Android işletim sisteminin her yeni sürümü, tasarım, özellikler, API’ler ve daha pek çok şey için hemen hemen her konuda iyileştirmeler getiriyor. Bu ayın başlarında Google I / O’da Android’in kazandığı tüm iyileştirmeleri öğrendikGetirecek ve elbette, konferanstan yeni gizlilik ve güvenlik duyuruları çıkarılmadı. Platform güvenliği, bir işletim sisteminin en önemli yönlerinden biridir, özellikle ceplerimizde yanımıza her yere getirdiğimiz bir işletim sistemi için. Android güvenli olmasaydı, bizim yaptığımızın yarısı kadar fonksiyona güvenmezdik. NFC ödemeleri söz konusu olmayacak, dosya paylaşımı en iyi ihtimalle şüpheli olacak ve diğer cihazlara bağlanmak düpedüz delilik olacaktır. Uzun süredir devam eden sürüm parçalanması konusuna rağmen, Google, güvenlik sorunlarının sayısını minimumda tutmak için son derece başarılı oldu.

Android, hem zengin özellikli hem de yüksek güvenlikli bir işletim sistemine dönüşmüştür. Ancak, elbette, iyileştirme için her zaman yer var. Bu güvenliğe katkıda bulunan birçok faktör var ve bir kısmı Android Q ile bir şekilde geliştiriliyor.

Şifreleme

En temel güvenlik yöntemlerinden biri olarak, her cihazın güçlü şifrelemeyi desteklemesi önemlidir. Bugünlerde pek çok OEM, cihazlarını özel şifreleme donanımıyla gönderiyor. Bu yararlı olsa da, pahalıdır. Bu nedenle, özel donanım tipik olarak orta ila yüksek kademeli cihazlar için sınırlandırılmıştır. Bu, düşük kaliteli cihazların şifrelemeyi destekleyemediği anlamına gelmez , ancak donanım hızlandırmalı şifreleme olmadan genel kullanıcı deneyimi yavaş okuma / yazma süreleri nedeniyle bozulur. Adiantum’un girdiği yer orası.

Adiantum

Şubat’ta Google, Adiantum’u, normal AES komut setlerini desteklemeyen düşük kaliteli telefonlar için alternatif bir şifreleme algoritması olarak duyurdu . Adiantum, özel bir donanım olmadan çalışacak şekilde özel olarak tasarlanmıştır. Android’in normal AES şifrelemesine daha hafif bir alternatif olarak hizmet veriyor. Google’ın kriterleri bize AES’ten 5 kat daha hızlı olduğunu ve dezavantajı, güvenlikten biraz ödün vermeyeceğini söylüyor. Bu, Android Go Edition tarafından desteklenenlar gibi düşük kaliteli telefonlar için ideal adaydır . Adiantum ayrıca akıllı saatler ve çeşitli Nesnelerin İnterneti cihazları gibi ürünler içindir.

Şimdiye kadar Adiantum isteğe bağlıydı; Üreticiler Android Pie ile başlatılan cihazlarda etkinleştirebilirdi , ancak varsayılan şifreleme algoritması değildi. Şimdi, Adiantum yerel olarak Android Q’nun bir parçası olarak dahil edildi. Bu, Q ile başlatılan tüm cihazların istisnasız olarak kullanıcı verilerini şifrelemek zorunda kalacağı anlamına geliyor. Sonuç olarak, Android Q ile başlatılan cihazların Adiantum aracılığıyla olsun veya olmasın, depolama şifrelemesi olması garanti edilir.

Jetpack Güvenlik Kütüphanesi

Jetpack bir dizi Android destek kütüphanesidir ve en yeni eklemelerden biri alfa’dır: Jetpack Güvenlik Kütüphanesi. Kütüphane, donanım destekli anahtar depolarının yönetimi gibi şeyleri ele alarak ve anahtarlar oluşturarak ve doğrulayarak uygulamanızı güvence altına alma işlemini basitleştirir.

