Android güvenlik ekibi, Android platformunda ve Android cihazlarla birlikte gelen birçok temel Android uygulamasında keşfedilen güvenlik açıklarını yönetmekten sorumludur.
Android güvenlik ekibi, dahili araştırmalar yoluyla güvenlik açıklarını bulur ve ayrıca üçüncü taraflarca bildirilen hatalara yanıt verir. Dış hataların kaynakları konularında aracılığıyla bildirilen şunlardır Android Güvenlik Sorunu şablonuna alenen bloglar veya sosyal medyada yayınlanan açıklanan sorunları yayınlanan ve bizim cihaz üreticisi ortaklarımızdan akademik araştırmaları, memba açık kaynak projesi bakıcılarına, bildirimleri yayınlanmamış ve.
Güvenlik sorunlarını bildirme
Herhangi geliştirici, Android kullanıcı veya güvenlik araştırmacısı sayesinde potansiyel güvenlik sorunlarının Android güvenlik ekibi bildirebilir güvenlik açığı raporlama formu .
Güvenlik sorunları olarak işaretlenen hatalar dışarıdan görünür değildir, ancak sorun değerlendirildikten veya çözüldükten sonra sonunda görünür hale getirilebilir. Bir güvenlik sorununu çözmek için bir yama veya Uyumluluk Test Paketi (CTS) testi göndermeyi planlıyorsanız, lütfen bunu hata raporuna ekleyin ve kodu AOSP'ye yüklemeden önce yanıt bekleyin.
Hataları tetiklemek
Bir güvenlik açığını ele almanın ilk görevi, hatanın ciddiyetini ve Android'in hangi bileşeninin etkilendiğini belirlemektir. Önem derecesi, sorunun nasıl önceliklendirileceğini belirler ve bileşen, hatayı kimin düzelttiğini, kime bildirileceğini ve düzeltmenin kullanıcılara nasıl dağıtılacağını belirler.
bağlam türleri
Bu tablo, donanım ve yazılım güvenliği bağlamlarının tanımlarını kapsar. Bağlam, tipik olarak işlediği verilerin hassasiyeti veya içinde çalıştığı alan ile tanımlanabilir. Tüm güvenlik bağlamları tüm sistemler için geçerli değildir. Bu tablo en az ayrıcalıklıdan en ayrıcalıklıya doğru sıralanmıştır.
bağlam türü | Tip tanımı |
---|---|
kısıtlı bağlam | Yalnızca en az izinlerin sağlandığı kısıtlı bir yürütme ortamı. Örneğin, temel sisteme erişime izin vermeden güvenilmeyen verileri işlemek için uygulama "korumalı alanlar". |
ayrıcalığı olmayan bağlam | Ayrıcalıksız kod tarafından beklenen tipik bir yürütme ortamı. Örneğin, bir Android uygulaması bununla SELinux etki alanında çalışır untrusted_app_all özniteliği. |
Ayrıcalıklı bağlam | Yükseltilmiş izinlere erişimi olabilen, birden çok kullanıcı PII'sini işleyen ve/veya sistem bütünlüğünü koruyan ayrıcalıklı bir yürütme ortamı. Örneğin, yetenekleriyle bir Android uygulaması SELinux'un yasakladığı olacağını untrusted_app etki alanı veya erişimi olan privileged|signature izinler. |
Güvenilir bilgi işlem tabanı (TCB) | Çekirdeğin bir parçası olan, çekirdekle aynı CPU bağlamında çalışan (aygıt sürücüleri gibi), çekirdek belleğine (cihazdaki donanım bileşenleri gibi) doğrudan erişime sahip olan, komut dosyalarını bir çekirdek bileşenine yükleme yeteneğine sahip olan işlevsellik ( örneğin, eBPF), iletişim işlemcisi, ya da çekirdek eşdeğer kabul edilir kullanıcı bir hizmet avuç biridir: apexd , bpfloader , init , ueventd ve vold . |
Önyükleyici Zinciri | Aygıtı önyükleme sırasında yapılandıran ve ardından denetimi Android işletim sistemine geçiren bir bileşen. |
Güvenilir Yürütme Ortamı (TEE) | Düşman bir çekirdekten bile korunmak üzere tasarlanmış bir bileşen (örneğin, TrustZone ve Hypervisor). |
Güvenli Bölge / Güvenli Öğe (SE) | Tanımlandığı gibi tasarlanan bir isteğe bağlı donanım bileşeni, cihazdaki tüm diğer bileşenlerden ve fiziksel zararlardan korunmak için güvenli Elemanlar Introduction to . Bu, bazı Pixel cihazlarında bulunan Titan-M çipini içerir. |
önem
Bir hatanın ciddiyeti, genellikle bir hatanın başarıyla kullanılması durumunda oluşabilecek potansiyel zararı yansıtır. Önem derecesini belirlemek için aşağıdaki kriterleri kullanın.
