เมื่อบู๊ตแล้วผ่านการควบคุมไปยัง Android OS
สภาพแวดล้อมการดำเนินการที่เชื่อถือได้ (TEE) ส่วนประกอบที่ออกแบบมาเพื่อป้องกันแม้แต่เคอร์เนลที่เป็นศัตรู
องค์ประกอบที่ปลอดภัย (SE) ส่วนประกอบทางเลือกที่ออกแบบมาเพื่อปกป้องจากส่วนประกอบอื่น ๆ ทั้งหมดบนอุปกรณ์และจากการโจมตีทางกายภาพตามที่กำหนดไว้ใน บทนำถึงองค์ประกอบความปลอดภัย

ความรุนแรง

ความรุนแรงของบั๊กมักสะท้อนถึงอันตรายที่อาจเกิดขึ้นหากบั๊กถูกใช้ประโยชน์สำเร็จ ใช้เกณฑ์ต่อไปนี้เพื่อกำหนดความรุนแรง

อันดับ ผลของการเอารัดเอาเปรียบที่ประสบความสำเร็จ
วิกฤติ
  • การเข้าถึงข้อมูลที่ปลอดภัยโดย SE ไม่ได้รับอนุญาต
  • การใช้รหัสโดยพลการใน TEE หรือ SE
  • การเรียกใช้โค้ดจากระยะไกลโดยพลการในกระบวนการที่ได้รับสิทธิพิเศษ bootloader หรือ TCB
  • การปฏิเสธการให้บริการระยะไกลแบบถาวรจากระยะไกล (การใช้งานไม่ได้ของอุปกรณ์: เป็นการถาวรอย่างสมบูรณ์หรือต้องการการ reflashing ทั้งระบบปฏิบัติการหรือการรีเซ็ตจากโรงงาน)
  • บายพาสระยะไกลของข้อกำหนดการโต้ตอบของผู้ใช้ในการติดตั้งแพ็คเกจหรือพฤติกรรมที่เทียบเท่า
  • บายพาสระยะไกลของข้อกำหนดการโต้ตอบของผู้ใช้สำหรับการตั้งค่าของนักพัฒนาความปลอดภัยหรือความเป็นส่วนตัว
  • บายพาสการบูตระยะไกลที่ปลอดภัย
  • บายพาสกลไกความปลอดภัยที่ออกแบบมาเพื่อป้องกันส่วนประกอบฮาร์ดแวร์ที่สำคัญไม่ให้ทำงานผิดพลาด (เช่นการป้องกันความร้อน)
สูง
  • บายพาสการบูตที่ปลอดภัยในเครื่อง
  • บายพาสที่สมบูรณ์ของฟีเจอร์ความปลอดภัยหลัก (เช่น SELinux, FDE หรือ seccomp)
  • การเรียกใช้โค้ดจากระยะไกลโดยพลการในกระบวนการที่ไม่ได้รับสิทธิพิเศษ
  • การใช้รหัสโดยอำเภอใจในกระบวนการพิเศษ bootloader หรือ TCB
  • การเข้าถึงข้อมูลที่ปลอดภัยโดย TEE โดยไม่ได้รับอนุญาต
  • การโจมตีต่อ SE ที่ส่งผลให้มีการลดระดับการใช้งานที่ปลอดภัยน้อยลง
  • การบายพาสแบบโลคัลของข้อกำหนดผู้ใช้สำหรับการติดตั้งแพ็กเกจหรือลักษณะการทำงานที่เทียบเท่า
  • การเข้าถึงข้อมูลที่ได้รับการปกป้องจากระยะไกล (ข้อมูลที่ จำกัด เฉพาะกระบวนการพิเศษ)
  • ปฏิเสธการให้บริการอย่างถาวรในพื้นที่ (ความไม่สามารถใช้งานของอุปกรณ์: ถาวรหรือต้องมีการ Reflashing ทั้งระบบปฏิบัติการหรือการรีเซ็ตเป็นค่าเริ่มต้นจากโรงงาน)
  • บายพาสระยะไกลของข้อกำหนดการโต้ตอบของผู้ใช้ (การเข้าถึงฟังก์ชันหรือข้อมูลที่ปกติต้องมีการเริ่มต้นผู้ใช้หรือสิทธิ์ของผู้ใช้)
  • การส่งข้อมูลที่ละเอียดอ่อนผ่านโปรโตคอลเครือข่ายที่ไม่ปลอดภัย (เช่น HTTP และบลูทู ธ ที่ไม่ได้เข้ารหัส) เมื่อผู้ร้องขอคาดว่าจะมีการส่งที่ปลอดภัย (โปรดทราบว่าสิ่งนี้ไม่ได้ใช้กับการเข้ารหัส Wi-Fi เช่น WEP)
