Google cam kết thúc đẩy công bằng chủng tộc cho các cộng đồng Đen. Xem thế nào.
Trang này được dịch bởi Cloud Translation API.
Switch to English

Cập nhật bảo mật và tài nguyên

Nhóm bảo mật Android chịu trách nhiệm quản lý các lỗ hổng bảo mật được phát hiện trong nền tảng Android và nhiều ứng dụng Android cốt lõi đi kèm với các thiết bị Android.

Nhóm bảo mật Android tìm thấy các lỗ hổng bảo mật thông qua nghiên cứu nội bộ và cũng phản hồi các lỗi được báo cáo bởi các bên thứ ba. Nguồn của các lỗi bên ngoài bao gồm các vấn đề được báo cáo thông qua mẫu Vấn đề bảo mật Android , nghiên cứu học thuật đã xuất bản và được công bố trước, người bảo trì dự án nguồn mở, thông báo từ các đối tác nhà sản xuất thiết bị của chúng tôi và các vấn đề được tiết lộ công khai trên blog hoặc phương tiện truyền thông xã hội.

Báo cáo vấn đề bảo mật

Bất kỳ nhà phát triển, người dùng Android hoặc nhà nghiên cứu bảo mật nào cũng có thể thông báo cho nhóm bảo mật Android về các vấn đề bảo mật tiềm ẩn thông qua biểu mẫu báo cáo lỗ hổng bảo mật .

Lỗi được đánh dấu là vấn đề bảo mật không thể nhìn thấy bên ngoài, nhưng cuối cùng chúng có thể được hiển thị sau khi vấn đề được đánh giá hoặc giải quyết. Nếu bạn có kế hoạch gửi bản vá hoặc kiểm tra Bộ tương thích (CTS) để giải quyết vấn đề bảo mật, vui lòng đính kèm nó vào báo cáo lỗi và chờ phản hồi trước khi tải mã lên AOSP.

Lỗi xử lý

Nhiệm vụ đầu tiên trong việc xử lý lỗ hổng bảo mật là xác định mức độ nghiêm trọng của lỗi và thành phần nào của Android bị ảnh hưởng. Mức độ nghiêm trọng xác định mức độ ưu tiên của sự cố và thành phần xác định ai sẽ sửa lỗi, ai được thông báo và cách khắc phục được triển khai cho người dùng.

Các loại quy trình

Bảng này bao gồm các định nghĩa về các loại quy trình. Loại quy trình có thể được xác định bởi loại ứng dụng hoặc quy trình hoặc khu vực mà nó chạy. Bảng này được sắp xếp từ ít nhất đến đặc quyền nhất.

Loại quy trình Định nghĩa kiểu
Quá trình hạn chế Một quá trình chạy trong một miền SELinux rất hạn chế.
HOẶC LÀ
Một quá trình hạn chế hơn đáng kể so với một ứng dụng thông thường.
Quá trình không được ưu đãi Một ứng dụng hoặc quy trình của bên thứ ba.
HOẶC LÀ
Một ứng dụng hoặc quá trình chạy trong SELinux untrusted_app miền.
Quy trình đặc quyền Một ứng dụng hoặc quá trình với khả năng đó sẽ bị cấm bởi SELinux untrusted_app miền.
HOẶC LÀ
Một ứng dụng hoặc quy trình với các đặc quyền quan trọng mà ứng dụng của bên thứ ba không thể có được.
HOẶC LÀ
Một thành phần phần cứng tích hợp trên thiết bị không phải là một phần của cơ sở tính toán đáng tin cậy (TCB).
Cơ sở tính toán đáng tin cậy (TCB) Chức năng là một phần của kernel, chạy trong cùng bối cảnh CPU với kernel (như trình điều khiển thiết bị), có quyền truy cập trực tiếp vào bộ nhớ kernel (như các thành phần phần cứng trên thiết bị), có khả năng tải tập lệnh vào thành phần kernel ( ví dụ: eBPF), Bộ xử lý Baseband hoặc là một trong số ít các dịch vụ người dùng được coi là tương đương kernel: init , ueventdvold .
Bộ tải khởi động Một thành phần cấu hình thiết bị khi khởi động và sau đó chuyển điều khiển sang HĐH Android.
Môi trường thực thi đáng tin cậy (TEE) Một thành phần được thiết kế để được bảo vệ khỏi ngay cả một hạt nhân thù địch.
Phần tử bảo mật (SE) Một thành phần tùy chọn được thiết kế để được bảo vệ khỏi tất cả các thành phần khác trên thiết bị và khỏi sự tấn công vật lý, như được định nghĩa trong Giới thiệu về Yếu tố bảo mật .

