专栏首页FreeBuf大家一起看一看新的Android P将引入哪些安全性改进

大家一起看一看新的Android P将引入哪些安全性改进

根据Google的Android开发团队发布的新版本Android系统概述,下一个Android版本(Android P或Android 9.0)大家应该很快就可以“吃”上了。文件表示,Google在2018年第三季度的版本推送计划将在三个月左右的时间内实施完成:

AndroidP的测试目前即将结束,第一个候选版本也已经在7月份正式发布了。作为一名安全行业的从业人员,我们有必要看一看Android的最新版本到底引入了哪些新的安全功能。在这篇文章中,我们将主要讨论Android安全方面的改进。

提升指纹验证功能

为了保护数据的安全,目前绝大多数的设备都拥有不同形式的验证功能。新版的Android P提供了改进的基于生物特征的身份验证方法。在Android 8.1中,引入了两个新的指标来帮助身份特征系统抵御攻击,即SAR(欺骗接受率)和IAR(伪造接受率)。随着Android P引入的基于改进生物特征安全模型,新版本Android的生物认证将变得更加可靠和可信。

除此之外,Android P还会给指纹验证对话框提供标准化界面布局,以此增加用户对安全性方面的信心。应用程序开发者在调用指纹验证功能时,需要调用一个名叫BiometricPrompt的新型API,其他验证逻辑并不需要开发人员自己去实现。

签名机制v3

AndroidP支持APK签名机制V3,这个版本跟V2相比,主要区别在于增加了密钥轮转的支持。对于开发者来说,密钥轮转是非常有用的,因为这种机制包含了ApkSignerLineage。在这个功能的帮助下,你可以轻松对一个新的证书进行签名,并与APK文件进行绑定。虽然签名机制V3在新版本系统中是默认开启的,但你仍然可以使用旧版本的签名证书。

默认支持HTTPS

现在,很多App仍然会以未加密的形式来传输用户数据,这种方式存在很大的安全隐患。如果人们知道AndroidP默认支持安全传输协议的话,人们对数据安全的担忧将会降低。在Android P中,第三方开发者可以为自己的App开启HTTPS,不过他们也可以忽略这条建议,并指定专用的域名来传输未加密的流量数据。

保护确认API

所有运行了Android P的设备中都将出现一个保护确认API,在这个API的帮助下,App可以使用ConfirmationPrompt类来向用户显示确认弹窗,并询问他们是否允许相应操作,例如敏感交易和账单支付等等。

确认之后,App将接收到一个加密签名,这个签名在受信执行环境(TEE)中生成,并由基于密钥的哈希消息验证码(HMAC)保护。这种机制既保证了对话框的正确显示,又保护了用户的输入数据,这也是安全性提升的一个方面。

硬件安全模块

这个额外更新是每一位用户都会从中受益的:安装了Android P的设备将支持一个名叫StringBox Keymaster的功能,这个功能模块拥有自己的CPU、安全存储区域以及一个真实随机数生成器,它还可以保护App的数据包不被篡改。

为了支持StringBox Keymaster,Android P使用了原本加密算法的密钥子集,例如:

RSA2048 AES128 and 256 ECDSAP-256 HMAC-SHA256 TripleDES 168

外围设备后台策略

在Android P中,App将无法直接访问设备的麦克风、摄像头和传感器。当App尝试在后台访问这些组件时,用户将收到通知消息。如果App尝试在后台访问组件数据,系统将返回空白的音频数据,并断开摄像头连接,然后让所有的传感器停止返回数据。

备份数据加密

从Android P开始,系统会开始使用一种基于客户端的方法来对用户的备份数据进行加密,这也就意味着整个加密过程都将在客户端设备上完成。在此之前,这样的加密过程是在服务器端完成的。

由于新策略的引入,用户在恢复备份文件的时候将需要输入设备PIN码、图形解锁码或依靠生物特征来完成。

总结

所有的这些改进都将意味着一件事情,那就是网络犯罪分子窃取用户数据将会难上加难。这对于用户来说,是一个好消息,因为他们不必再像以前一样去过分担心自己的隐私数据发生泄漏了。

* 参考来源:malwarebytes,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-08-11

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 安全专家说Android 8.0和iPhone X一样安全,这是真的吗?

    Android 这两年的甜点代号越来越腻味,上个月 Android 8.0,以代号 Oreo(奥利奥)的方式问世了,奥利奥感觉比牛轧糖、棉花糖之类的都要甜。可能...

    FB客服
  • 安卓很受伤:Black Hat 2015黑客大会上将公布的6个移动安全威胁

    Black Hat 2015召开在即,现在随小编一起瞅瞅下个月将在Black Hat USA公布的一些Android安全威胁吧。 64位Android Root...

    FB客服
  • 安卓曝大漏洞:一条彩信可控制手机,影响95%设备

    以色列移动信息安全公司 Zimperium 研究人员 Joshua Drake 在 Android 系统中发现了多处安全漏洞,Android 2.2到5.1的所...

    FB客服
  • Google 到底是不是在抄袭?

    众所周知,将在今年的 5 月 8 日到 10 日举行一年一度的 I/O 开发者大会,不出意外就会发布 Android 9.0 系统。自从 Android Iss...

    非著名程序员
  • 遇到瓶颈如何提升自己?Android 最全知识体系总结及学习路线分享给你!

    1.首先要确立你的技术方向和目标,然后朝着这个方向和目标走下去,最重要的是做好职业规划

    Android技术干货分享
  • 速读原著-Android应用开发入门教程(Android SDK的开发环境)

    Android 的 SDK 开发环境使用预编译的内核和文件系统,屏蔽了 Android 软件架构第三层及以下的内容,开发者可以基于 Android 的系统 AP...

    cwl_java
  • Android Studio详细安装流程和配置、主题

    ? 原文作者:欧神. 杨 / OCN Yang 原文地址:http://ocnyang.com/2016/09/13/AndroidStudioSet/ 特别...

    非著名程序员
  • Android入门教程AS重制-A005 AS项目结构解析

    上一节课给大家介绍了如何使用AS进行开发我们的第一个Android应用程序——HelloWorld,本节课来给大家系统介绍一下在Android Studio中A...

    用户1130025
  • TensorFlow 1.x最后一更、Android 10最新特性,这是谷歌开发者日

    2019 谷歌开发者大会于 9 月 10 日和 11 日在上海举办,大会将分享众多开发经验与工具。在第一天的 KeyNote 中,谷歌发布了很多开发工具新特性,...

    机器之心
  • 数据原来可以这样美...

    大数据文摘

扫码关注云+社区

领取腾讯云代金券