Nöbetçi Eczaneler
Android işletim sisteminin her yeni sürümü tasarım özellikler API’ler ve daha pek çok şey için hemen hemen her konuda iyileştirmeler getiriyor. Bu ayın başlarında Google I / O’da Android’in kazandığı tüm iyileştirmeleri öğrendikGetirecek ve elbette konferanstan yeni gizlilik ve güvenlik duyuruları çıkarılmadı. Platform güvenliği bir işletim sisteminin en önemli yönlerinden biridir özellikle ceplerimizde yanımıza her yere getirdiğimiz bir işletim sistemi için. Android güvenli olmasaydı bizim yaptığımızın yarısı kadar fonksiyona güvenmezdik. NFC ödemeleri söz konusu olmayacak dosya paylaşımı en iyi ihtimalle şüpheli olacak ve diğer cihazlara bağlanmak düpedüz delilik olacaktır. Uzun süredir devam eden sürüm parçalanması konusuna rağmen Google güvenlik sorunlarının sayısını minimumda tutmak için son derece başarılı oldu.
Android hem zengin özellikli hem de yüksek güvenlikli bir işletim sistemine dönüşmüştür. Ancak elbette iyileştirme için her zaman yer var. Bu güvenliğe katkıda bulunan birçok faktör var ve bir kısmı Android Q ile bir şekilde geliştiriliyor.
Şifreleme
En temel güvenlik yöntemlerinden biri olarak her cihazın güçlü şifrelemeyi desteklemesi önemlidir. Bugünlerde pek çok OEM cihazlarını özel şifreleme donanımıyla gönderiyor. Bu yararlı olsa da pahalıdır. Bu nedenle özel donanım tipik olarak orta ila yüksek kademeli cihazlar için sınırlandırılmıştır. Bu düşük kaliteli cihazların şifrelemeyi destekleyemediği anlamına gelmez ancak donanım hızlandırmalı şifreleme olmadan genel kullanıcı deneyimi yavaş okuma / yazma süreleri nedeniyle bozulur. Adiantum’un girdiği yer orası.
Adiantum
Şubat’ta Google Adiantum’u normal AES komut setlerini desteklemeyen düşük kaliteli telefonlar için alternatif bir şifreleme algoritması olarak duyurdu . Adiantum özel bir donanım olmadan çalışacak şekilde özel olarak tasarlanmıştır. Android’in normal AES şifrelemesine daha hafif bir alternatif olarak hizmet veriyor. Google’ın kriterleri bize AES’ten 5 kat daha hızlı olduğunu ve dezavantajı güvenlikten biraz ödün vermeyeceğini söylüyor. Bu Android Go Edition tarafından desteklenenlar gibi düşük kaliteli telefonlar için ideal adaydır . Adiantum ayrıca akıllı saatler ve çeşitli Nesnelerin İnterneti cihazları gibi ürünler içindir.
Şimdiye kadar Adiantum isteğe bağlıydı; Üreticiler Android Pie ile başlatılan cihazlarda etkinleştirebilirdi ancak varsayılan şifreleme algoritması değildi. Şimdi Adiantum yerel olarak Android Q’nun bir parçası olarak dahil edildi. Bu Q ile başlatılan tüm cihazların istisnasız olarak kullanıcı verilerini şifrelemek zorunda kalacağı anlamına geliyor. Sonuç olarak Android Q ile başlatılan cihazların Adiantum aracılığıyla olsun veya olmasın depolama şifrelemesi olması garanti edilir.
Jetpack Güvenlik Kütüphanesi
Jetpack bir dizi Android destek kütüphanesidir ve en yeni eklemelerden biri alfa’dır: Jetpack Güvenlik Kütüphanesi. Kütüphane donanım destekli anahtar depolarının yönetimi gibi şeyleri ele alarak ve anahtarlar oluşturarak ve doğrulayarak uygulamanızı güvence altına alma işlemini basitleştirir.
