知識星球
根據Google的Android開發團隊釋出的新版本Android系統概述,下一個Android版本(Android P或Android 9.0)大家應該很快就可以“吃”上了。檔案表示,Google在2018年第三季度的版本推送計劃將在三個月左右的時間內實施完成:
AndroidP的測試目前即將結束,第一個候選版本也已經在7月份正式釋出了。作為一名安全行業的從業人員,我們有必要看一看Android的最新版本到底引入了哪些新的安全功能。在這篇文章中,我們將主要討論Android安全方面的改進。
提升指紋驗證功能
為了保護資料的安全,目前絕大多數的裝置都擁有不同形式的驗證功能。新版的Android P提供了改進的基於生物特徵的身份驗證方法。在Android 8.1中,引入了兩個新的指標來幫助身份特徵系統抵禦攻擊,即SAR(欺騙接受率)和IAR(偽造接受率)。隨著Android P引入的基於改進生物特徵安全模型,新版本Android的生物認證將變得更加可靠和可信。
除此之外,Android P還會給指紋驗證對話方塊提供標準化介面佈局,以此增加使用者對安全性方面的信心。應用程式開發者在呼叫指紋驗證功能時,需要呼叫一個名叫BiometricPrompt的新型API,其他驗證邏輯並不需要開發人員自己去實現。
簽名機制v3
AndroidP支援APK簽名機制V3,這個版本跟V2相比,主要區別在於增加了金鑰輪轉的支援。對於開發者來說,金鑰輪轉是非常有用的,因為這種機制包含了ApkSignerLineage。在這個功能的幫助下,你可以輕鬆對一個新的證書進行簽名,並與APK檔案進行系結。雖然簽名機制V3在新版本系統中是預設開啟的,但你仍然可以使用舊版本的簽名證書。
預設支援HTTPS
現在,很多App仍然會以未加密的形式來傳輸使用者資料,這種方式存在很大的安全隱患。如果人們知道AndroidP預設支援安全傳輸協議的話,人們對資料安全的擔憂將會降低。在Android P中,第三方開發者可以為自己的App開啟HTTPS,不過他們也可以忽略這條建議,並指定專用的域名來傳輸未加密的流量資料。
保護確認API
所有運行了Android P的裝置中都將出現一個保護確認API,在這個API的幫助下,App可以使用ConfirmationPrompt類來向用戶顯示確認彈窗,並詢問他們是否允許相應操作,例如敏感交易和賬單支付等等。
確認之後,App將接收到一個加密簽名,這個簽名在受信執行環境(TEE)中生成,並由基於金鑰的雜湊訊息驗證碼(HMAC)保護。這種機制既保證了對話方塊的正確顯示,又保護了使用者的輸入資料,這也是安全性提升的一個方面。
硬體安全模組
這個額外更新是每一位使用者都會從中受益的:安裝了Android P的裝置將支援一個名叫StringBox Keymaster的功能,這個功能模組擁有自己的CPU、安全儲存區域以及一個真實隨機數生成器,它還可以保護App的資料包不被篡改。
為了支援StringBox Keymaster,Android P使用了原本加密演演算法的金鑰子集,例如:
RSA2048
AES128 and 256
ECDSAP-256
HMAC-SHA256
TripleDES 168
外圍裝置後臺策略
在Android P中,App將無法直接訪問裝置的麥克風、攝像頭和感測器。當App嘗試在後臺訪問這些元件時,使用者將收到通知訊息。如果App嘗試在後臺訪問元件資料,系統將傳回空白的音訊資料,並斷開攝像頭連線,然後讓所有的感測器停止傳回資料。
備份資料加密
從Android P開始,系統會開始使用一種基於客戶端的方法來對使用者的備份資料進行加密,這也就意味著整個加密過程都將在客戶端裝置上完成。在此之前,這樣的加密過程是在伺服器端完成的。
由於新策略的引入,使用者在恢復備份檔案的時候將需要輸入裝置PIN碼、圖形解鎖碼或依靠生物特徵來完成。
總結
所有的這些改進都將意味著一件事情,那就是網路犯罪分子竊取使用者資料將會難上加難。這對於使用者來說,是一個好訊息,因為他們不必再像以前一樣去過分擔心自己的隱私資料發生洩漏了。
* 參考來源:malwarebytes,FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM
更多資訊
◈ 數百家美國新聞網站因 GDPR 規定遮蔽歐洲使用者
http://t.cn/RDOuJZE
◈ 研究人員演示對三星手機的 Meltdown 攻擊
http://t.cn/RDOuaIZ
◈ 美國主要城市上半年惡意軟體感染率最高的是亞特蘭大、奧蘭多和丹佛
http://t.cn/RDOuC4i
◈ 英國安全專家採用改裝後的USB-C 蘋果充電器來劫持裝置
http://t.cn/RDOu8w8
(資訊來源於網路,安華金和蒐集整理)
