[译] 在 Android P 中使用默认的 TLS 来保护你的用户

攥写自 Chad Brubaker,Android 安全部门高级软件工程师。

Android 一直致力于保护其用户,用户的设备以及用户数据的安全。其中一种我们保持数据安全的方式是让所有进入或离开 Android 设备的数据通过安全传输层(TLS)来通信。如同我们在 Android P 预览版中宣布的一样,我们正在通过阻止目标为 Android P 的应用在默认情况下允许未加密的连接这一行为来进一步改进这些保护措施。

伴随着多年来我们为了更好地保护 Android 用户所做出的改变。为了防止意外的非加密连接,我们在 Android Marshmallow 中引入了新的 manifest 属性 android:usesCleartextTraffic。在 Android Nougat 中,我们通过创建 Network Security Config 来扩展了这个属性,用来表明 app 并没有使用加密网络链接的倾向。在 Android Nougat 和 Oreo 中, 我们仍然允许明文传播。

如何更新我的 APP 呢?

如果你 app 的所有网络请求已经使用上了 TLS,那么你什么都不用做。但如果不是,你则是需要使用 TLS 来加密你所有的网络请求。如果你仍然需要发起明文传输的请求,继续往下读读看吧。

为什么我需要使用 TLS 呢?

Android 系统认为所有网络都可能是具有敌意的,因此应始终使用加密流量。移动设备则是更加容易受到攻击,因为它们经常性地链接到许多不同的网络,比如咖啡店的 Wi-Fi。

所有的网络传输都应该被加密,无论它们传输的何种内容,因为任何未加密的连接都可能被攻击并被注入额外内容,让潜在拥有脆弱防护性能的客户端代码更能够被多点击破,或是用来跟踪用户。如要获取更多的讯息,请查看我们之前的文章 protecting-against-unintentionalDeveloper Summit talk

TLS 会很慢吗?

当然不是!

如何在我的 APP 中使用 TLS?

一旦你的服务器端支持了 TLS,你只要简单地将 App 和服务器响应的 URL 从 http:// 改变成 https://。你的 HTTP 堆栈将会自动地处理好相关事宜。

如果你需要自己处理套接字,请使用 [SSLSocketFactory] 而不是 [SocketFactory]。请一定要特别注意正确地使用套接字,因为 [SSLSocket] 没有提供主机名的验证。你的 APP 需要自己来处理主机名验证,最好通过调用 [getDefaultHostnameVerifier()] 来处理主机名。而是,当你调用 HostnameVerifier.verify() 时一定要谨慎,它没有抛出任何异常或者错误,相反它返回了一个需要明确检查值的布尔值结果。

我还是需要使用明文传输...

当然你真的应该在所有链接中使用 TLS,但有可能由于历史原因你还是需要使用明文传输,比如连接上一台无人维护的老旧服务器。要这样做,你需要配置 APP 的网络安全设置来允许这些连接。

我们已经有了一些这样的范例配置。请查看 network security config 来获得更多的帮助。

允许特殊的域名使用明文传输

如果您需要允许连接到特定域名或一组域名,可以使用以下配置作为指导:

<network-security-config>
    <domain-config cleartextTrafficPermitted="true">
        <domain includeSubdomains="true">insecure.example.com</domain>
        <domain includeSubdomains="true">insecure.cdn.example.com</domain>
    </domain-config>
</network-security-config>

允许连接到任意不安全的域名

如果您的应用支持通过不安全连接从 URL 打开任意内容,你只需设置与自己的服务器通信时才使用加密传输。时刻记住,小心处理你从非安全连接得到的数据,它们可能已经在传输过程中被篡改。

<network-security-config>
    <domain-config cleartextTrafficPermitted="false">
        <domain includeSubdomains="true">example.com</domain>
        <domain includeSubdomains="true">cdn.example2.com</domain>
    </domain-config>
    <base-config cleartextTrafficPermitted="true" />
</network-security-config>

如何更新我的库呢?

如果你使用的库直接地创建了安全或者非安全的连接,确保它们在发起任意明文传输请求前调用过 isCleartextTrafficPermitted 来检查其行为可行性。


本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏沈唁志

HTTPS时代到来-七月开始Chrome 68将会把所有HTTP站点标记为不安全

谷歌在2018年2月初的时候就宣布:自2018年7月份开始,Chrome浏览器将会标记所有依然使用HTTP的网站为“不安全”

981
来自专栏SDNLAB

OpenDaylight铍版本初体验——坑还多吗

OpenDaylight项目发布铍版本(ODL Be),这也是其发布的第四个版本,距离上次发布锂版本(SR3)仅仅只相隔了两个半月,相比较以前版本发布,时间较短...

3528
来自专栏更流畅、简洁的软件开发方式

【自然框架】之通用权限的Demo(一):角色的添加和修改

      非常抱歉,我是一个靠激情来工作的人,有心情做什么多快,没心情的时候什么都不爱做。最近很烦,所以速度也很慢。原本打算周一拿出来Demo的,结果延迟了现...

2499
来自专栏安恒信息

中国黑客组织发现第二个Android万能密钥漏洞

一个中国的安全组织Android Security Squad称他们发现了第二个万能密钥,能够在不破坏应用签名的情况下修改应用本身。 一个文件或者文档的数字签名...

2554
来自专栏极客猴

这些抓包工具,你值得拥有

如今的时代是互联网时代,互联网已经在我们的生活如影随形。可以说我们无时无刻在跟互联网打交道。而在工作,我们可能会因开发调试、测试、排查网络故障等原因,需要对网路...

502
来自专栏Java后端技术

几款效率神器助你走上人生巅峰

  在我的工作和生活中,我一直都很注重效率工具的使用,这么些年下来也积累好几款很不错,但是又不为大多数人所熟知的软件工具,我用起来得心应手,很不错。那我就像在此...

763
来自专栏前端笔记

【网站搬家】主机从上海更换为香港,域名不变。

背景:腾讯云学生机支持领取“新购卷”更换一次主机,借这个大好的机会,于是乎我就把主机数据统统转移到了新购的香港机。当然也包括这个博客网站数据在内,有兴趣了解一下...

4149
来自专栏Python绿色通道

抓取得到App音频数据

这两天知识星球Python绿色通道铁粉集中营上有球友要求布置一个抓取得到App数据的作业,于是我二话不说就撸了一把.

1014
来自专栏腾讯技术工程官方号的专栏

WEB加速,协议先行 ( 下)

本文分享了 STGW 及腾讯云 CLB 在 WEB 协议优化过程中的实践经验,并对WEB协议的未来进行了探讨分析。

4683
来自专栏即时通讯技术

现代移动端网络短连接的优化手段总结:请求速度、弱网适应、安全保障

众所周之,通常我们开发一个移动端应用,会直接调用系统提供的网络请求接口去服务端请求数据,再针对返回的数据进行一些处理,或者使用iOS中的开源AFNetworki...

942

扫码关注云+社区