歡迎光臨
每天分享高質量文章

【每日安全資訊】大家一起看一看新的Android P將引入哪些安全性改進

根據Google的Android開發團隊發佈的新版本Android系統概述,下一個Android版本(Android P或Android 9.0)大家應該很快就可以“吃”上了。檔案表示,Google在2018年第三季度的版本推送計劃將在三個月左右的時間內實施完成:

AndroidP的測試目前即將結束,第一個候選版本也已經在7月份正式發佈了。作為一名安全行業的從業人員,我們有必要看一看Android的最新版本到底引入了哪些新的安全功能。在這篇文章中,我們將主要討論Android安全方面的改進。

提升指紋驗證功能

為了保護資料的安全,目前絕大多數的設備都擁有不同形式的驗證功能。新版的Android P提供了改進的基於生物特征的身份驗證方法。在Android 8.1中,引入了兩個新的指標來幫助身份特征系統抵禦攻擊,即SAR(欺騙接受率)和IAR(偽造接受率)。隨著Android P引入的基於改進生物特征安全模型,新版本Android的生物認證將變得更加可靠和可信。

除此之外,Android P還會給指紋驗證對話框提供標準化界面佈局,以此增加用戶對安全性方面的信心。應用程式開發者在呼叫指紋驗證功能時,需要呼叫一個名叫BiometricPrompt的新型API,其他驗證邏輯並不需要開發人員自己去實現。

簽名機制v3

AndroidP支持APK簽名機制V3,這個版本跟V2相比,主要區別在於增加了密鑰輪轉的支持。對於開發者來說,密鑰輪轉是非常有用的,因為這種機制包含了ApkSignerLineage。在這個功能的幫助下,你可以輕鬆對一個新的證書進行簽名,並與APK檔案進行系結。雖然簽名機制V3在新版本系統中是預設開啟的,但你仍然可以使用舊版本的簽名證書。

預設支持HTTPS

現在,很多App仍然會以未加密的形式來傳輸用戶資料,這種方式存在很大的安全隱患。如果人們知道AndroidP預設支持安全傳輸協議的話,人們對資料安全的擔憂將會降低。在Android P中,第三方開發者可以為自己的App開啟HTTPS,不過他們也可以忽略這條建議,並指定專用的域名來傳輸未加密的流量資料。

保護確認API

所有運行了Android P的設備中都將出現一個保護確認API,在這個API的幫助下,App可以使用ConfirmationPrompt類來向用戶顯示確認彈窗,並詢問他們是否允許相應操作,例如敏感交易和賬單支付等等。

確認之後,App將接收到一個加密簽名,這個簽名在受信執行環境(TEE)中生成,並由基於密鑰的哈希訊息驗證碼(HMAC)保護。這種機制既保證了對話框的正確顯示,又保護了用戶的輸入資料,這也是安全性提升的一個方面。

硬體安全模塊

這個額外更新是每一位用戶都會從中受益的:安裝了Android P的設備將支持一個名叫StringBox Keymaster的功能,這個功能模塊擁有自己的CPU、安全儲存區域以及一個真實隨機數生成器,它還可以保護App的資料包不被篡改。

為了支持StringBox Keymaster,Android P使用了原本加密演算法的密鑰子集,例如:

RSA2048

AES128 and 256

ECDSAP-256

HMAC-SHA256

TripleDES 168

外圍設備後臺策略

在Android P中,App將無法直接訪問設備的麥克風、攝像頭和傳感器。當App嘗試在後臺訪問這些組件時,用戶將收到通知訊息。如果App嘗試在後臺訪問組件資料,系統將傳回空白的音頻資料,並斷開攝像頭連接,然後讓所有的傳感器停止傳回資料。

備份資料加密

從Android P開始,系統會開始使用一種基於客戶端的方法來對用戶的備份資料進行加密,這也就意味著整個加密過程都將在客戶端設備上完成。在此之前,這樣的加密過程是在服務器端完成的。

由於新策略的引入,用戶在恢復備份檔案的時候將需要輸入設備PIN碼、圖形解鎖碼或依靠生物特征來完成。

總結

所有的這些改進都將意味著一件事情,那就是網絡犯罪分子竊取用戶資料將會難上加難。這對於用戶來說,是一個好訊息,因為他們不必再像以前一樣去過分擔心自己的隱私資料發生泄漏了。

* 參考來源:malwarebytes,FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM

更多資訊

◈ 數百家美國新聞網站因 GDPR 規定屏蔽歐洲用戶

http://t.cn/RDOuJZE

◈ 研究人員演示對三星手機的 Meltdown 攻擊

http://t.cn/RDOuaIZ

◈ 美國主要城市上半年惡意軟體感染率最高的是亞特蘭大、奧蘭多和丹佛

http://t.cn/RDOuC4i

◈ 英國安全專家採用改裝後的USB-C 蘋果充電器來劫持設備

http://t.cn/RDOu8w8

(信息來源於網絡,安華金和搜集整理)


赞(0)

分享創造快樂