  • บายพาสทั่วไปสำหรับการป้องกันในเชิงลึกหรือใช้ประโยชน์จากเทคโนโลยีการลดผลกระทบใน bootloader หรือ TEE
  • บายพาสทั่วไปสำหรับการปกป้องระบบปฏิบัติการที่แยกข้อมูลแอพหรือโปรไฟล์ผู้ใช้ออกจากกัน
  • บายพาสท้องถิ่นของข้อกำหนดการโต้ตอบของผู้ใช้สำหรับการตั้งค่าของนักพัฒนาความปลอดภัยหรือความเป็นส่วนตัว
  • ช่องโหว่การเข้ารหัสในการรักษาความปลอดภัยการขนส่งเลเยอร์มาตรฐาน (TLS) ที่ช่วยให้การโจมตีคนที่อยู่ตรงกลาง
  • บายพาส Lockscreen
  • ข้ามการป้องกันอุปกรณ์ / การป้องกันการรีเซ็ต / ข้อ จำกัด ของผู้ให้บริการจากโรงงาน
  • การป้องกันการเข้าถึงบริการฉุกเฉินอย่างมีเป้าหมาย
  • บายพาสข้อกำหนดของผู้ใช้ที่ปลอดภัยโดย TEE
ปานกลาง
  • การเรียกใช้โค้ดจากระยะไกลโดยพลการในกระบวนการที่ จำกัด
  • ปฏิเสธการให้บริการอุปกรณ์ชั่วคราวระยะไกล
  • การใช้รหัสโดยอำเภอในเครื่องในกระบวนการที่ไม่มีสิทธิพิเศษ
  • บายพาสทั่วไปสำหรับการป้องกันในเชิงลึกหรือใช้ประโยชน์จากเทคโนโลยีการบรรเทาผลกระทบในกระบวนการพิเศษหรือ TCB
  • การข้ามข้อ จำกัด ในกระบวนการที่มีข้อ จำกัด
  • การเข้าถึงระยะไกลไปยังข้อมูลที่ไม่มีการป้องกัน (โดยปกติแล้วข้อมูลที่เข้าถึงได้จากแอพที่ติดตั้งในเครื่อง)
  • การเข้าถึงข้อมูลที่ได้รับการป้องกันในท้องถิ่น (ข้อมูลที่ จำกัด เฉพาะกระบวนการพิเศษ)
  • บายพาสท้องถิ่นของข้อกำหนดการโต้ตอบของผู้ใช้ (การเข้าถึงฟังก์ชั่นที่โดยปกติจะต้องเริ่มต้นผู้ใช้หรือได้รับอนุญาตจากผู้ใช้)
  • ช่องโหว่การเข้ารหัสในการเข้ารหัสแบบดั้งเดิมมาตรฐานที่ยอมให้มีการรั่วไหลของข้อความธรรมดา (ไม่ใช่แบบดั้งเดิมที่ใช้ใน TLS)
  • การข้ามการเข้ารหัส Wi-Fi หรือการรับรองความถูกต้องในลักษณะที่ทำให้ผู้โจมตีสามารถเชื่อมต่อกับอุปกรณ์ Android เมื่อทำหน้าที่เป็นฮอตสปอตหรือไปยังจุดเชื่อมต่อเครือข่าย (AP) ที่อุปกรณ์นั้นเชื่อมต่อด้วย
ต่ำ
  • การใช้รหัสโดยอำเภอใจในกระบวนการที่ จำกัด
  • ช่องโหว่การเข้ารหัสในการใช้งานที่ไม่ได้มาตรฐาน
  • บายพาสทั่วไปสำหรับการป้องกันในระดับผู้ใช้ในเชิงลึกหรือใช้ประโยชน์จากเทคโนโลยีการบรรเทาผลประโยชน์ในกระบวนการที่ไม่ได้รับสิทธิพิเศษ
ไม่มีผลกระทบด้านความปลอดภัย (NSI)
  • ช่องโหว่ที่มีผลกระทบได้รับการแก้ไขโดยตัวดัดแปลงการจัดอันดับตั้งแต่หนึ่งตัวขึ้นไปหรือการเปลี่ยนแปลงสถาปัตยกรรมเฉพาะรุ่นซึ่งความรุนแรงที่มีประสิทธิภาพต่ำกว่าต่ำแม้ว่าปัญหารหัสพื้นฐานอาจยังคงอยู่