TLS 1.3
Ancak depolama alanında iyileştirilmiş olan tek alan şifreleme değildir. Varsayılan olarak TLS 1.3 desteğinin getirilmesi ile diğer cihazlarla iletişim çok geliştirildi . TLS 1.3 2018 yılının Ağustos ayında IETF tarafından kesinleşen en son ağ şifreleme standardıdır. TLS 1.3 müzakere anlaşmalarının çoğunu şifreleyerek veri alışverişi için daha fazla gizlilik sağlar. Bunun yanı sıra bağlantı kurmasının el sıkışmasından yapılan bütün bir seyahatin sona ermesi nedeniyle 12 TL’den daha hızlıdır. Daha verimli modern algoritmalar ile birleştiğinde bu hızda% 40’a varan artış sağlar.
TLS artık doğrudan Google Play’den güncellenebiliyor çünkü “Şifrele” bileşeninin bir parçası. Bununla ilgili daha fazla bilgiyi ve Proje Anahatını buradan okuyabilirsiniz .
Günlük cihazlarımızda çok fazla hassas işlem yaptığımıza güvendiğimiz için yükseltilmiş TLS her zamankinden daha önemlidir. Uçağa biniş kartlarının ve hatta dijital sürücü lisanslarının gelecekte bir noktada saklanması – tüm cihazların kullanıcı verilerini ellerinden geldiğince şifrelemesi gerektiği anlamına gelir. Adiantum ve zorla şifreleme en ucuz cihazlarda depolanacak verilere en hassas verilerin bile önünü açacaktır. Ancak Google Q sürümünde Android’in güvenliğini artırmanın tek yolu şifreleme değildir.
Android Q’daki İzinler ve Gizlilik değişiklikleri
Kapsamlı Depolama
Kapsamlı Depolama uygulamaların kendi sanal alandaki uygulamaya özel dizinlerinde bulunmayan harici depolama alanındaki dosyaları okuma / yazmalarını kısıtlamak için kullanılan yeni bir korumadır. Google’ın hedefi üç katlıdır: hangi uygulamaların hangi dosyaların uygulama verilerinin korunmasının ve kullanıcı verilerinin korunmasının üzerinde daha fazla kontrol sahibi olması.
Google paylaşılan ses video ve resim içeriği için MediaStore API’yı ikiye katlıyor. Varsayılan olarak tüm uygulamalar herhangi bir izne ihtiyaç duymadan kendi dosyalarını MediaStore.Images MediaStore.Video ve MediaStore.Audio koleksiyonlarına ekleyebilir değiştirebilir veya silebilir. Android Q ayrıca MediaStore API’sini kullanan tüm uygulamaların katkıda bulunabileceği kullanıcı tarafından indirilen içeriği depolamak için yeni bir MediaStore ekler . Sanal alan uygulamasına özgü dizinlerde depolanan dosyalar kaldırıldıktan sonra silinirken MediaStore koleksiyonlarına katkıda bulunan tüm dosyalar kaldırmanın ötesinde kalır.
Başka bir uygulama tarafından oluşturulan dosyalara erişmek için – dosyanın MediaStore koleksiyonlarından birinde veya dışında olması durumunda – uygulamanın Storage Access Framework uygulamasını kullanması gerekir. Ayrıca uygulamanız yeni ACCESS_MEDIA_LOCATION iznine izin vermediyse görüntülerin EXIF meta verileri yeniden düzenlenir. Android Q’da uygulamalar getExternalVolume () kullanarak birim adını sorgulayarak hangi depolama cihazının medyaya yükleneceğini de denetleyebilir.
Google başlangıçta Android Q’daki tüm uygulamalara Hedef API seviyelerine bakılmaksızın Kapsamlı Depolama kısıtlamaları uyguladı ancak geri bildirimden sonra şirket geliştiricilere ayarlamalar yapmak için daha fazla zaman veriyor . Kapsamlı Depolama değişiklikleriyle ilgili tüm ayrıntıları bu sayfada bulabilirsiniz ve bu Google G / Ç konuşmasını izleyerek Google’ın paylaşılan depolama için en iyi uygulamalar hakkındaki önerileri hakkında daha fazla bilgi edinebilirsiniz .
