9de22bbf7bbd84ff0697f573100b855a Google表示在推出每個Android新版本時,首要任務之一就是提高安全性,而在2019年的Google I/O大會上,Google也說明了整合至最新版Android Q的資安新功能,並計劃在未來幾幾個月內深入研究每個功能,以期在Android Q正式推出時,能提供使用者最周延的資安保障。

資料儲存與傳輸都有加密防護

將儲存於裝置的資料加密是最基本也是最有效的安全措施之一,不過目前許多加密標準因為需要消耗較多的運算資源,所以往往需要透過ARMv8 Cryptography Extensions運算單元等專屬硬體元件進行加速,這對運算效能貧弱且不具硬體加速功能的設備來說,等同於無法使用資料加密功能。

而Google於2月推出的Adiantum加密演算法具有較高的效率,因此可以在運算效能較差或沒有硬體加速的平價裝置、智慧型手錶等裝置上進行即時資料加密。

這個改變也讓Google強制要求所有新推出且搭載Android Q系統的智慧型手機、平板電腦、智慧型電視、車載電腦等裝置,都必須對使用者資料進行加密,沒有例外,這將讓下個世代數以億計的裝置都受到加密保護。

除了儲存資料加密之外,Android Q也預設支援TLS 1.3,這是由網際網路工程任務小組(Internet Engineering Task Force, IETF)在2018年8月最終確定的TLS標準的重大更新,能夠在較短的通訊往返中完成交握,能使對話的連線費時縮短40%,並取消支援較弱的加密演算法、不安全或過時的功能,同時也修復TLS 1.2中的多個漏洞,能夠提供更快、更安全的資料傳輸防護。

Adiantum的運作效率大約比AES高出5倍左右。(圖片來源:Google)

沙盒與認證強化保護力

Google在Android Q中導入了許多深度資安防護措施,以避免媒體、藍牙、作業系統核心成為攻擊途徑,其中1項措施就是筆者先前曾介紹過能用於隔離惡意程式的沙盒技術。

此外Android Q也將透過Shadow Call Stack保護控制流程完整性(Control Flow Integrity,CFI),並支援XOM(eXecute-Only-Memory,僅限執行記憶體)保護位址空間組態隨機載入(Address space layout randomization,ASLR)不受攻擊。

在認證方面,Android Q繼承了先前Android P的指紋、面部、虹膜等生物特徵辨識,並強化指紋、面部辨識的可靠性,且更新底層框架,提供顯式、隱式等身份驗證功能。

在顯式驗證的運作流程中,使用者需要「實際」執行動作,例如將手指滑過指紋辨識器,或是在利用面部、虹膜辨識過程點擊按鈕,以確保惡意程式不會偷偷進行解鎖動作。顯式驗證將會是Android Q的預設流程,並將用於行動支付等認證。

隱式驗證則不需實際執行動作,使用上比較便捷,也可以提供無縫操作體驗避免打斷使用者,會用於可以退款的小額支付、自動登入等場合。

XOM能確保第三方程式無法窺探被保護的程式或進行逆向工程。(圖片來源:Arm)

 

目前已經有13間廠商提供Android Q Beta版。

目前已經有13間廠商共21款裝置相容Android Q Beta版,想要搶先嘗鮮的讀者,可以至官方網站下載Beta版,並協助回報遇到的Bug與問題。

(標題圖片來源:Google

使用 Facebook 留言

訪客
1.  訪客 (發表於 2019年5月17日 20:19)
都「必需」對使用者資料進行加密   必需 > 必須
並取消支援較弱的加密「算法法」   算法法 > 演算法
並將用於行動支付「的」等認證   的 >(贅字)
(以上可隱藏)
訪客
2.  訪客 (發表於 2019年5月17日 20:20)
大家都希望手機有新功能而且更安全...
但是手機並不像電腦...換個作業系統就行
與硬體相關的新功能自不用說
即便只是軟體上的更新與漏洞修補
手機製造商也不見得會去積極測試並發送通知@_@

謎之音:不能把OS的維護統一交給Google,廠商則以plug-in的方式來創造「獨特性」嗎?
國寶大師 李文恩
3.  國寶大師 李文恩 (發表於 2019年5月20日 12:32)
※ 引述《訪客》的留言:
> 都「必需」對使用者資料進行加密   必需 > 必須
> 並取消支援較弱的加密「算法法」   算法法 > 演算法
> 並將用於行動支付「的」等認證   的 >(贅字)
> (以上可隱藏)
>
感謝提醒,已修正
國寶大師 李文恩
4.  國寶大師 李文恩 (發表於 2019年5月20日 12:33)
※ 引述《訪客》的留言:
> 大家都希望手機有新功能而且更安全...
> 但是手機並不像電腦...換個作業系統就行
> 與硬體相關的新功能自不用說
> 即便只是軟體上的更新與漏洞修補
> 手機製造商也不見得會去積極測試並發送通知@_@
>
> 謎之音:不能把OS的維護統一交給Google,廠商則以plug-in的方式來創造「獨特性」嗎?
>
這個部分或許有許多實作上的困難性,只好留給廠商大頭去決定吧~~~

發表回應

謹慎發言,尊重彼此。按此展開留言規則