การดัดแปลงเรตติ้ง

ในขณะที่ความรุนแรงของช่องโหว่ด้านความปลอดภัยมักจะระบุได้ง่าย แต่การให้คะแนนอาจเปลี่ยนไปตามสถานการณ์

เหตุผล ผล
ต้องใช้การทำงานเป็นกระบวนการพิเศษเพื่อดำเนินการโจมตี -1 ความรุนแรง
รายละเอียดเฉพาะช่องโหว่ จำกัด ผลกระทบของปัญหา -1 ความรุนแรง
การกำหนดค่าคอมไพเลอร์หรือแพลตฟอร์มลดความเสี่ยงในซอร์สโค้ด ความรุนแรงระดับกลางหากช่องโหว่ที่สำคัญคือปานกลางหรือสูงกว่า
ต้องใช้การเข้าถึงทางกายภาพของอุปกรณ์ภายในและยังคงเป็นไปได้หากปิดโทรศัพท์หรือยังไม่ได้ปลดล็อคนับตั้งแต่เปิดเครื่อง -1 ความรุนแรง
ต้องมีการเข้าถึงอุปกรณ์ภายในที่มีอยู่จริงขณะเปิดใช้งานโทรศัพท์และถูกปลดล็อคก่อนหน้านี้ -2 ความรุนแรง
การโจมตีแบบโลคัลที่ต้องปลดล็อก bootloader ไม่สูงกว่าต่ำ
การโจมตีในท้องถิ่นที่ต้องใช้โหมดนักพัฒนาซอฟต์แวร์หรือการตั้งค่าโหมดผู้พัฒนาแบบถาวรใด ๆ ที่จะเปิดใช้งานบนอุปกรณ์ (และไม่ใช่ข้อผิดพลาดในโหมดนักพัฒนาซอฟต์แวร์) ไม่สูงกว่าต่ำ
หากไม่มีโดเมน SELinux สามารถดำเนินการได้ภายใต้ SEPolicy ที่ Google เป็นผู้จัดหา ไม่มีผลกระทบต่อความปลอดภัย