API seviyesini hedefleyen uygulamalar için uyarılar <23
Ancak izin kısıtlamaları burada bitmiyor. 23’ten daha düşük bir API seviyesini hedefleyen bir uygulamanın (Android Lollipop veya daha üstü) kurulması söz konusu uygulama kurulum sırasında hassas izinler isterse işletim sisteminin kullanıcıya bir uyarı vermesine neden olur. Yüklemeden önce kullanıcılar devam etmeden önce uygulamaya izin vermek istediklerini el ile belirleme olanağına sahip olacaklar. Bu nedenle Android Q artık uygulamaların çalışma zamanı izinlerini almasına izin vermiyor.
Sonuncu SYSTEM_ALERT_DEPRECATION Bubbles API’sinin lehine
Kaplama izni (SYSTEM_ALERT_WINDOW) artık Android Q’da (Go Edition) çalışan uygulamalar için verilemez. Go Edition ürünü olmayan cihazlar için Google geliştiricileri yeni Bubbles API’sına doğru itiyor. Kabarcıklar API Facebook Messenger’ın sohbet kafaları gibi işlevsellik sağlayan Android Q Beta 2’de sunulan bir özelliktir . Uygulamalardan gelen bildirimler kullanıcı tarafından dokunulduğunda genişleyen ekranın kenarlarında küçük kabarcıklar olarak görünür. Balonun içinde bir uygulama bir Etkinlik görüntüleyebilir.
Bu değişiklik gerekliydi çünkü uygulamaların diğer uygulamalara göre kaplamaları serbestçe çizmesine izin vermek bariz güvenlik riskleri oluşturuyor. Rezil “ Pelerin ve Hançer ” suistimali bu zayıflığı yaygın olarak kullandı. Yerleşim API’sinin işlevselliği Android Oreo kadar erken sınırlandırılmış ancak şimdi Android Q’nun Go sürümü API’ye erişimi tamamen kaldırmak için gelecekteki bir sürümle tamamen kaldırmıştır .
Arka Plan Etkinliği Başlatma Kısıtlamaları
Arka plandaki uygulamalar hedef API seviyelerine bakılmaksızın telefon kilidi açıldığında otomatik olarak artık bir Etkinlik başlatamaz. Uygulamaların şimdi burada okuyabileceğiniz etkinlikler başlatabildiği koşulların bir listesi var . Bu koşullara uymayan ve acilen bir etkinlik başlatmak isteyen arka plan uygulamalarının şimdi kullanıcıya bir bildirim yoluyla bildirmesi gerekir. Bildirim beklemede olan bir tam ekran hedefi ile oluşturulduysa ekran kapalıyken bu durum derhal başlatılır; alarmlar veya gelen aramalar için kullanışlıdır.
Arka Plan Panosu Erişim Kısıtlaması
Arka plan panoya erişim artık mümkün değil . Ön planda olmayan veya varsayılan giriş yöntemi olarak ayarlanan hiçbir uygulama panonuzu hiçbir şekilde okuyamaz. Bu özellikle pano yöneticileri gibi uygulamaları vurur. Google bu değişikliğin yalnızca Android Q’yu hedefleyen uygulamaları etkilediğini söylüyor; ancak testlerimiz kısıtlamanın ayrımcılığa uğramadığını gösteriyor; denediğimiz herhangi bir uygulama panoyu göremiyordu.
Bu değişiklik elbette anlamlıdır. Hassas bilgileri panoya sık sık kopyalıyoruz – şifreler ve kredi kartı bilgileri gibi şeyler – ancak pano yöneticilerinin boşa gittiğini görmek utanç verici.
Yalnızca bir uygulama kullanımdayken konum erişimi
Yeni bir “Roller” API eklendi. Roller esasen önceden ayarlanmış izinlere erişimi olan gruplardır . Örneğin galeri rolüne sahip uygulamalar medya klasörlerinize erişebilirken çevirici rolüne sahip uygulamalar aramaları yapabilir. Kullanıcı tarafından belirli bir rol verilen uygulamalar da gerekli bileşenlere sahip olmalıdır. Örneğin galeri rolüne sahip uygulamalarda işlem amaçlı filtre android uygulaması olmalıdır . niyet . eylem . ANA ve kategori niyet filtresi android.intent.category.APP_GALLERY ayarlarında galeri uygulaması olarak görünmesini sağlar.
Sensörler Kapalı Hızlı Ayarlar döşemesi
Gerçek gizlilik için cihazınızdaki tüm sensörlerden (ivmeölçer jiroskop vb.) Gelen okumaları kapatan yeni bir “Sensörler kapalı” hızlı ayar karosu bulunmaktadır . Bu Hızlı Ayarlar döşemesi varsayılan olarak gizlidir ancak Geliştirici seçeneklerinde “hızlı ayarlar geliştirici döşemeleri” ne giderek etkinleştirilebilir.
/ Proc / net ile ilgili kısıtlamalar
Uygulamalar artık proc / net’e erişemez netstat gibi hizmetler artık uygun değildir. Bu kullanıcıları hangi web sitelerine ve hizmetlere bağlandığını izleyen kötü amaçlı uygulamalardan korur. VPN gibi sürekli erişime ihtiyaç duyan uygulamaların NetworkStatsManager ve ConnectivityManager sınıflarını kullanması gerekir .
Randomize MAC Adresleri
MAC adresiniz ağların hangi cihazın hangisi olduğunu hatırlamak için kullandığı benzersiz bir tanımlayıcıdır. Android Q’da her yeni bir ağa bağlandığınızda cihazınız yeni rastgele bir MAC adresi kullanacaktır. Sonuç olarak şebekeler bağlandığınız WiFi şebekelerini telefonunuzun MAC adresi ile eşleştirerek konumunuzu izleyemez . Cihazın fiili fabrika MAC adresi uygulamalar tarafından getWifiMacAddress () komutu ile edinilebilir .
Android Q’da Platform Sertleştirme
Android içerisindeki tek bir hata saldırganların artık işletim sistemine tam erişimi olduğu veya herhangi bir güvenlik sistemini atlayabileceği anlamına gelmiyor. Bu kısmen işlem yalıtımı saldırı yüzeyinin azaltılması mimari ayrıştırma ve istismar azaltma gibi istismarlar nedeniyledir. Bu güvenlik önlemleri güvenlik açıklarını daha zor hatta istismar etmek imkansız hale getirir. Sonuç olarak saldırganlar hedeflerine ulaşmadan önce genellikle çok sayıda güvenlik açığına ihtiyaç duyarlar. Geçmişte birlikte birden fazla sömürü zincirleyerek çalışan DRAMMER gibi saldırılar gördük .
Android Q bunun gibi önlemleri alır ve bunları çekirdekle birlikte medya ve Bluetooth bileşenleri gibi daha hassas alanlara uygular. Bu bazı belirgin iyileştirmeler getiriyor.
Yazılım kodekleri için sınırlı bir sanal alan.
Güvenilmeyen içeriği işleyen bileşenlerde bulunan tüm güvenlik açıklarını azaltmak için dezenfektanların artan üretim kullanımı.
Arka Kenar Kontrol Akışı Bütünlüğü (CFI) sağlayan ve LLVM’nin CFI’sı tarafından sağlanan ileri kenar korumasını tamamlayan Gölge Çağrı Yığını.
EXecute-Only Memory (XOM) kullanarak Adres Alanı Düzeni Randomizasyonunun (ASLR) sızıntılara karşı korunması.
Scudo sertleştirilmiş tahsis edicinin tanıtılması bir dizi öbekle ilgili güvenlik açıklarının kullanılmasını zorlaştırmaktadır.
Bu bir çok yazılım jargonudur. Bunun kemikleri ilk önce yazılım kodeklerinin artık daha az ayrıcalıklara sahip sanal alanlarda çalışmasıdır; bu kötü niyetli yazılımların 2015’teki StageFright gibi cihazınıza zarar verebilecek komutları çalıştırması olasılığının düşük olması anlamına gelir .
İkincisi Android artık taşma durumunun yanı sıra daha fazla yerde sınır dışı dizi erişimini de kontrol ediyor. Taşmaların önlenmesi ve işlemlerin güvenli bir şekilde başarısız olmasını istemek kullanıcı alanı güvenlik açığı yüzdesini önemli ölçüde azaltır. Bunun anlamı kötü niyetli bir programın var olmayan verilere erişmeye çalışarak kasıtlı olarak bir şeyin çökmesine neden olması durumunda Android artık bunu tanıyacak ve çökmek yerine programdan çıkacaktır.
Üçüncüsü Gölge Çağrı Yığını dönüş adreslerini ayrı bir gölge yığında depolayarak koruyarak normal programlara erişilememelerini sağlar. İade adresleri tipik olarak işlevler için işaretçilerdir bu nedenle bu adresleri korumak saldırganların erişemeyecekleri işlevlere erişememelerini sağlamak için önemlidir.
Dördüncüsü ASLR programların bellekte nerede depolandığını rastgele ayarlayan ve programların diğer programların bulunduğu yere göre bellekte nerede depolandığını bulmayı zorlaştıran bir koruma yöntemidir. Yalnızca eXecute belleği kodu okunamaz hale getirerek güçlendirir.
Son olarak Scudo belleği yığın tabanlı güvenlik açıklarını sömürmeyi daha da zorlaştıracak şekilde proaktif olarak yöneten dinamik bir yığın ayırıcısıdır. Burada daha fazla okuyabilirsiniz .
Doğrulama
Android Q’daki BiometricPrompt Güncellemeleri
Google yeni BiometricPrompt API’sini bir yıldan fazla bir süre önce Android P Developer Preview 2’de tanıttı . Biyometrik kilit açma yöntemleri için genel bir Android istemi olması amaçlanmıştır. Buradaki fikir Samsung Galaxy S hattında iris taraması gibi parmak izi taramasından daha fazlasını destekleyen cihazların uygulamalar doğrulama istediğinde bu yöntemleri kullanabileceğidir.
Android Q yüz ve parmak izi doğrulaması için güçlü destek sağlamanın yanı sıra örtük kimlik doğrulamasını desteklemek için API’yi genişletir. Açık kimlik doğrulaması devam etmeden önce kullanıcının bir şekilde kimliğini doğrulamasını gerektirir ancak daha fazla kullanıcı etkileşimi gerektirmez.
Electronic ID desteği için yapı taşları
Bu yılın başlarında Google’ın Android’de elektronik kimlik desteği konusunda çalıştığına dair kanıtlar bulduk . G / Ç’de Google bu özelliğin ilerleyişi hakkında bizi güncelledi. Google mobil ehliyetlerin uygulanmasını standartlaştırmak için ISO ile birlikte çalıştıklarını çalışmalarında elektronik pasaportlarla çalıştıklarını söylüyor. Geliştiriciler için Google bir Jetpack kitaplığı sağlar böylece kimlik uygulamaları yapılmaya başlanabilir.
Android Q’da Proje Ana Çizgisi
Project Mainline belirli sistem modüllerinin ve uygulamaların parçalanmasını azaltmak için Google tarafından büyük bir taahhütte bulunmaktadır. Google yaklaşık 12 sistem bileşeni için güncellemeleri Google Play Store üzerinden kontrol edecektir. Daha fazla okumak istiyorsanız bir önceki makalede Project Mainline hakkında derinlemesine konuştuk .
Sonuç
Güvenlik her zaman Android’in geliştirilmesinin temel bir parçası olmuştur. Google bazı yenilikleri kendine özgü hale getirmenin yanı sıra en son güvenlik özellikleriyle Android’i güncel tutmak konusunda etkileyici bir iş çıkardı. Bu geliştirme sürecine Android Q ile devam ediyorlar verilerinizi her zamankinden daha güvenli olduğundan emin olmak için yapılan güvenlik özellikleriyle doludurlar.
Kaynak 1: Android Q Güvenliği’nde Yenilikler [Google]
Kaynak 2: Android’de Güvenlik: Sırada Ne Var [Google]