Değerlendirme | Başarılı sömürünün sonucu |
---|---|
kritik |
|
Yüksek |
|
Ilıman |
|
Düşük |
|
İhmal Edilebilir Güvenlik Etkisi (NSI) |
|
Derecelendirme değiştiricileri
Güvenlik açıklarının önem derecesini belirlemek genellikle kolay olsa da, derecelendirmeler koşullara göre değişebilir.
Sebep | Etki |
---|---|
Saldırıyı yürütmek için ayrıcalıklı bir bağlam olarak çalıştırmayı gerektirir | -1 Önem derecesi |
Güvenlik açığına özel ayrıntılar, sorunun etkisini sınırlar | -1 Önem derecesi |
Doğrudan cihaz sahibinden biyometrik bilgi gerektiren biyometrik kimlik doğrulama atlaması | -1 Önem derecesi |
Derleyici veya platform yapılandırmaları, kaynak koddaki bir güvenlik açığını azaltır | Temel güvenlik açığı Orta veya daha yüksekse Orta Önem Derecesi |
Cihazın dahili bileşenlerine fiziksel erişim gerektirir ve cihaz kapalıysa veya açıldığından beri kilidi açılmamışsa yine de mümkündür | -1 Önem derecesi |
Cihaz açıkken ve daha önce kilidi açılmışken cihazın dahili bileşenlerine fiziksel erişim gerektirir | -2 Önem derecesi |
Önyükleyici zincirinin kilidinin açılmasını gerektiren yerel bir saldırı | Düşükten daha yüksek değil |
Geliştirici Modunun veya herhangi bir kalıcı geliştirici modu ayarının şu anda cihazda etkinleştirilmesini gerektiren (ve Geliştirici Modunun kendisinde bir hata olmayan) yerel bir saldırı. | Düşükten daha yüksek değil |
Hiçbir SELinux etki alanı, işlemi Google tarafından sağlanan SEPolicy kapsamında yürütemiyorsa | İhmal Edilebilir Güvenlik Etkisi |
Yerele karşı Proksimale karşı Uzak
Bir uzaktan saldırı vektörü, bir uygulama yüklemeden veya bir cihaza fiziksel erişim olmadan hatadan yararlanılabileceğini gösterir. Bu, bir web sayfasına göz atarak, bir e-postayı okuyarak, bir SMS mesajı alarak veya düşman bir ağa bağlanarak tetiklenebilecek hataları içerir. Şiddet derecelendirmelerimiz için "yakın" saldırı vektörlerini de uzak olarak kabul ediyoruz. Bunlar, yalnızca fiziksel olarak hedef cihazın yakınında bulunan bir saldırgan tarafından kullanılabilecek hataları içerir; örneğin, hatalı biçimlendirilmiş Wi-Fi veya Bluetooth paketleri gönderilmesini gerektiren bir hata. Ultra geniş bant (UWB) ve NFC tabanlı saldırıları yakın ve dolayısıyla uzak olarak değerlendiriyoruz.