Mức độ nghiêm trọng

Mức độ nghiêm trọng của một lỗi nói chung phản ánh tác hại tiềm ẩn có thể xảy ra nếu một lỗi được khai thác thành công. Sử dụng các tiêu chí sau để xác định mức độ nghiêm trọng.

Xếp hạng Hậu quả của việc khai thác thành công
Bạo kích
  • Truy cập trái phép vào dữ liệu được bảo mật bởi SE
  • Thực thi mã tùy ý trong TEE hoặc SE
  • Thực thi mã tùy ý từ xa trong một quy trình đặc quyền, bộ nạp khởi động hoặc TCB
  • Từ chối dịch vụ vĩnh viễn từ xa (không hoạt động của thiết bị: hoàn toàn vĩnh viễn hoặc yêu cầu khởi động lại toàn bộ hệ điều hành hoặc khôi phục cài đặt gốc)
  • Bỏ qua các yêu cầu tương tác của người dùng khi cài đặt gói hoặc hành vi tương đương
  • Bỏ qua các yêu cầu tương tác của người dùng đối với mọi cài đặt của nhà phát triển, bảo mật hoặc quyền riêng tư
  • Bỏ qua khởi động an toàn từ xa
  • Bỏ qua các cơ chế an toàn được thiết kế để ngăn chặn các thành phần phần cứng quan trọng khỏi sự cố (ví dụ: bảo vệ nhiệt)
Cao
  • Bỏ qua khởi động an toàn cục bộ
  • Bỏ qua hoàn toàn tính năng bảo mật cốt lõi (chẳng hạn như SELinux, FDE hoặc seccomp)
  • Thực thi mã tùy ý từ xa trong một quy trình không có đặc quyền
  • Thực thi mã tùy ý cục bộ trong một quy trình đặc quyền, bộ nạp khởi động hoặc TCB
  • Truy cập trái phép vào dữ liệu được bảo mật bởi TEE
  • Các cuộc tấn công chống lại SE dẫn đến việc hạ cấp xuống một triển khai kém an toàn hơn
  • Bỏ qua cục bộ các yêu cầu tương tác của người dùng khi cài đặt gói hoặc hành vi tương đương
  • Truy cập từ xa vào dữ liệu được bảo vệ (dữ liệu được giới hạn trong một quy trình đặc quyền)
  • Từ chối dịch vụ vĩnh viễn cục bộ (không hoạt động của thiết bị: vĩnh viễn hoặc yêu cầu khởi động lại toàn bộ hệ điều hành hoặc khôi phục cài đặt gốc)
  • Bỏ qua các yêu cầu tương tác của người dùng (quyền truy cập vào chức năng hoặc dữ liệu thường yêu cầu bắt đầu người dùng hoặc sự cho phép của người dùng)
  • Truyền thông tin nhạy cảm qua giao thức mạng không an toàn (ví dụ: HTTP và Bluetooth không được mã hóa) khi người yêu cầu mong muốn truyền an toàn (lưu ý rằng điều này không áp dụng cho mã hóa Wi-Fi, như WEP)
  • Một đường vòng chung để bảo vệ theo chiều sâu hoặc khai thác công nghệ giảm thiểu trong bộ nạp khởi động hoặc TEE
  • Bỏ qua chung cho bảo vệ hệ điều hành cô lập dữ liệu ứng dụng hoặc hồ sơ người dùng với nhau
  • Bỏ qua cục bộ các yêu cầu tương tác của người dùng đối với mọi cài đặt của nhà phát triển, bảo mật hoặc quyền riêng tư
  • Lỗ hổng mật mã trong bảo mật lớp vận chuyển tiêu chuẩn (TLS) cho phép các cuộc tấn công trung gian
  • Bỏ qua màn hình khóa
  • Bỏ qua bảo vệ thiết bị / bảo vệ thiết lập lại nhà máy / hạn chế nhà cung cấp
  • Mục tiêu phòng ngừa truy cập vào các dịch vụ khẩn cấp
  • Bỏ qua các yêu cầu tương tác của người dùng được bảo đảm bởi TEE
Vừa phải
  • Thực thi mã tùy ý từ xa trong một quy trình bị ràng buộc
  • Từ chối dịch vụ tạm thời của thiết bị (treo hoặc khởi động lại từ xa)
  • Thực thi mã tùy ý cục bộ trong một quy trình không được ưu tiên
  • Một đường vòng chung để bảo vệ chuyên sâu hoặc khai thác công nghệ giảm thiểu trong một quy trình đặc quyền hoặc TCB
  • Bỏ qua các hạn chế về một quy trình bị ràng buộc
  • Truy cập từ xa vào dữ liệu không được bảo vệ (dữ liệu thường có thể truy cập vào bất kỳ ứng dụng nào được cài đặt cục bộ)
  • Truy cập cục bộ vào dữ liệu được bảo vệ (dữ liệu được giới hạn trong một quy trình đặc quyền)
  • Bỏ qua cục bộ các yêu cầu tương tác của người dùng (quyền truy cập vào chức năng thường yêu cầu bắt đầu người dùng hoặc sự cho phép của người dùng)
  • Lỗ hổng mã hóa trong các nguyên thủy mã hóa tiêu chuẩn cho phép rò rỉ bản rõ (không phải là nguyên thủy được sử dụng trong TLS)
  • Bỏ qua mã hóa hoặc xác thực Wi-Fi theo cách cho phép kẻ tấn công kết nối với thiết bị Android khi hoạt động như một điểm phát sóng hoặc đến điểm truy cập mạng (AP) mà thiết bị được kết nối với
Thấp
  • Thực thi mã tùy ý cục bộ trong một quy trình bị ràng buộc
  • Lỗ hổng mật mã trong việc sử dụng không chuẩn
  • Một đường vòng chung để bảo vệ mức độ người dùng theo chiều sâu hoặc khai thác công nghệ giảm thiểu trong một quy trình không được ưu tiên
Không có tác động bảo mật (NSI)
  • Một lỗ hổng có tác động đã được giảm thiểu bằng một hoặc nhiều sửa đổi xếp hạng hoặc thay đổi kiến ​​trúc theo phiên bản cụ thể sao cho mức độ nghiêm trọng hiệu quả ở dưới Thấp, mặc dù vấn đề mã cơ bản có thể vẫn còn

