Главная » Безопасность » Безопасность Андроид: Обзор инструментов безопасности Android 5.0 Lollipop

Безопасность Андроид: Обзор инструментов безопасности Android 5.0 Lollipop

Безопасность Android

Справедливости ради стоит отметить, что подобная функциональность, включая гостевые аккаунты и блокировку на приложении, уже существовала во многих доступных в маркете приложениях, однако 99% из них использовали концепцию «рабочий стол внутри приложения», то есть, по сути, вообще не изолировали пользовательские аккаунты от основной системы. Более продвинутая технология входит в состав системы безопасности Samsung Knox. Она позволяет запустить чистую ОС рядом с основной и полностью отрезать системы друг от друга, но доступна только в смартфонах и планшетах соответствующей марки.

Smart Lock

Пользователи не любят PIN-коды и графические ключи, и Google отлично это понимает. Поэтому еще одним новшеством 5.0 стала функция Smart Lock, позволяющая сохранить безопасность смартфона и данных, не утомляя себя вводом цифр или рисованием на экране сложных иероглифов. Это еще один шаг Google в сторону «защищенного по умолчанию смартфона», о котором мы говорили в разделе про шифрование.

Однако в этот раз все намного проще. Smart Lock — это не что иное, как возможность автоматического отключения защиты экрана блокировки после подключения к одному из Bluetooth-устройств (умные часы, автомагнитола, TV Box), касания смартфоном NFC-метки или на основе местоположения. Фактически это официальная реализация функций, которые уже несколько лет доступны в сторонних приложениях, прошивках от производителей (мотороловский Trusted Bluetooth, например), Tasker, приложениях для Pebble и других умных часов (приложение SWApp Link).

Smart Lock Android 5.0 Lollipop
Настройки Smart Lock            В Андроид 5.0 Webview

Теперь функциональность этих приложений доступна в самой прошивке, а все, что остается сделать юзеру, — это установить на экран блокировки PIN-код или ключ, активировать Smart Lock в настройках безопасности (раздел Trusted Agents) и добавить доверенные Bluetooth-устройства, NFC-теги или места.

Функция разблокировки по снимку лица теперь тоже часть Smart Lock. Причем отныне она не только включается на экране блокировки, но и постоянно следит за юзером и блокирует устройство, если лицо изменилось. Другими словами, стоит вору, выхватившему смартфон из рук владельца, взглянуть на экран, как смартфон сразу заблокируется.

Обновляемый WebView

С первых версий Android включал в себя компонент WebView на базе WebKit, позволяющий сторонним приложениям использовать HTML/JS-движок для отображения контента. На нем же базировалось большинство сторонних браузеров. В KitKat WebView был серьезно модернизирован и заменен на движок из проекта Chromium (версии 33 в Android 4.4.3), что позволило разработчикам получить доступ к последним наработкам Google в области отображения веб-контента.

В целях защиты от посторонних глаз Android позволяет отключить показ конфиденциальных уведомлений на экране блокировки.

Начиная с Lollipop, WebView не просто базируется на Chromium, но и умеет обновляться через Google Play (в автоматическом режиме, незаметно для юзера). Это значит, что независимо от используемой версии Android разработчики приложений теперь всегда будут иметь дело с последней версией HTML/ JS-движка, включающей все последние нововведения. Но что более важно, Google теперь сможет закрывать уязвимости в движке так же быстро, как уязвимости в Google Chrome для Андроид. Всё что потребуется от пользователя, — это подключенный к сети смартфон с Андроид 5.0 или выше.

Kill Switch

В августе 2013 года Google запустила веб-сервис Android Device Manager, с помощью которого мы получили возможность сброса до заводских настроек или удаленной блокировки смартфона. В качестве клиентской части на смартфоне сервис использовал обновляемый через Google Play компонент Google Services, поэтому функция стала доступна для любых устройств, начиная с Android 2.3.

Начиная с Android 5.0, сервис также включает в себя функцию Factory Reset Protection. После ее активации возможность сброса до заводских настроек будет заблокирована паролем, что, по мнению Google, будет препятствовать полноценному использованию смартфона или его продаже. Ведь однажды привязанный к аккаунту Google смартфон уже не может быть отвязан без сброса настроек.

Все логично, но функция больше напоминает игрушку, чем серьезный метод борьбы с кражами. В конце концов, разблокировка загрузчика и права root решат все вопросы возвращения смартфона к заводскому состоянию.

Другие улучшения Android 5.0

  • Интеграция с ChromeOS. Братская ОС уже научилась получать уведомления от Android и запускать Android-приложения, а теперь она умеет автоматически впускать юзера, если рядом находится его телефон (этакий Smart Lock наоборот).
  • Улучшения в поддержке HTTPS и TLS/SSL. В Android 5.0 теперь включена поддержка TLSv1.1 и TLSv1.2. При согласовании ключей по возможности используется опция Forward Secrecy. Добавлена поддержка алгоритма AES-GCM, а ущербные в плане безопасности алгоритмы шифрования/хеширования (MD5, 3DES) отключены.
Автоматический логин в ChromeOS
Автоматический логин в ChromeOS
  • PIE везде. Android теперь явно требует, чтобы все нативные бинарники были скомпилированы с поддержкой PIE (Position-Independent Executables).
  • Расширенная поддержка FORTIFY_SOURCE. Такие функции, как stpcpy(), stpncpy(), read(), recvfrom(), FD_CLR(), FD_SET() и FDJSSET(), теперь также защищены с помощью механизма FORTIFY_SOURCE компилятора GCC (защита от срыва стека). Начальная поддержка FORTIFY_SOURCE появилась еще в Android 4.2.
В отличие от Linux, в хидере зашифрованного раздела Android нет М05-суммы ключа шифрования. Google убрала его намеренно, чтобы усложнить подбор пароля от ключа.

Выводы

Google не только сделала Android 5.0 таким, каким его хотят видеть пользователи и производители смартфонов, но и приложила все усилия для того, чтобы решить две основные проблемы безопасности: уберечь смартфон от посторонних глаз и защитить от уязвимости к атакам, направленным на получение прав root. Эффективны ли эти улучшения, покажет время, но уже сейчас можно точно сказать что последняя версия Андроид Lollipop — является самой защищенной.

Автор статьи: Евгений Зобнин
Источник

Один комментарий

  1. Аватар
    Джеймс Бонд

    Спасибо за статью, очень полезная и нужная информация для всех.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *