Android 7.0更新Mediaserver,其他安全性能增强

来源:开源中国社区 作者:达尔文
  

谷歌已经向Android 7.0 Nougat推送更新组件,并在平台发布中宣布其他安全性能也有所改善。

Android Nougat 于8月22日发行,有关安全性提升的详细信息于9月6日公布。该系统除了更新媒体服务器,还通过更新Linux,加强了其他方面的一些性能,如,全新的Direct Boot模式,强化media stack,强化纠错重启,降低界面受损性,优化存储功能等。

多亏Direct Boot的最新引入,用户可直接进入手机的一些操作界面,而不用先进行手机解锁,如打开手机中的某些app和关闭闹钟。Android 7.0 自带文件加密功能,旨在升级用户体验,它的用户个人存储区域与系统存储区域区分开来,并进行了加密处理。

“不像全磁盘性加密一样,以单个数据为单位进行封锁,以文档为形式的加密,使得只使用设备键就能正常重启进入功能界面。手机重启之后,你可以有选择的运行一些必须的 App,当系统进入锁屏界面后,这些应用程序可以访问用户数据,以提供完整的功能。”Android 安全维护部的辛晓文(音译)解释道。 

谷歌说,以文档形式进行加密,能更好的分隔设备中的数据,保护用户的隐私。每个文档都有独立的密码锁,只有用户自己设置的图案和密码才能解锁。新系统要求 Android 设备配备可信度高的硬件,如,用于存储安全密钥的ARM TrustZone。

自去年 Stagefright 上了头条之后,谷歌几乎每个月都在给 Android 的 Mediaserver 修补漏洞,并且,公司决定更新与巩固其组件来提高性能。为此,公司引进了一整套杀毒功能,以“防止一整类漏洞的产生,其中包括大肆报道过的libstagefright bugs。”现在,只要杀毒功能崩坏,该进程就会自动停止。

此外,media stack 已经模板化,“为了把不同的组件安置在各自固定的位置,控制每个组件的权限,只留下一部分供组件行使各自的功能。”由于这一限制技术,攻击者几乎没有权限接近系统,使得界面受到损害的可能性降低。

根据辛的描述,许多其他的保护程序也添加到了后台,包括:

Verified Boot:此程序严格执行以防止设备受损;它支持错误纠正,通过防止良性数据的损坏以提升系统可靠性。

SELinux:更新后的SELinux,增加了 Seccomp 覆盖,进一步锁定应用程序安装位置,减少攻击面。文库下载了随机指令,提升了ASLR:增加随机性使得一些重用代码的攻击失效。

Kernel hardening:通过标记为只读的内核内存部分,给新的内核增加额外的内存保护,限制内核访问用户空间的地址,并进一步降低现有的攻击面。

APK signature scheme v2:引入了一个整个文件签名方案,提高验证速度,加强诚信保障。

在Android 7.0中,与其他 App 共享资源的应用程序必须明确申请加入。此外,开发人员通过声明配置文件,很容易就能配置网络安全书,其中包括阻止 Cleartext traffic,配置可信的 CA 和证书,并建立一个独立的调试配置。

应用程序的权限和能力也被改进,以加强防护。例如,谷歌已经进一步限制并取消访问持久性设备标识符,如 MAC 地址,而用户界面覆盖可以不再显示在对话框上,这可避免“clickjacking”应用程序的攻击。

“我们已经减少了设备管理应用程序的能力,使它们再也不能改变你已经设置好的锁屏,设备管理通过onDisableRequested 进行威胁已被禁止,”辛解释道,“这些都是一些勒索性获得设备的控制策略。”

(作者:Ionut Arghire,翻译:开源中国

英语原文:Android 7.0 Packs Re-Architected Mediaserver, Other Security Enhancements


时间:2016-09-13 08:29 来源:开源中国社区 作者:达尔文 原文链接

好文,顶一下
(0)
0%
文章真差,踩一下
(1)
100%
------分隔线----------------------------


把开源带在你的身边-精美linux小纪念品
无觅相关文章插件,快速提升流量