TLS 1.3

Ancak, depolama alanında iyileştirilmiş olan tek alan şifreleme değildir. Varsayılan olarak TLS 1.3 desteğinin getirilmesi ile diğer cihazlarla iletişim çok geliştirildi . TLS 1.3, 2018 yılının Ağustos ayında IETF tarafından kesinleşen en son ağ şifreleme standardıdır. TLS 1.3, müzakere anlaşmalarının çoğunu şifreleyerek veri alışverişi için daha fazla gizlilik sağlar. Bunun yanı sıra, bağlantı kurmasının el sıkışmasından yapılan bütün bir seyahatin sona ermesi nedeniyle 1,2 TL’den daha hızlıdır. Daha verimli modern algoritmalar ile birleştiğinde, bu hızda% 40’a varan artış sağlar.

TLS artık doğrudan Google Play’den güncellenebiliyor çünkü “Şifrele” bileşeninin bir parçası. Bununla ilgili daha fazla bilgiyi ve Proje Anahatını buradan okuyabilirsiniz .

Günlük cihazlarımızda çok fazla hassas işlem yaptığımıza güvendiğimiz için, yükseltilmiş TLS her zamankinden daha önemlidir. Uçağa biniş kartlarının ve hatta dijital sürücü lisanslarının gelecekte bir noktada saklanması – tüm cihazların kullanıcı verilerini ellerinden geldiğince şifrelemesi gerektiği anlamına gelir. Adiantum ve zorla şifreleme, en ucuz cihazlarda depolanacak verilere en hassas verilerin bile önünü açacaktır. Ancak Google, Q sürümünde Android’in güvenliğini artırmanın tek yolu şifreleme değildir.

Android Q’daki İzinler ve Gizlilik değişiklikleri

Kapsamlı Depolama

Kapsamlı Depolama, uygulamaların kendi sanal alandaki uygulamaya özel dizinlerinde bulunmayan harici depolama alanındaki dosyaları okuma / yazmalarını kısıtlamak için kullanılan yeni bir korumadır. Google’ın hedefi üç katlıdır: hangi uygulamaların hangi dosyaların, uygulama verilerinin korunmasının ve kullanıcı verilerinin korunmasının üzerinde daha fazla kontrol sahibi olması.

Google, paylaşılan ses, video ve resim içeriği için MediaStore API’yı ikiye katlıyor. Varsayılan olarak, tüm uygulamalar herhangi bir izne ihtiyaç duymadan kendi dosyalarını MediaStore.Images, MediaStore.Video ve MediaStore.Audio koleksiyonlarına ekleyebilir, değiştirebilir veya silebilir. Android Q ayrıca , MediaStore API’sini kullanan tüm uygulamaların katkıda bulunabileceği, kullanıcı tarafından indirilen içeriği depolamak için yeni bir MediaStore ekler . Sanal alan uygulamasına özgü dizinlerde depolanan dosyalar kaldırıldıktan sonra silinirken, MediaStore koleksiyonlarına katkıda bulunan tüm dosyalar kaldırmanın ötesinde kalır.

Başka bir uygulama tarafından oluşturulan dosyalara erişmek için – dosyanın MediaStore koleksiyonlarından birinde veya dışında olması durumunda – uygulamanın Storage Access Framework uygulamasını kullanması gerekir. Ayrıca, uygulamanız yeni ACCESS_MEDIA_LOCATION iznine izin vermediyse, görüntülerin EXIF ​​meta verileri yeniden düzenlenir. Android Q’da uygulamalar, getExternalVolume () kullanarak birim adını sorgulayarak hangi depolama cihazının medyaya yükleneceğini de denetleyebilir.

Google başlangıçta Android Q’daki tüm uygulamalara Hedef API seviyelerine bakılmaksızın Kapsamlı Depolama kısıtlamaları uyguladı, ancak geri bildirimden sonra şirket geliştiricilere ayarlamalar yapmak için daha fazla zaman veriyor . Kapsamlı Depolama değişiklikleriyle ilgili tüm ayrıntıları bu sayfada bulabilirsiniz ve bu Google G / Ç konuşmasını izleyerek Google’ın paylaşılan depolama için en iyi uygulamalar hakkındaki önerileri hakkında daha fazla bilgi edinebilirsiniz .