Công cụ sửa đổi đánh giá

Mặc dù mức độ nghiêm trọng của lỗ hổng bảo mật thường dễ xác định, xếp hạng có thể thay đổi dựa trên hoàn cảnh.

Lý do Hiệu ứng
Yêu cầu chạy như một quy trình đặc quyền để thực hiện cuộc tấn công -1 Mức độ nghiêm trọng
Các chi tiết cụ thể dễ bị tổn thương hạn chế tác động của vấn đề -1 Mức độ nghiêm trọng
Trình biên dịch hoặc cấu hình nền tảng giảm thiểu lỗ hổng trong mã nguồn Mức độ nghiêm trọng vừa phải nếu lỗ hổng cơ bản là Trung bình hoặc cao hơn
Yêu cầu quyền truy cập vật lý vào bên trong thiết bị và vẫn có thể nếu điện thoại tắt hoặc chưa được mở khóa kể từ khi được bật nguồn -1 Mức độ nghiêm trọng
Yêu cầu quyền truy cập vật lý vào bên trong thiết bị khi điện thoại đang bật và trước đó đã được mở khóa -2 Mức độ nghiêm trọng
Một cuộc tấn công cục bộ yêu cầu mở khóa bộ nạp khởi động Không cao hơn Thấp
Một cuộc tấn công cục bộ yêu cầu Chế độ nhà phát triển hoặc bất kỳ cài đặt chế độ nhà phát triển liên tục nào được bật trên thiết bị (và không phải là lỗi trong Chế độ nhà phát triển). Không cao hơn Thấp
Nếu không có tên miền SELinux có thể tiến hành hoạt động theo SEPolicy do Google cung cấp Không có tác động bảo mật

Địa phương so với từ xa

Một vectơ tấn công từ xa chỉ ra rằng lỗi có thể bị khai thác mà không cần cài đặt ứng dụng hoặc không có quyền truy cập vật lý vào thiết bị. Điều này bao gồm các lỗi có thể được kích hoạt bằng cách duyệt đến trang web, đọc email, nhận tin nhắn SMS hoặc kết nối với mạng thù địch. Với mục đích xếp hạng mức độ nghiêm trọng của chúng tôi, nhóm bảo mật Android cũng coi các vectơ tấn công "gần" là từ xa. Chúng bao gồm các lỗi chỉ có thể được khai thác bởi kẻ tấn công đang ở gần thiết bị đích, ví dụ, một lỗi yêu cầu gửi các gói Wi-Fi hoặc Bluetooth không đúng định dạng. Nhóm bảo mật Android coi các cuộc tấn công dựa trên NFC là gần và do đó từ xa.

Các cuộc tấn công cục bộ yêu cầu nạn nhân chạy một ứng dụng, bằng cách cài đặt và chạy một ứng dụng hoặc bằng cách đồng ý chạy Ứng dụng tức thì . Với mục đích xếp hạng mức độ nghiêm trọng, nhóm bảo mật Android cũng coi các vectơ tấn công vật lý là cục bộ. Chúng bao gồm các lỗi chỉ có thể được khai thác bởi kẻ tấn công có quyền truy cập vật lý vào thiết bị, ví dụ như lỗi trong màn hình khóa hoặc lỗi yêu cầu cắm cáp USB. Lưu ý rằng các cuộc tấn công yêu cầu kết nối USB có cùng mức độ nghiêm trọng bất kể thiết bị có được yêu cầu mở khóa hay không; thiết bị thường được mở khóa khi cắm vào USB.

