關于android7.0 nougat(牛軋糖)
衆所周知,2016年的googlei/o開發者大會已經在美國時間的5月18日成功召開了,而在此次大會上,google公司也正式釋出了新版的androidn作業系統。2016年8月22日,google開始正式向使用者推送android7.0 nougat正式版。
在性能方面,androidn不僅對編譯器進行了優化,而且還在圖形處理方面做了更新。androidn下的軟體運作速度将提升3-6倍,而且由于引入了全新的jit編譯器,使得app的安裝速度提升了将近75%。
在可操作性方面,androidn更是在使用者操作的便捷性上做了一些提升。nougat不僅加入了全新的分屏多任務功能,而且還加入了多任務快速切換功能。這個功能可以幫助使用者解決在兩個任務之間頻繁切換的問題。
當然了,這些功能性的更新和拓展并不是我們這篇文章所要關注的重點,我們的注意力當然要放在androidn的安全性提升上。接下來,我給大家簡單描述一下新版的android7.0 nougat中到底新增了哪些安全保護功能。
新的安全特性
在今年夏天,google公司的android開發團隊向外界展示了android7.0 nougat(牛軋糖)中很多新添加的安全增強特性。除此之外,google還将更加重視android項目的漏洞獎勵計劃,google公司會對每一位向android項目送出漏洞的白帽子予以積極響應。
在系統的安全性方面,android引入了一種新型的直接啟動模式(directboot mode),重新設計了mediaserver的整體架構,提升了媒體棧(mediastack)的安全性,并且更新了android系統處理可信任證書的機制。除此之外,android還提升了nougat下應用程式的安全性,并且會對裝置啟動過程進行更為嚴格的檢測。更值得注意的是,google更新了android作業系統的linux核心,這樣可以最大程度地降低裝置的攻擊面,并增強了對裝置記憶體的保護。
除了上述這些新的安全特性之外,androidn還支援全新的檔案加密模式,使用者将可以對單獨的檔案進行加密。需要注意的是,這種加密是在android作業系統啟動的時候就已經開始了,這樣可以最大程度地保證所謂“系統盲點”時間内的資訊安全。
還有一個功能對于國人而言可能就有些雞肋了,新的androidn在進行系統更新時會在背景主動下載下傳更新固件,并在使用者重新開機手機的時候自動更新系統。反正國人所使用的大多數android裝置都不會第一時間收到google的更新推送,而且android作業系統的實際更新疊代速度确實太慢,是以這并不是什麼值得我們期待的功能。
接下來,我們挑選了幾個比較重要的安全增強性能來進行分析。請各位同學繼續往下看!
直接啟動模式(directboot mode)
在之前版本的android作業系統中,如果使用者開啟了密碼保護功能,那麼使用者就需要在裝置的啟動過程中輸入密碼(圖形或文字密碼)。當裝置啟動成功之後,裝置中存儲的資料也就解密完成了。android7.0 nougat更新了裝置底層的加密處理機制,并且大幅減少了裝置的啟動時間,提升了手機的重新開機速度。現在,手機中類似電話app和鬧鐘這樣的應用會在你輸入密碼之前就啟動完成了。在這個模式下,系統已經處于正常的運作狀态了,但是仍然會限制某些隐私資料的通路。這也就意味着,在你首次啟動并且沒有輸入密碼的情況下,你不僅可以正常接聽來電,你的鬧鐘也會按時叫醒你起床。我們稱該模式為“直接啟動”模式(directboot mode)。
如果你想讓你所開發的app在使用者解鎖裝置之前就運作的話,你需要在androidmanifest.xml檔案中顯式地聲明下列資訊,并選擇需要加入“直接啟動”模式的app元件:
|provider|receiver|service>
android:directbootaware=”true”> android:directbootaware=”true”>
如果你的app需要在“直接啟動”模式下運作的話,需要使用下面這個新增的broadcast:
intent.action_locked_boot_completed
但是需要注意的是,當使用者解鎖了裝置之後,所有的app仍然會接收到下面這個broadcast:
intent.action_boot_completed
全新的加密機制
android n引入了全新的安全加密機制,基于檔案的加密将會大幅度提升使用者體驗度。在這種全新的加密機制之下,系統存儲空間和使用者配置存儲空間将會分開進行加密。這與全盤加密不同,因為全盤加密會将裝置中所有的資料一次加密完成。
基于檔案的加密機制可以通過更細粒度地加密來保護每一位使用者的資料安全,而且還可以提升被加密檔案的獨立性。裝置中的每一份檔案都會使用一個唯一的密鑰來加密,而能夠解密這些檔案的隻有你的裝置密碼。
除此之外,近些年來android生态系統也在不斷增強裝置的安全保護性能。從marshmallow(android6.0)開始,加密功能已經成為了android裝置的必備功能。像nexus5x和6p這樣的裝置會使用單獨的密鑰,而這些密鑰隻能通過受信任的硬體來通路,例如armtrustzone。從nougat(android7.0)開始,所有的新裝置不僅必須要提供對密鑰存儲的硬體支援,而且還要在這些密鑰被使用之前,即當使用者解鎖裝置時,提供防止暴力破解的安全保護。這樣一來,你的所有資料隻能夠在特定的裝置上由你來進行解密。
app安全性提升
android nougat是目前最安全的android作業系統,而且對于應用開發人員而言,這個版本的android也是最容易進行開發的。原因如下:
1.如果某個app需要與其他的app共享資料,現在必須顯式地通過content provider來提供需要共享的檔案,例如fileprovider。應用程式私有目錄(通常在/data/data/目錄下)的linux權限必須設定為”0700”,app的目标apilevel必須為24以上(apilevel 24+)。
2.為了讓app更加輕松地控制網絡通信資料的通路權限,api level24+以上的系統将不再支援使用者使用自簽名的證書了。除此之外,所有安裝了新版android系統的裝置必須使用相同的證書頒發機構。
3.通過裝置的網絡安全配置,開發人員可以更加友善地配置網絡安全政策。
除此之外,google也在不斷完善androidapp的權限機制和安全功能,目的就是為了防止使用者受到某些潛在的惡意app影響。
1.提升了裝置的隐私保護,google移除了某些可以持久通路目标裝置的辨別,例如裝置的mac位址。
2.使用者接口層将無法顯示在權限對話框之上。因為某些惡意app會使用這種“點選劫持”技術來嘗試擷取非法權限。
3.降低了裝置管理程式時的耗電量,并禁用了ondisablerequested(),因為某些勒索軟體會利用這個接口來非法擷取裝置的控制權。
總結
android nougat對系統各個方面的安全性都進行了大幅度地改進,google公司的android開發團隊将會繼續努力改善android系統的安全性。與此前一樣,如果你對提升android作業系統有任何建議的話,歡迎大家與google公司的android開發小組聯系([email protected])。
本文轉自d1net(轉載)