Yerel saldırıları yükleme ve bir uygulama çalıştırarak veya bir çalıştırmak için rıza yoluyla, bir uygulamayı çalıştırmak için kurban gerektirir Anında App . Şiddet derecelendirmeleri amacıyla, fiziksel saldırı vektörlerini de yerel olarak kabul ediyoruz. Bunlara, yalnızca cihaza fiziksel erişimi olan bir saldırgan tarafından kullanılabilecek, örneğin kilit ekranındaki bir hata veya bir USB kablosunun takılmasını gerektiren hatalar dahildir. USB bağlantısı gerektiren saldırıların, cihazın kilidinin açılması gerekip gerekmediğine bakılmaksızın aynı önem derecesine sahip olduğunu unutmayın; USB'ye takılıyken cihazların kilidinin açılması yaygındır.
Ağ güvenliği
Android, tüm ağların düşmanca olduğunu ve saldırı enjekte edebileceğini veya trafikte casusluk yapabileceğini varsayar. Bağlantı katmanı güvenliği (örneğin, Wi-Fi şifreleme) bir aygıt ile bağlı olduğu Erişim Noktası arasındaki iletişimi güvence altına alırken, aygıt ile iletişim kurduğu sunucular arasındaki zincirde kalan bağlantıların güvenliğini sağlamak için hiçbir şey yapmaz.
Buna karşılık, HTTPS tipik olarak tüm iletişimi uçtan uca korur, verileri kaynağında şifreler, ardından şifresini çözer ve yalnızca nihai hedefine ulaştığında doğrular. Bu nedenle, bağlantı katmanı ağ güvenliğini tehlikeye atan güvenlik açıkları, HTTPS/TLS'deki güvenlik açıklarından daha az ciddi olarak derecelendirilir: İnternetteki çoğu iletişim için tek başına Wi-Fi şifrelemesi yetersizdir.
biyometrik kimlik doğrulama
Biyometrik kimlik doğrulama bir zorlu alandır ve hatta en iyi sistemlerin yakın bir maç aptal (bkz : Android 11'de Lockscreen ve kimlik doğrulama iyileştirmeler Android Geliştiricileri Blog ). Bu önem dereceleri, iki saldırı sınıfını birbirinden ayırır ve gerçek riski son kullanıcıya yansıtmayı amaçlar.
Birinci sınıf saldırılar, sahibinden yüksek kaliteli biyometrik veriler olmadan, genelleştirilebilir bir şekilde biyometrik kimlik doğrulamanın atlanmasına izin verir. Örneğin, bir saldırgan parmak izi sensörüne bir parça sakız yerleştirebilir ve sensörde kalan kalıntıya göre cihaza erişim sağlarsa, bu, hassas herhangi bir cihazda gerçekleştirilebilecek basit bir saldırıdır. Cihaz sahibinin herhangi bir bilgisi gerektirmez. Genelleştirilebilir olduğu ve potansiyel olarak daha fazla sayıda kullanıcıyı etkilediği göz önüne alındığında, bu saldırı tam önem derecesini alır (örneğin, bir Kilit Ekranı atlama için Yüksek).
Diğer saldırı sınıfı genellikle cihaz sahibine bağlı olarak bir sunum saldırı aracı (spoof) içerir. Bazen bu biyometrik bilginin elde edilmesi nispeten kolaydır (örneğin, birinin sosyal medyadaki profil resmi biyometrik kimlik doğrulamasını kandırmak için yeterliyse, o zaman biyometrik baypas tam önem derecesini alır). Ancak bir saldırganın doğrudan cihaz sahibinden biyometrik veri alması gerekiyorsa (örneğin, yüzlerinin kızılötesi taraması), bu, saldırıdan etkilenen insan sayısını sınırlayacak kadar önemli bir engeldir, bu nedenle bir -1 değiştiricisi vardır. .
SYSTEM_ALERT_WINDOW
ve Tapjacking
Sözleşme hakkında hakkında bilgi için SYSTEM_ALERT_WINDOW
ve tapjacking, BugHunter Üniversitesi'nin bölümüne "olmayan bir güvenlik-kritik ekran üzerinde Tapjacking / bindirme SYSTEM_ALERT_WINDOW açığını" bakın hiçbir güvenlik etkisi ile Bugs sayfa.
