O Google tem o compromisso de promover a igualdade racial para as comunidades negras. Saiba como.

Proteja um dispositivo Android

O Android incorpora recursos de segurança líderes do setor e funciona com desenvolvedores e implementadores de dispositivos para manter a plataforma Android e o ecossistema seguros. Um modelo de segurança robusto é essencial para permitir um ecossistema vigoroso de aplicativos e dispositivos criados na plataforma Android e em torno dela e com suporte de serviços em nuvem. Como resultado, durante todo o seu ciclo de vida de desenvolvimento, o Android foi sujeito a um programa de segurança rigoroso.

O Android foi projetado para ser aberto. Os aplicativos Android usam hardware e software avançados, bem como dados locais e servidos, expostos por meio da plataforma para trazer inovação e valor aos consumidores. Para perceber esse valor, a plataforma oferece um ambiente de aplicativo que protege a confidencialidade, integridade e disponibilidade de usuários, dados, aplicativos, o dispositivo e a rede.

Proteger uma plataforma aberta requer uma arquitetura de segurança forte e programas de segurança rigorosos. O Android foi projetado com segurança em várias camadas que é flexível o suficiente para oferecer suporte a uma plataforma aberta, ao mesmo tempo que protege todos os usuários da plataforma. Para obter informações sobre relatar problemas de segurança e o processo de atualização, consulte Atualizações e Recursos de Segurança .

O Android foi projetado para desenvolvedores. Os controles de segurança foram projetados para reduzir a carga sobre os desenvolvedores. Os desenvolvedores com experiência em segurança podem trabalhar facilmente e contar com controles de segurança flexíveis. Os desenvolvedores menos familiarizados com a segurança são protegidos por padrões seguros.

Além de fornecer uma plataforma estável para a construção, o Android oferece suporte adicional aos desenvolvedores de várias maneiras. A equipe de segurança do Android procura vulnerabilidades em potencial em aplicativos e sugere maneiras de corrigir esses problemas. Para dispositivos com Google Play, o Play Services oferece atualizações de segurança para bibliotecas de software críticas, como OpenSSL, que é usado para proteger as comunicações de aplicativos. Segurança do Android lançou uma ferramenta para testar SSL ( nogotofail ) que ajuda os desenvolvedores a encontrar potenciais problemas de segurança em qualquer plataforma que eles estão desenvolvendo.

Mais informações para desenvolvedores de aplicativos Android pode ser encontrado em developer.android.com .

O Android foi projetado para usuários. Os usuários têm visibilidade das permissões solicitadas por cada aplicativo e controle sobre essas permissões. Esse design inclui a expectativa de que os invasores tentem realizar ataques comuns, como ataques de engenharia social para convencer os usuários do dispositivo a instalar malware e ataques a aplicativos de terceiros no Android. O Android foi projetado para reduzir a probabilidade desses ataques e limitar bastante o impacto do ataque caso tenha sido bem-sucedido. A segurança do Android continua a progredir depois que o dispositivo está nas mãos do usuário. Obras Android com parceiros e ao público para fornecer correções para qualquer dispositivo Android que continua a receber atualizações de segurança.

Mais informações para os usuários finais podem ser encontrados no centro Nexus ajuda , centro de ajuda Pixel , ou centro de ajuda do fabricante do dispositivo.

Esta página descreve os objetivos do programa de segurança Android, descreve os fundamentos da arquitetura de segurança Android e responde às perguntas mais pertinentes para arquitetos de sistema e analistas de segurança. Ele se concentra nos recursos de segurança da plataforma central do Android e não discute problemas de segurança exclusivos de aplicativos específicos, como aqueles relacionados ao navegador ou aplicativo SMS.

Fundo

O Android fornece uma plataforma de código aberto e um ambiente de aplicativo para dispositivos móveis.

As seções e páginas abaixo descrevem os recursos de segurança da plataforma Android. A Figura 1 ilustra os componentes de segurança e as considerações dos vários níveis da pilha de software Android. Cada componente pressupõe que os componentes abaixo estão devidamente protegidos. Com exceção de uma pequena quantidade de código do sistema operacional Android em execução como root, todo o código acima do kernel do Linux é restrito pelo Application Sandbox.

Figura 1: Pilha de software Android

Pilha de software Figura 1. Android

Os principais blocos de construção da plataforma Android são:

  • Hardware do dispositivo: roda o Android em uma ampla gama de configurações de hardware, incluindo celulares, tablets, relógios, automóveis, TVs inteligentes, caixas de jogos Ott, e set-top-boxes. O Android é independente do processador, mas tira proveito de alguns recursos de segurança específicos de hardware, como ARM eXecute-Never.
  • Sistema operacional Android: O sistema operacional principal é construído em cima do kernel do Linux. Todos os recursos do dispositivo, como funções de câmera, dados de GPS, funções de Bluetooth, funções de telefonia e conexões de rede são acessados ​​por meio do sistema operacional.
  • Aplicativo para Android Runtime: aplicativos Android são mais frequentemente escritos na linguagem de programação Java e executado em tempo de execução do Android (ART). No entanto, muitos aplicativos, incluindo os principais serviços e aplicativos Android, são aplicativos nativos ou incluem bibliotecas nativas. Ambos os aplicativos ART e nativos são executados no mesmo ambiente de segurança, contido no Application Sandbox. Os aplicativos obtêm uma parte dedicada do sistema de arquivos na qual podem gravar dados privados, incluindo bancos de dados e arquivos brutos.