Bảo mật Wi-Fi

Android giả định rằng tất cả các mạng đều thù địch và có thể thực hiện các cuộc tấn công hoặc gián điệp lưu lượng truy cập. Để đảm bảo rằng các đối thủ ở cấp độ mạng không bỏ qua các biện pháp bảo vệ dữ liệu ứng dụng, Android khuyến khích mạnh mẽ rằng tất cả lưu lượng truy cập mạng đều sử dụng mã hóa đầu cuối. Mã hóa cấp liên kết là không đủ.

Thành phần bị ảnh hưởng

Nhóm phát triển chịu trách nhiệm sửa lỗi phụ thuộc vào lỗi của thành phần nào. Đây có thể là thành phần cốt lõi của nền tảng Android, trình điều khiển hạt nhân được cung cấp bởi nhà sản xuất thiết bị gốc (OEM) hoặc một trong những ứng dụng được tải sẵn trên thiết bị Pixel .

Lỗi trong mã AOSP được sửa bởi nhóm kỹ thuật Android. Các lỗi nghiêm trọng thấp, lỗi trong một số thành phần nhất định hoặc lỗi đã được biết đến công khai có thể được sửa trực tiếp trong nhánh chính AOSP có sẵn công khai; mặt khác, chúng được cố định trong kho lưu trữ nội bộ của chúng tôi trước.

Thành phần này cũng là một yếu tố trong cách người dùng nhận được cập nhật. Một lỗi trong khung hoặc kernel yêu cầu cập nhật firmware không dây (OTA) mà mỗi OEM cần phải đẩy. Một lỗi trong ứng dụng hoặc thư viện được xuất bản trong Google Play (ví dụ: Gmail, Google Play Services hoặc WebView) có thể được gửi tới người dùng Android dưới dạng bản cập nhật từ Google Play.

Thông báo cho đối tác

Khi lỗ hổng bảo mật trong AOSP được khắc phục trong Bản tin bảo mật Android, chúng tôi sẽ thông báo cho các đối tác Android về chi tiết vấn đề và cung cấp các bản vá. Danh sách các phiên bản hỗ trợ backport thay đổi theo từng bản phát hành Android mới. Liên hệ với nhà sản xuất thiết bị của bạn để biết danh sách các thiết bị được hỗ trợ.

Phát hành mã cho AOSP

Nếu lỗi bảo mật nằm trong thành phần AOSP, bản sửa lỗi sẽ được đẩy ra AOSP sau khi OTA được phát hành cho người dùng. Các bản sửa lỗi cho các vấn đề nghiêm trọng thấp có thể được gửi trực tiếp đến chi nhánh chính AOSP trước khi có bản sửa lỗi cho các thiết bị thông qua OTA.

Nhận cập nhật Android

Các bản cập nhật cho hệ thống Android thường được gửi đến các thiết bị thông qua các gói cập nhật OTA. Những cập nhật này có thể đến từ OEM đã sản xuất thiết bị hoặc nhà cung cấp dịch vụ cho thiết bị. Các bản cập nhật thiết bị Google Pixel đến từ nhóm Google Pixel sau khi trải qua quy trình thử nghiệm chấp nhận kỹ thuật của nhà mạng (TA). Google cũng xuất bản các hình ảnh nhà máy Pixel có thể được tải bên cạnh các thiết bị.

Cập nhật dịch vụ của Google

Ngoài việc cung cấp các bản vá cho lỗi bảo mật, nhóm bảo mật Android xem xét các lỗi bảo mật để xác định xem có cách nào khác để bảo vệ người dùng hay không. Ví dụ: Google Play quét tất cả các ứng dụng và xóa mọi ứng dụng cố gắng khai thác lỗi bảo mật. Đối với các ứng dụng được cài đặt từ bên ngoài Google Play, các thiết bị có Dịch vụ Google Play cũng có thể sử dụng tính năng Xác minh ứng dụng để cảnh báo người dùng về các ứng dụng có thể gây hại.

Các nguồn lực khác

Thông tin dành cho nhà phát triển ứng dụng Android: https://developer.android.com

Thông tin bảo mật tồn tại trên khắp các trang web dành cho nhà phát triển và mã nguồn mở Android. Nơi tốt để bắt đầu:

Báo cáo

Đôi khi, nhóm Bảo mật Android xuất bản các báo cáo hoặc trang trắng. Xem Báo cáo bảo mật để biết thêm chi tiết.