API seviyesini hedefleyen uygulamalar için uyarılar <23

Ancak izin kısıtlamaları burada bitmiyor. 23’ten daha düşük bir API seviyesini hedefleyen bir uygulamanın (Android Lollipop veya daha üstü) kurulması, söz konusu uygulama kurulum sırasında hassas izinler isterse, işletim sisteminin kullanıcıya bir uyarı vermesine neden olur. Yüklemeden önce, kullanıcılar devam etmeden önce uygulamaya izin vermek istediklerini el ile belirleme olanağına sahip olacaklar. Bu nedenle, Android Q artık uygulamaların çalışma zamanı izinlerini almasına izin vermiyor.

Sonuncu SYSTEM_ALERT_DEPRECATION Bubbles API’sinin lehine

Kaplama izni (SYSTEM_ALERT_WINDOW) artık Android Q’da (Go Edition) çalışan uygulamalar için verilemez. Go Edition ürünü olmayan cihazlar için Google, geliştiricileri yeni Bubbles API’sına doğru itiyor. Kabarcıklar API, Facebook Messenger’ın sohbet kafaları gibi işlevsellik sağlayan Android Q Beta 2’de sunulan bir özelliktir . Uygulamalardan gelen bildirimler, kullanıcı tarafından dokunulduğunda genişleyen ekranın kenarlarında küçük kabarcıklar olarak görünür. Balonun içinde bir uygulama bir Etkinlik görüntüleyebilir.

Bu değişiklik gerekliydi çünkü uygulamaların diğer uygulamalara göre kaplamaları serbestçe çizmesine izin vermek bariz güvenlik riskleri oluşturuyor. Rezil “ Pelerin ve Hançer ” suistimali bu zayıflığı yaygın olarak kullandı. Yerleşim API’sinin işlevselliği Android Oreo kadar erken sınırlandırılmış , ancak şimdi Android Q’nun Go sürümü API’ye erişimi tamamen kaldırmak için gelecekteki bir sürümle tamamen kaldırmıştır .

Arka Plan Etkinliği Başlatma Kısıtlamaları

Arka plandaki uygulamalar, hedef API seviyelerine bakılmaksızın, telefon kilidi açıldığında otomatik olarak artık bir Etkinlik başlatamaz. Uygulamaların şimdi burada okuyabileceğiniz etkinlikler başlatabildiği koşulların bir listesi var . Bu koşullara uymayan ve acilen bir etkinlik başlatmak isteyen arka plan uygulamalarının şimdi kullanıcıya bir bildirim yoluyla bildirmesi gerekir. Bildirim beklemede olan bir tam ekran hedefi ile oluşturulduysa, ekran kapalıyken bu durum derhal başlatılır; alarmlar veya gelen aramalar için kullanışlıdır.

Arka Plan Panosu Erişim Kısıtlaması

Arka plan panoya erişim artık mümkün değil . Ön planda olmayan veya varsayılan giriş yöntemi olarak ayarlanan hiçbir uygulama, panonuzu hiçbir şekilde okuyamaz. Bu, özellikle pano yöneticileri gibi uygulamaları vurur. Google, bu değişikliğin yalnızca Android Q’yu hedefleyen uygulamaları etkilediğini söylüyor; ancak testlerimiz kısıtlamanın ayrımcılığa uğramadığını gösteriyor; denediğimiz herhangi bir uygulama panoyu göremiyordu.

Bu değişiklik elbette anlamlıdır. Hassas bilgileri panoya sık sık kopyalıyoruz – şifreler ve kredi kartı bilgileri gibi şeyler – ancak pano yöneticilerinin boşa gittiğini görmek utanç verici.

Yalnızca bir uygulama kullanımdayken konum erişimi

Yeni bir “Roller” API eklendi. Roller, esasen önceden ayarlanmış izinlere erişimi olan gruplardır . Örneğin, galeri rolüne sahip uygulamalar medya klasörlerinize erişebilirken, çevirici rolüne sahip uygulamalar aramaları yapabilir. Kullanıcı tarafından belirli bir rol verilen uygulamalar da gerekli bileşenlere sahip olmalıdır. Örneğin, galeri rolüne sahip uygulamalarda, işlem amaçlı filtre android uygulaması olmalıdır . niyet . eylem . ANA ve kategori niyet filtresi android.intent.category.APP_GALLERY ayarlarında galeri uygulaması olarak görünmesini sağlar.

