Android Nougat对系统各个方面的安全性都进行了大幅度地改进,Google公司的Android开发团队将会继续努力改善Android系统的安全性。
关于Android7.0 Nougat(牛轧糖)
众所周知,2016年的GoogleI/O开发者大会已经在美国时间的5月18日成功召开了,而在此次大会上,Google公司也正式发布了新版的AndroidN操作系统。2016年8月22日,Google开始正式向用户推送Android7.0 Nougat正式版。
在性能方面,AndroidN不仅对编译器进行了优化,而且还在图形处理方面做了更新。AndroidN下的软件运行速度将提升3-6倍,而且由于引入了全新的JIT编译器,使得app的安装速度提升了将近75%。
在可操作性方面,AndroidN更是在用户操作的便捷性上做了一些提升。Nougat不仅加入了全新的分屏多任务功能,而且还加入了多任务快速切换功能。这个功能可以帮助用户解决在两个任务之间频繁切换的问题。
当然了,这些功能性的升级和拓展并不是我们这篇文章所要关注的重点,我们的注意力当然要放在AndroidN的安全性提升上。接下来,我给大家简单描述一下新版的Android7.0 Nougat中到底新增了哪些安全保护功能。
新的安全特性
在今年夏天,Google公司的Android开发团队向外界展示了Android7.0 Nougat(牛轧糖)中很多新添加的安全增强特性。除此之外,Google还将更加重视Android项目的漏洞奖励计划,Google公司会对每一位向Android项目提交漏洞的白帽子予以积极响应。
在系统的安全性方面,Android引入了一种新型的直接启动模式(DirectBoot Mode),重新设计了mediaserver的整体架构,提升了媒体栈(MediaStack)的安全性,并且更新了Android系统处理可信任证书的机制。除此之外,Android还提升了Nougat下应用程序的安全性,并且会对设备启动过程进行更为严格的检测。更值得注意的是,Google更新了Android操作系统的Linux内核,这样可以最大程度地降低设备的攻击面,并增强了对设备内存的保护。
除了上述这些新的安全特性之外,AndroidN还支持全新的文件加密模式,用户将可以对单独的文件进行加密。需要注意的是,这种加密是在Android操作系统启动的时候就已经开始了,这样可以最大程度地保证所谓“系统盲点”时间内的信息安全。
还有一个功能对于国人而言可能就有些鸡肋了,新的AndroidN在进行系统更新时会在后台主动下载更新固件,并在用户重启手机的时候自动升级系统。反正国人所使用的大多数Android设备都不会第一时间收到Google的更新推送,而且Android操作系统的实际更新迭代速度确实太慢,所以这并不是什么值得我们期待的功能。
接下来,我们挑选了几个比较重要的安全增强性能来进行分析。请各位同学继续往下看!
直接启动模式(DirectBoot Mode)
在之前版本的Android操作系统中,如果用户开启了密码保护功能,那么用户就需要在设备的启动过程中输入密码(图形或文字密码)。当设备启动成功之后,设备中存储的数据也就解密完成了。Android7.0 Nougat更新了设备底层的加密处理机制,并且大幅减少了设备的启动时间,提升了手机的重启速度。现在,手机中类似电话app和闹钟这样的应用会在你输入密码之前就启动完成了。在这个模式下,系统已经处于正常的运行状态了,但是仍然会限制某些隐私数据的访问。这也就意味着,在你首次启动并且没有输入密码的情况下,你不仅可以正常接听来电,你的闹钟也会按时叫醒你起床。我们称该模式为“直接启动”模式(DirectBoot Mode)。
如果你想让你所开发的app在用户解锁设备之前就运行的话,你需要在AndroidManifest.xml文件中显式地声明下列信息,并选择需要加入“直接启动”模式的app组件:
<activity|provider|receiver|service ... android:directBootAware=”true”>
如果你的app需要在“直接启动”模式下运行的话,需要使用下面这个新增的broadcast:
Intent.ACTION_LOCKED_BOOT_COMPLETED
但是需要注意的是,当用户解锁了设备之后,所有的app仍然会接收到下面这个broadcast:
Intent.ACTION_BOOT_COMPLETED
全新的加密机制
Android N引入了全新的安全加密机制,基于文件的加密将会大幅度提升用户体验度。在这种全新的加密机制之下,系统存储空间和用户配置存储空间将会分开进行加密。这与全盘加密不同,因为全盘加密会将设备中所有的数据一次加密完成。
基于文件的加密机制可以通过更细粒度地加密来保护每一位用户的数据安全,而且还可以提升被加密文件的独立性。设备中的每一份文件都会使用一个唯一的密钥来加密,而能够解密这些文件的只有你的设备密码。
除此之外,近些年来Android生态系统也在不断增强设备的安全保护性能。从Marshmallow(Android6.0)开始,加密功能已经成为了Android设备的必备功能。像Nexus5X和6P这样的设备会使用单独的密钥,而这些密钥只能通过受信任的硬件来访问,例如ARMTrustZone。从Nougat(Android7.0)开始,所有的新设备不仅必须要提供对密钥存储的硬件支持,而且还要在这些密钥被使用之前,即当用户解锁设备时,提供防止暴力破解的安全保护。这样一来,你的所有数据只能够在特定的设备上由你来进行解密。
App安全性提升
Android Nougat是目前最安全的Android操作系统,而且对于应用开发人员而言,这个版本的Android也是最容易进行开发的。原因如下:
1.如果某个app需要与其他的app共享数据,现在必须显式地通过Content Provider来提供需要共享的文件,例如FileProvider。应用程序私有目录(通常在/data/data/目录下)的Linux权限必须设置为”0700”,app的目标APILevel必须为24以上(APILevel 24+)
2.为了让app更加轻松地控制网络通信数据的访问权限,API Level24+以上的系统将不再支持用户使用自签名的证书了。除此之外,所有安装了新版Android系统的设备必须使用相同的证书颁发机构。
3.通过设备的网络安全配置,开发人员可以更加方便地配置网络安全策略。 除此之外,Google也在不断完善Androidapp的权限机制和安全功能,目的就是为了防止用户受到某些潜在的恶意app影响。
1.提升了设备的隐私保护,Google移除了某些可以持久访问目标设备的标识,例如设备的MAC地址。
2.用户接口层将无法显示在权限对话框之上。因为某些恶意app会使用这种“点击劫持”技术来尝试获取非法权限。
3.降低了设备管理程序时的耗电量,并禁用了onDisableRequested(),因为某些勒索软件会利用这个接口来非法获取设备的控制权。
总结
Android Nougat对系统各个方面的安全性都进行了大幅度地改进,Google公司的Android开发团队将会继续努力改善Android系统的安全性。与此前一样,如果你对提升Android操作系统有任何建议的话,欢迎大家与Google公司的Android开发小组联系(security@android.com)。
![[译] Android API 指南](http://file.lexue001.com/www/201702/05/140208816.jpg?x-oss-process=image/auto-orient,1/resize,m_fill,w_240,h_180/quality,q_90)
