Conţinut
Securitatea și confidențialitatea sunt mai importante ca niciodată, iar Google o știe. Compania a dat un impuls mare timp atât în cadrul conferinței sale de dezvoltatori Google I / O din această săptămână, în Mountain View. Obiectivul reînnoit al Google pe securitate și confidențialitate este evidențiat în Android Q, unde compania a încorporat o serie de straturi de protecție.
Elementele de bază includ criptarea mai larg disponibilă, noi comportamente de autentificare și cod consolidat.
Adiantum, nu adamantium
Oasele lui Wolverine sunt altoite cu un super metal fictiv pe care Marvel îl numește adamantium. În mod similar, Google protejează nucleul Android pe telefoanele low-end cu un profil de criptare din lumea reală numit adiantum.
Majoritatea telefoanelor de gamă medie și high-end de astăzi au obligația de a rula criptare AES. AES necesită accelerare hardware, motiv pentru care funcționează corect doar pe dispozitivele specifice. AES nu poate rula pe majoritatea telefoanelor în prețul de sub $ 100, fără să mai vorbim de Wear OS sau dispozitive Android TV și aceasta este o problemă în ceea ce privește Google. Introduceți adiantum.
Google va necesita criptare pentru toate dispozitivele care încep cu Android Q.
Adiantum se bazează pe un nucleu Linux open-source. Google a colaborat cu echipele Android Go și Android One pentru a adopta adiantum în Android Q. Echipele Android Go și Android One s-au coordonat, la rândul lor, cu furnizorii de siliciu, precum Qualcomm și MediaTek, pentru a face acest lucru realitate. Adiantum este o alternativă bazată pe software pentru AES accelerată de hardware. Chiar și dispozitivele cele mai puțin puternice se pot descurca, ceea ce înseamnă că de la purtabile la dispozitive medicale se poate bucura de securitatea oferită prin criptare.
Google va necesita criptare pentru toate dispozitivele care încep cu Q, iar adiantum este modul în care dispozitivele low-end îl vor implementa. Dispozitivele de nivel mediu și înalt care pot rula AES vor continua să ruleze AES.
Adiantum este în stare alfa în acest moment, dar va fi gata până când Android Q va fi finalizat mai târziu în acest an.
Cealalta jumatate
Criptarea dispozitivelor este o parte a poveștii, criptarea legăturii de la dispozitiv la rețea este a doua parte.
Android Q adoptă TLS 1.3, o revizuire la standardul IETF, care a fost finalizat anul trecut. TLS 1.3 criptează și securizează traficul de pe telefonul dvs. la orice serviciu bazat pe internet la care vă conectați. Cu alte cuvinte, achiziția pe care dorești să o faci în timp ce navighezi pe Wi-Fi de la Starbucks este acum protejată cu forța.
Google spune că TLS 1.3 este mai curat și mai stabil decât TLS 1.2 și oferă o strângere de mână puternică între entitățile necesare securității. Viteza este un avantaj secundar. TLS 1.3 poate reduce timpul de conectare cu aproximativ 40%. TLS 1.3 va fi activat în mod implicit în Android Q.
Biometria abundă
Biometria va juca un rol mai important în securitate pe măsură ce interacționați cu dispozitivul dvs. bazat pe Android Q. Android Q actualizează API-ul BiometricPrompt pentru a ajuta dezvoltatorii să apeleze la biometrie pentru autentificare. Mai departe, dezvoltatorii vor putea aplica acțiuni explicite sau implicite.
Cu acțiuni explicite, utilizatorii trebuie să efectueze o acțiune directă pentru autentificare atingând senzorul de amprentă sau scanarea feței lor. Acest tip de autentificare ar fi necesară pentru efectuarea de plăți sau transferuri de bani.
Cu acțiuni implicite, utilizatorii nu vor trebui să adopte o abordare atât de directă. Aplicațiile pot scana automat fața utilizatorului după deschidere, de exemplu, permițând utilizatorului să sară direct la aplicația în cauză. Google are în vedere acțiuni implicite care autentifică autentificările de conectare la aplicații sau comportamente de completare a formularului.
Utilizatorii trebuie să efectueze o acțiune directă pentru autentificare.
Dezvoltatorii vor putea permite utilizatorilor să facă implicit backup-uri PIN, pattern sau parolă pentru acțiuni explicite sau implicite dacă doresc, deoarece uneori nu este întotdeauna posibil ca un telefon să scaneze o față din cauza iluminatului. Aplicațiile individuale vor trebui să adopte acest tip de comportament.
Cod de curățenie
Google nu pune toate drepturile de securitate și confidențialitate dezvoltatorilor și utilizatorilor finali. A lucrat pentru întărirea propriului cod în diferite părți ale sistemului de operare pentru a proteja mai bine toată lumea. Google spune că s-a concentrat pe punctele slabe, cum ar fi media, Bluetooth și, credeți sau nu, nucleul principal.
A folosit procese fanteziste, cum ar fi „izolarea proceselor”, „atașarea reducerii suprafeței” și „descompunerea arhitecturală” pentru a găsi vulnerabilitățile și a le exploata. După ce au fost găsite găurile, Google le-a plasat.
O mare parte din această lucrare se concentrează pe automatizarea tuturor. Google dorește ca utilizatorii finali să știe că telefoanele și alte dispozitive sunt sigure în mod implicit. Acesta este un pas important înainte. În combinație cu noile instrumente de confidențialitate și securitate disponibile dezvoltatorilor, Android Q adaugă un strat fin de armură (din păcate, nu vibraniu) peste platformă.