Sensörler Kapalı Hızlı Ayarlar döşemesi

Gerçek gizlilik için cihazınızdaki tüm sensörlerden (ivmeölçer, jiroskop vb.) Gelen okumaları kapatan yeni bir “Sensörler kapalı” hızlı ayar karosu bulunmaktadır . Bu Hızlı Ayarlar döşemesi varsayılan olarak gizlidir, ancak Geliştirici seçeneklerinde “hızlı ayarlar geliştirici döşemeleri” ne giderek etkinleştirilebilir.

/ Proc / net ile ilgili kısıtlamalar

Uygulamalar artık proc / net’e erişemez , netstat gibi hizmetler artık uygun değildir. Bu, kullanıcıları hangi web sitelerine ve hizmetlere bağlandığını izleyen kötü amaçlı uygulamalardan korur. VPN gibi sürekli erişime ihtiyaç duyan uygulamaların NetworkStatsManager ve ConnectivityManager sınıflarını kullanması gerekir .

Randomize MAC Adresleri

MAC adresiniz, ağların hangi cihazın hangisi olduğunu hatırlamak için kullandığı benzersiz bir tanımlayıcıdır. Android Q’da, her yeni bir ağa bağlandığınızda, cihazınız yeni, rastgele bir MAC adresi kullanacaktır. Sonuç olarak, şebekeler bağlandığınız WiFi şebekelerini telefonunuzun MAC adresi ile eşleştirerek konumunuzu izleyemez . Cihazın fiili fabrika MAC adresi, uygulamalar tarafından getWifiMacAddress () komutu ile edinilebilir .

Android Q’da Platform Sertleştirme

Android içerisindeki tek bir hata, saldırganların artık işletim sistemine tam erişimi olduğu veya herhangi bir güvenlik sistemini atlayabileceği anlamına gelmiyor. Bu kısmen, işlem yalıtımı, saldırı yüzeyinin azaltılması, mimari ayrıştırma ve istismar azaltma gibi istismarlar nedeniyledir. Bu güvenlik önlemleri, güvenlik açıklarını daha zor, hatta istismar etmek imkansız hale getirir. Sonuç olarak, saldırganlar hedeflerine ulaşmadan önce genellikle çok sayıda güvenlik açığına ihtiyaç duyarlar. Geçmişte, birlikte birden fazla sömürü zincirleyerek çalışan DRAMMER gibi saldırılar gördük .

Android Q, bunun gibi önlemleri alır ve bunları çekirdekle birlikte medya ve Bluetooth bileşenleri gibi daha hassas alanlara uygular. Bu, bazı belirgin iyileştirmeler getiriyor.

Yazılım kodekleri için sınırlı bir sanal alan.
Güvenilmeyen içeriği işleyen bileşenlerde bulunan tüm güvenlik açıklarını azaltmak için dezenfektanların artan üretim kullanımı.
Arka Kenar Kontrol Akışı Bütünlüğü (CFI) sağlayan ve LLVM’nin CFI’sı tarafından sağlanan ileri kenar korumasını tamamlayan Gölge Çağrı Yığını.
EXecute-Only Memory (XOM) kullanarak Adres Alanı Düzeni Randomizasyonunun (ASLR) sızıntılara karşı korunması.
Scudo sertleştirilmiş tahsis edicinin tanıtılması, bir dizi öbekle ilgili güvenlik açıklarının kullanılmasını zorlaştırmaktadır.
Bu bir çok yazılım jargonudur. Bunun kemikleri, ilk önce, yazılım kodeklerinin artık daha az ayrıcalıklara sahip sanal alanlarda çalışmasıdır; bu, kötü niyetli yazılımların, 2015’teki StageFright gibi, cihazınıza zarar verebilecek komutları çalıştırması olasılığının düşük olması anlamına gelir .

