Google於I/O大會說明多項Android Q資安措施，加密、沙盒、認證多管齊下

Google表示在推出每個Android新版本時，首要任務之一就是提高安全性，而在2019年的Google I/O大會上，Google也說明了整合至最新版Android Q的資安新功能，並計劃在未來幾幾個月內深入研究每個功能，以期在Android Q正式推出時，能提供使用者最周延的資安保障。

資料儲存與傳輸都有加密防護

將儲存於裝置的資料加密是最基本也是最有效的安全措施之一，不過目前許多加密標準因為需要消耗較多的運算資源，所以往往需要透過ARMv8 Cryptography Extensions運算單元等專屬硬體元件進行加速，這對運算效能貧弱且不具硬體加速功能的設備來說，等同於無法使用資料加密功能。

而Google於2月推出的Adiantum加密演算法具有較高的效率，因此可以在運算效能較差或沒有硬體加速的平價裝置、智慧型手錶等裝置上進行即時資料加密。

這個改變也讓Google強制要求所有新推出且搭載Android Q系統的智慧型手機、平板電腦、智慧型電視、車載電腦等裝置，都必須對使用者資料進行加密，沒有例外，這將讓下個世代數以億計的裝置都受到加密保護。

除了儲存資料加密之外，Android Q也預設支援TLS 1.3，這是由網際網路工程任務小組（Internet Engineering Task Force， IETF）在2018年8月最終確定的TLS標準的重大更新，能夠在較短的通訊往返中完成交握，能使對話的連線費時縮短40%，並取消支援較弱的加密演算法、不安全或過時的功能，同時也修復TLS 1.2中的多個漏洞，能夠提供更快、更安全的資料傳輸防護。

▲ Adiantum的運作效率大約比AES高出5倍左右。（圖片來源：Google）

沙盒與認證強化保護力

Google在Android Q中導入了許多深度資安防護措施，以避免媒體、藍牙、作業系統核心成為攻擊途徑，其中1項措施就是筆者先前曾介紹過能用於隔離惡意程式的沙盒技術。

此外Android Q也將透過Shadow Call Stack保護控制流程完整性（Control Flow Integrity，CFI），並支援XOM（eXecute-Only-Memory，僅限執行記憶體）保護位址空間組態隨機載入（Address space layout randomization，ASLR）不受攻擊。

在認證方面，Android Q繼承了先前Android P的指紋、面部、虹膜等生物特徵辨識，並強化指紋、面部辨識的可靠性，且更新底層框架，提供顯式、隱式等身份驗證功能。

在顯式驗證的運作流程中，使用者需要「實際」執行動作，例如將手指滑過指紋辨識器，或是在利用面部、虹膜辨識過程點擊按鈕，以確保惡意程式不會偷偷進行解鎖動作。顯式驗證將會是Android Q的預設流程，並將用於行動支付等認證。

隱式驗證則不需實際執行動作，使用上比較便捷，也可以提供無縫操作體驗避免打斷使用者，會用於可以退款的小額支付、自動登入等場合。

▲ XOM能確保第三方程式無法窺探被保護的程式或進行逆向工程。（圖片來源：Arm）

 

▲ 目前已經有13間廠商提供Android Q Beta版。

目前已經有13間廠商共21款裝置相容Android Q Beta版，想要搶先嘗鮮的讀者，可以至官方網站下載Beta版，並協助回報遇到的Bug與問題。

（標題圖片來源：Google）