ท้องถิ่นกับระยะไกล

เวกเตอร์การโจมตีระยะไกลบ่งชี้ว่าข้อบกพร่องนั้นสามารถถูกใช้ประโยชน์ได้โดยไม่ต้องติดตั้งแอพหรือไม่สามารถเข้าถึงอุปกรณ์ได้ ซึ่งรวมถึงข้อบกพร่องที่สามารถถูกเรียกใช้โดยการเรียกดูเว็บเพจอ่านอีเมลรับข้อความ SMS หรือเชื่อมต่อกับเครือข่ายที่เป็นมิตร เพื่อวัตถุประสงค์ในการจัดระดับความรุนแรงของเราทีมรักษาความปลอดภัยของ Android ยังพิจารณาว่าเวกเตอร์การโจมตี "ใกล้เคียง" นั้นเป็นรีโมท สิ่งเหล่านี้รวมถึงข้อบกพร่องที่สามารถถูกโจมตีโดยผู้โจมตีที่อยู่ใกล้อุปกรณ์เป้าหมายตัวอย่างเช่นข้อบกพร่องที่ต้องส่งแพ็กเก็ต Wi-Fi หรือบลูทู ธ ที่มีรูปแบบไม่ถูกต้อง ทีมรักษาความปลอดภัย Android พิจารณาการโจมตีที่ใช้ NFC เป็นระยะใกล้เคียงและจากระยะไกล

การโจมตีในพื้นที่ต้องการให้เหยื่อรันแอพไม่ว่าจะโดยการติดตั้งและรันแอพหรือยินยอมให้เรียกใช้ แอพพลิเคชั่นทันที สำหรับวัตถุประสงค์ของการจัดอันดับความรุนแรงทีมรักษาความปลอดภัย Android ยังพิจารณาพาหะการโจมตีทางกายภาพเป็นระดับท้องถิ่น สิ่งเหล่านี้รวมถึงข้อบกพร่องที่สามารถถูกโจมตีโดยผู้โจมตีที่สามารถเข้าถึงอุปกรณ์ได้ตัวอย่างเช่นจุดบกพร่องในหน้าจอล็อคหรือตัวที่ต้องเสียบสาย USB โปรดทราบว่าการโจมตีที่ต้องใช้การเชื่อมต่อ USB นั้นมีความรุนแรงเท่ากันไม่ว่าจะต้องปลดล็อคอุปกรณ์หรือไม่ก็ตาม เป็นเรื่องปกติที่อุปกรณ์จะปลดล็อคในขณะที่เสียบเข้ากับ USB

ความปลอดภัย Wi-Fi

Android สันนิษฐานว่าเครือข่ายทั้งหมดนั้นเป็นศัตรูและอาจเป็นการโจมตีหรือสอดแนมการจราจร เพื่อให้แน่ใจว่าฝ่ายตรงข้ามในระดับเครือข่ายจะไม่เลี่ยงการปกป้องข้อมูลแอพ Android ขอแนะนำอย่างยิ่งว่าการรับส่งข้อมูลเครือข่ายทั้งหมดใช้การเข้ารหัสแบบครบวงจร การเข้ารหัสระดับลิงค์ไม่เพียงพอ

องค์ประกอบที่ได้รับผลกระทบ

ทีมพัฒนาที่รับผิดชอบในการแก้ไขข้อผิดพลาดนั้นขึ้นอยู่กับองค์ประกอบของข้อบกพร่องซึ่งอาจเป็นองค์ประกอบหลักของแพลตฟอร์ม Android ซึ่งเป็นไดรเวอร์เคอร์เนลที่จัดทำโดยผู้ผลิตอุปกรณ์ดั้งเดิม (OEM) หรือหนึ่งในแอพที่โหลดไว้ล่วงหน้าบนอุปกรณ์พิกเซล .

ข้อบกพร่องในรหัส AOSP ได้รับการแก้ไขโดยทีมวิศวกร Android ข้อบกพร่องที่มีความรุนแรงต่ำข้อบกพร่องในองค์ประกอบบางอย่างหรือข้อบกพร่องที่เป็นที่รู้จักสาธารณะแล้วอาจได้รับการแก้ไขโดยตรงในสาขาต้นแบบ AOSP ที่เปิดเผยต่อสาธารณะ ไม่เช่นนั้นจะถูกแก้ไขในที่เก็บข้อมูลภายในของเราก่อน