Etkilenen bileşen
Hatayı düzeltmekten sorumlu geliştirme ekibi, hatanın hangi bileşende olduğuna bağlıdır. Bu, Android platformunun temel bir bileşeni, bir orijinal ekipman üreticisi (OEM) tarafından sağlanan bir çekirdek sürücüsü veya Pixel cihazlarına önceden yüklenmiş uygulamalardan biri olabilir. .
AOSP kodundaki hatalar Android mühendislik ekibi tarafından düzeltildi. Düşük önemdeki hatalar, belirli bileşenlerdeki hatalar veya zaten genel olarak bilinen hatalar, doğrudan kamuya açık AOSP ana dalında düzeltilebilir; aksi takdirde, önce dahili depolarımızda sabitlenirler.
Bileşen ayrıca, kullanıcıların güncellemeleri nasıl aldıkları konusunda da bir faktördür. Çerçevedeki veya çekirdekteki bir hata, her OEM'in zorlaması gereken bir kablosuz (OTA) ürün yazılımı güncellemesi gerektirir. Google Play'de yayınlanan bir uygulama veya kitaplıktaki (örneğin, Gmail, Google Play Hizmetleri veya WebView) bir hata, Google Play'den bir güncelleme olarak Android kullanıcılarına gönderilebilir.
ortakları bilgilendirme
Bir Android Güvenlik Bülteni'nde AOSP'deki bir güvenlik açığı giderildiğinde, sorun ayrıntılarını Android ortaklarına bildirir ve düzeltme ekleri sağlarız. Backport destekli sürümlerin listesi, her yeni Android sürümüyle birlikte değişir. Desteklenen cihazların listesi için cihaz üreticinize başvurun.
Kodu AOSP'ye serbest bırakma
Güvenlik hatası bir AOSP bileşenindeyse, OTA kullanıcılara yayınlandıktan sonra düzeltme AOSP'ye gönderilir. Düşük önem derecesine sahip sorunlara yönelik düzeltmeler, bir OTA aracılığıyla cihazlara bir düzeltme sunulmadan önce doğrudan AOSP ana şubesine gönderilebilir.
Android güncellemelerini alma
Android sistemine yapılan güncellemeler genellikle OTA güncelleme paketleri aracılığıyla cihazlara iletilir. Bu güncellemeler, cihazı üreten OEM'den veya cihaza servis sağlayan operatörden gelebilir. Google Pixel cihaz güncellemeleri, bir operatör teknik kabul (TA) test prosedüründen geçtikten sonra Google Pixel ekibinden gelir. Google ayrıca yayınlamaktadır Piksel fabrika görüntüleri yan yüklü cihazlara olabilir.
Google hizmetlerini güncelleme
Android güvenlik ekibi, güvenlik hataları için yamalar sağlamanın yanı sıra, kullanıcıları korumanın başka yolları olup olmadığını belirlemek için güvenlik hatalarını da inceler. Örneğin, Google Play tüm uygulamaları tarar ve bir güvenlik açığından yararlanmaya çalışan tüm uygulamaları kaldırır. Google Play dışından yüklenen uygulamalar için Google Play Hizmetleri ile cihazlar da kullanabilir Uygulamaları Doğrula zararlı olabilecek uygulamalar hakkında kullanıcıları uyarmak için özelliği.
Diğer kaynaklar
Android uygulama geliştiricileri için bilgiler: https://developer.android.com
Güvenlik bilgileri, Android Açık Kaynak ve Geliştirici sitelerinde bulunur. Başlamak için iyi yerler:
- https://source.android.com/security/index
- https://developer.android.com/training/articles/security-tips
Raporlar
Bazen Android Güvenlik ekibi raporlar veya teknik incelemeler yayınlar. Bkz Güvenlik Raporları fazla ayrıntı için.