Os aplicativos Android estendem o sistema operacional Android principal. Existem duas fontes principais de aplicativos:

  • Aplicativos pré-instalados: Android inclui um conjunto de aplicativos pré-instalados, incluindo telefone, e-mail, calendário, navegador web, e contatos. Eles funcionam como aplicativos de usuário e fornecem recursos essenciais do dispositivo que podem ser acessados ​​por outros aplicativos. Os aplicativos pré-instalados podem fazer parte da plataforma Android de código aberto ou podem ser desenvolvidos por um fabricante de dispositivo para um dispositivo específico.
  • Aplicativos instalados pelo usuário: Android fornece um ambiente de desenvolvimento aberto que suporta qualquer aplicativo de terceiros. O Google Play oferece aos usuários centenas de milhares de aplicativos.

Serviços de segurança do Google

Google fornece um conjunto de serviços baseados em nuvem que estão disponíveis para dispositivos Android compatíveis com Google Mobile Services . Embora esses serviços não façam parte do Android Open Source Project (AOSP), eles estão incluídos em muitos dispositivos Android. Para mais informações sobre alguns desses serviços, consulte Security Android 2018 Year in Review .

Os principais serviços de segurança do Google são:

  • Google Play: o Google Play é um conjunto de serviços que permitem aos utilizadores descobrir, instalar e aplicativos de compra de seu dispositivo Android ou na web. O Google Play torna mais fácil para os desenvolvedores alcançarem usuários do Android e clientes em potencial. Google Play também fornece análise da comunidade, app verificação de licença , varredura de segurança de aplicativos, e outros serviços de segurança.
  • Atualizações do Android: O serviço de atualização do Android oferece novas funcionalidades e atualizações de segurança para dispositivos Android selecionados, incluindo atualizações através da web ou over the air (OTA).
  • Serviços de App: Estruturas que permitem que aplicativos Android para recursos de uso na nuvem, como ( fazer backup ) dados de aplicativos e configurações e mensagens cloud-to-device ( C2DM ) para mensagens Push.
  • Verifique Apps: Avisar ou automaticamente bloquear a instalação de aplicativos nocivos, e os aplicativos continuamente digitalização no dispositivo, alertando sobre ou remoção de aplicativos nocivos .
  • SafetyNet: Um sistema de detecção de intrusão privacidade preservar para ajudar rastreamento Google, mitigar as ameaças à segurança conhecidas, e identificar novas ameaças à segurança.
  • SafetyNet Atestado: de terceiros API para determinar se o dispositivo é compatível CTS. Atestado também pode identificar o aplicativo para Android comunicação com o servidor de aplicativos.
  • Android Device Manager: Um aplicativo web e aplicativo Android para localizar perdido ou dispositivo roubado.

Visão geral do programa de segurança

Os principais componentes do Programa de Segurança Android incluem:

  • Design Review: O processo de segurança do Android começa no início do ciclo de desenvolvimento com a criação de um modelo de segurança ricos e configurável e design. Cada recurso principal da plataforma é revisado por recursos de engenharia e segurança, com controles de segurança apropriados integrados à arquitetura do sistema.
  • Penetração testes e revisão de código: Durante o desenvolvimento da plataforma, Android-criada e componentes de código aberto estão sujeitos a vigorosas revisões de segurança. Essas análises são realizadas pela equipe de segurança do Android, pela equipe de engenharia de segurança da informação do Google e por consultores de segurança independentes. O objetivo dessas análises é identificar pontos fracos e possíveis vulnerabilidades bem antes dos principais lançamentos e simular os tipos de análise que são realizados por especialistas em segurança externos após o lançamento.
  • Open source e comunidade revisão: AOSP permite uma ampla revisão de segurança por qualquer interessado. O Android também usa tecnologias de código aberto que passaram por uma revisão de segurança externa significativa, como o kernel do Linux. O Google Play oferece um fórum para usuários e empresas fornecerem informações sobre aplicativos específicos diretamente aos usuários.
  • Resposta a incidentes: Mesmo com essas precauções, questões de segurança pode ocorrer após o envio, razão pela qual o projeto Android criou um processo de resposta de segurança abrangente. Membros da equipe de segurança do Android em tempo integral monitorar o específico do Android e a comunidade de segurança geral para a discussão de possíveis vulnerabilidades e revisão bugs de segurança arquivados no banco de dados bug Android. Após a descoberta de problemas legítimos, a equipe do Android tem um processo de resposta que permite a mitigação rápida de vulnerabilidades para garantir que o risco potencial para todos os usuários do Android seja minimizado. Essas respostas com suporte na nuvem podem incluir atualização da plataforma Android (atualizações AOSP), remoção de aplicativos do Google Play e remoção de aplicativos de dispositivos em campo.
  • Atualizações mensais de segurança: A equipe de segurança do Android fornece atualizações mensais para dispositivos Google Android e todos os parceiros o nosso dispositivo de fabricação.

Arquitetura de segurança da plataforma

O Android busca ser o sistema operacional mais seguro e utilizável para plataformas móveis, reaproveitando os controles de segurança do sistema operacional tradicional para:

  • Proteja os dados do aplicativo e do usuário
  • Proteja os recursos do sistema (incluindo a rede)
  • Fornece isolamento de aplicativo do sistema, outros aplicativos e do usuário

Para atingir esses objetivos, o Android oferece os seguintes recursos de segurança importantes:

  • Segurança robusta no nível do sistema operacional por meio do kernel Linux
  • Sandbox de aplicativo obrigatório para todos os aplicativos
  • Comunicação segura entre processos
  • Assinatura de app
  • Permissões definidas pelo aplicativo e concedidas pelo usuário