องค์ประกอบนี้ยังเป็นปัจจัยในการที่ผู้ใช้ได้รับการอัพเดต จุดบกพร่องในเฟรมเวิร์กหรือเคอร์เนลต้องการการอัปเดตเฟิร์มแวร์แบบ over-the-air (OTA) ที่ OEM แต่ละตัวต้องการผลักดัน ข้อผิดพลาดในแอพหรือไลบรารีที่เผยแพร่ใน Google Play (ตัวอย่างเช่น Gmail, Google Play Services หรือ WebView) สามารถส่งไปยังผู้ใช้ Android เป็นการอัปเดตจาก Google Play

การแจ้งเตือนพันธมิตร

เมื่อช่องโหว่ความปลอดภัยใน AOSP ได้รับการแก้ไขใน Android Security Bulletin เราจะแจ้งให้พันธมิตร Android ทราบถึงรายละเอียดของปัญหาและแจ้งแพตช์ รายการเวอร์ชันที่รองรับ backport จะเปลี่ยนไปด้วย Android ใหม่ทุกรุ่น ติดต่อผู้ผลิตอุปกรณ์ของคุณสำหรับรายการอุปกรณ์ที่รองรับ

ปล่อยรหัสไปที่ AOSP

หากข้อผิดพลาดด้านความปลอดภัยอยู่ในองค์ประกอบ AOSP การแก้ไขจะถูกส่งออกไปยัง AOSP หลังจากที่ OTA เผยแพร่สู่ผู้ใช้แล้ว การแก้ไขสำหรับปัญหาความรุนแรงต่ำอาจถูกส่งโดยตรงไปยังสาขาหลักของ AOSP ก่อนที่การแก้ไขจะพร้อมใช้งานสำหรับอุปกรณ์ผ่าน OTA

รับการอัปเดต Android

โดยทั่วไปแล้วการอัปเดตระบบ Android จะถูกส่งไปยังอุปกรณ์ผ่านแพ็คเกจการอัพเดท OTA การอัปเดตเหล่านี้อาจมาจาก OEM ที่ผลิตอุปกรณ์หรือผู้ให้บริการที่ให้บริการกับอุปกรณ์ การอัปเดตอุปกรณ์ Google Pixel มาจากทีม Google Pixel หลังจากผ่านกระบวนการทดสอบการยอมรับทางเทคนิคของผู้ให้บริการ (TA) Google ยังเผยแพร่ รูปภาพโรงงานของ Pixel ที่สามารถโหลดไปยังอุปกรณ์ได้

อัปเดตบริการของ Google

นอกเหนือจากการมอบแพตช์สำหรับข้อบกพร่องด้านความปลอดภัยแล้วทีมรักษาความปลอดภัย Android จะตรวจสอบข้อบกพร่องด้านความปลอดภัยเพื่อพิจารณาว่ามีวิธีอื่นในการปกป้องผู้ใช้หรือไม่ ตัวอย่างเช่น Google Play สแกนแอปทั้งหมดและลบแอพใด ๆ ที่พยายามใช้ประโยชน์จากข้อบกพร่องด้านความปลอดภัย สำหรับแอพที่ติดตั้งจากนอก Google Play อุปกรณ์ที่มีบริการ Google Play อาจใช้คุณสมบัติ ตรวจสอบแอพ เพื่อเตือนผู้ใช้เกี่ยวกับแอพที่อาจเป็นอันตราย

แหล่งข้อมูลอื่น ๆ

ข้อมูลสำหรับนักพัฒนาแอป Android: https://developer.android.com

มีข้อมูลความปลอดภัยทั่วทั้งเว็บไซต์โอเพ่นซอร์สและนักพัฒนาซอฟต์แวร์ สถานที่ที่ดีในการเริ่มต้น:

รายงาน

บางครั้งทีมรักษาความปลอดภัย Android จะเผยแพร่รายงานหรือรายงาน ดู รายงานความปลอดภัย สำหรับรายละเอียดเพิ่มเติม