İkincisi, Android artık taşma durumunun yanı sıra daha fazla yerde sınır dışı dizi erişimini de kontrol ediyor. Taşmaların önlenmesi ve işlemlerin güvenli bir şekilde başarısız olmasını istemek, kullanıcı alanı güvenlik açığı yüzdesini önemli ölçüde azaltır. Bunun anlamı, kötü niyetli bir programın var olmayan verilere erişmeye çalışarak kasıtlı olarak bir şeyin çökmesine neden olması durumunda, Android artık bunu tanıyacak ve çökmek yerine programdan çıkacaktır.

Üçüncüsü, Gölge Çağrı Yığını, dönüş adreslerini ayrı bir gölge yığında depolayarak koruyarak normal programlara erişilememelerini sağlar. İade adresleri tipik olarak işlevler için işaretçilerdir, bu nedenle bu adresleri korumak, saldırganların erişemeyecekleri işlevlere erişememelerini sağlamak için önemlidir.

Dördüncüsü, ASLR, programların bellekte nerede depolandığını rastgele ayarlayan ve programların diğer programların bulunduğu yere göre bellekte nerede depolandığını bulmayı zorlaştıran bir koruma yöntemidir. Yalnızca eXecute belleği, kodu okunamaz hale getirerek güçlendirir.

Son olarak, Scudo, belleği yığın tabanlı güvenlik açıklarını sömürmeyi daha da zorlaştıracak şekilde proaktif olarak yöneten dinamik bir yığın ayırıcısıdır. Burada daha fazla okuyabilirsiniz .

Doğrulama

Android Q’daki BiometricPrompt Güncellemeleri
Google, yeni BiometricPrompt API’sini bir yıldan fazla bir süre önce Android P Developer Preview 2’de tanıttı . Biyometrik kilit açma yöntemleri için genel bir Android istemi olması amaçlanmıştır. Buradaki fikir, Samsung Galaxy S hattında iris taraması gibi parmak izi taramasından daha fazlasını destekleyen cihazların, uygulamalar doğrulama istediğinde bu yöntemleri kullanabileceğidir.

Android Q, yüz ve parmak izi doğrulaması için güçlü destek sağlamanın yanı sıra, örtük kimlik doğrulamasını desteklemek için API’yi genişletir. Açık kimlik doğrulaması, devam etmeden önce kullanıcının bir şekilde kimliğini doğrulamasını gerektirir, ancak daha fazla kullanıcı etkileşimi gerektirmez.

Electronic ID desteği için yapı taşları

Bu yılın başlarında, Google’ın Android’de elektronik kimlik desteği konusunda çalıştığına dair kanıtlar bulduk . G / Ç’de, Google bu özelliğin ilerleyişi hakkında bizi güncelledi. Google, mobil ehliyetlerin uygulanmasını standartlaştırmak için ISO ile birlikte çalıştıklarını, çalışmalarında elektronik pasaportlarla çalıştıklarını söylüyor. Geliştiriciler için Google, bir Jetpack kitaplığı sağlar, böylece kimlik uygulamaları yapılmaya başlanabilir.

Android Q’da Proje Ana Çizgisi

Project Mainline, belirli sistem modüllerinin ve uygulamaların parçalanmasını azaltmak için Google tarafından büyük bir taahhütte bulunmaktadır. Google, yaklaşık 12 sistem bileşeni için güncellemeleri Google Play Store üzerinden kontrol edecektir. Daha fazla okumak istiyorsanız , bir önceki makalede Project Mainline hakkında derinlemesine konuştuk .

Sonuç

Güvenlik her zaman Android’in geliştirilmesinin temel bir parçası olmuştur. Google, bazı yenilikleri kendine özgü hale getirmenin yanı sıra en son güvenlik özellikleriyle Android’i güncel tutmak konusunda etkileyici bir iş çıkardı. Bu geliştirme sürecine Android Q ile devam ediyorlar, verilerinizi her zamankinden daha güvenli olduğundan emin olmak için yapılan güvenlik özellikleriyle doludurlar.

 

Kaynak 1: Android Q Güvenliği’nde Yenilikler [Google]

Kaynak 2: Android’de Güvenlik: Sırada Ne Var [Google]

Kaynak 3: Sertleştirme Geliştirmelerini Sırala [Google]

Kaynak : Mobil13



CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz