Android 7.0: Gerçekten önemli olan güvenlik avantajları

Son Android Nougat özellikleri ve API'leri hakkında bilgi içeren 13 Ağustos 2016 tarihinde güncellendi.

Android N'de gelen birçok kod değişikliği var. Bazılarını görebiliyoruz - yeni bildirimler gibi - ve bazıları da yapamayız (ama yine de çok önemli). Her güncellemede aynı şeyi görüyoruz. Arayüzde iyileştirmeler ve değişiklikler var, ancak başlık altında ayarlamalar ve Android'in daha iyi ve daha güvenli çalışmasını sağlamak için değişiklikler yapıldı.

Google, Android Nougat’ta güvenliği bir çok farklı alanda geliştirmiştir. Bazıları Android'i sertleştirmek için tasarlandı, diğerleri ise geliştiricilerin kullanması için araçlar olduğu için uygulamalar kurduğumuzda bu şekilde kalıyor. Değişikliklerin kendilerine bir bakalım.

Sorunsuz güncellemeler

Google, Chrome OS'de zaten "kesintisiz güncellemeler" yapıyor ve gerçekten iyi çalışıyor. Android'de işler çok benzer olacak.

Sorunsuz güncellemeler iki ayrı sistem bölümü kullanacaktır. Bunlardan biri, telefonunuzu her gün kullandığınız gibi çalıştırdığınız sistem. Güncelleme zamanı geldiğinde, diğer sistem bölümü değiştirilir ve güncellenir ve bir sonraki yeniden başlatışınızda otomatik olarak değiştirilirsiniz. Bir dahaki sefere bir güncelleme olduğunda, diğer sistem bölümü değişir ve siz geri dönersiniz.

: Android 7.0: Sorunsuz güncellemeler nelerdir ve nasıl çalışır?

Bu, çalışırken veya oynarken bir şeyler yapılabileceği anlamına gelir ve bittiğinde tüm yapmanız gereken normal olarak yeniden başlatmaktır. Şaşırırsınız (duyduğumda) ama çok büyük bir insan telefonunu güncellemez çünkü bir süre alır. Bir kez yapmış olabilirlerdi, sonra orada bekleyerek oturdular ve bir daha yapmamaya karar verdiler. Bildirimi reddetmek kolaydır. Ancak prosedürü değiştirerek, güncellemeleri kolaylaştırarak ve "uygulamaları güncelle" iletişim kutusunu görürken korkunç bekleme süresini ortadan kaldırarak daha fazla insan bunu yapacak.

Ağ Güvenliği Yapılandırması

Ağ Güvenliği Yapılandırması, uygulama geliştiricilerin, sistem düzeyinde değişiklikler istemek yerine, ağ güvenliği ayarları için özel bir yapılandırma dosyası oluşturmasına ve kullanmasına izin verir. Yapılandırma dosyası, uygulamanın kendisi değiştirilmeden değiştirilebilir ve cihaz yerine özel bir Sertifika Yetkilisi kullanmak üzere ayarlanabilir. varsayılandır ve ayrıca sistem tarafından güvenilen CA'ların tümünü veya tümünü yoksaymak için de ayarlanabilir. Bu, kendinden imzalı bir CA'ya (ana uygulamalar gibi) sahip bir ana bilgisayara veya yalnızca belirli bir CA'ya güvenmesi gereken bir uygulamaya bağlanmak için önemlidir.

Ek olarak, yapılandırma HTTPS protokolünü kullanarak herhangi bir düz metin ağ trafiğinden vazgeçecek ve şifreli iletişimi zorlayacak şekilde ayarlanabilir. Bir ağ yöneticisiyseniz veya ağ uygulamaları geliştiriyorsanız, bu değişikliklerin ne kadar önemli olduğunu biliyorsunuzdur. Geri kalanımız, geliştirmesi daha kolay olan uygulamalarda daha güvenli ağ trafiğine sahip olduğumuz için mutlu olabiliriz.

Medya Sunucusu sertleştirme

Stagefright'ı hatırladın mı? Medya tarafından orantısız bir şekilde üflenirken, abartılı arkasına gizlenmiş gerçek bir sorun vardı. Bir medya dosyasını oynatmak ve sizi yeniden başlatmaya veya tüm sesleri kaybetmeye zorlama yeteneğine sahip olması çok kötü bir konudur ve (teoride) gizlice kök izinleri almak için kullanılabileceği gerçeği daha da korkutucu. Google çok ciddiye alıyor ve onunla birlikte gelen hataların ve güvenlik kaygılarının önüne geçmek için her ay medya sunucusu kitaplığında yamalar görüyoruz.

Android N'de medya sunucusu büyük bir elden geçiriliyor. Google, medya sunucusunu, WebView bileşeninde olduğu gibi, tam sistem güncellemesi dışında güncellenebilecek daha küçük bileşenlere ayırdı. Bu, yeni bir düzeltme ekleri olduğunda, telefonunuzun düzeltme ekini size göndermeye karar vermesine karar veren kişilerin altı ay veya daha fazla beklemek yerine Google Play'den güncellemeleri alabilmesi anlamına gelir.

Aynı zamanda, medya sunucusu için izin modelini değiştirdiler, artık tam sistem izinleri vermiyorlar. Düşük ayrıcalıklarla çalışmak, eğer medya sunucusuna karışırlarsa, herkesin sisteme girmesini zorlaştırır. Bu büyük bir değişiklik ve Android telefon hack (kötü hack tür) eskisinden daha zor hale getirecek.

Anahtar Tasdik

Anahtar Teyidi, geliştiricilerin uygulamalarında kullanabilecekleri tuşların yazılımda değil, telefonun donanım destekli anahtar deposunda geçerli ve saklandıklarından emin olmalarını sağlar. Doğrulama aracına bir anahtar için oluşturulmuş bir diğer ad verildiğinde (gerçek anahtar asla paylaşılmamalıdır), daha sonra anahtarı doğrulamak için kullanılabilecek bir sertifika zinciri oluşturur. Geliştiriciler, her şeyin geçerli olduğundan emin olmak için hem anahtarı hem de doğrulanmış önyükleme durumunu doğrulayabilir.

Android N ile birlikte gelen ve Google hizmetlerini kullanan telefonlarda, Google tarafından kök (veya birincil) otorite olarak verilmiş bir sertifikaya sahip olacak; yükseltilmiş diğer telefonların da bunları yapan şirket tarafından verilen bir sertifikaya ihtiyacı olacaktır.

Android N çalıştırabilen tüm telefonlar, şifreleme anahtarlarını depolamak için güvenilir bir donanım ortamına sahip değildir ve bu durumlarda bunun yerine yazılım düzeyinde anahtar doğrulaması kullanılır. Doğrulanan önyükleme durumu, sistem yazılımının tahrif edilmediğinden emin olmak için hala kontrol edilebilir. Evet, bu bir geliştiricinin kök kontrolü yapabileceği anlamına gelir. Bu, telefonunu kuran kullanıcılara gereksiz bir ceza uygulanmadığı takdirde iyi bir şeydir.

Dosya düzeyinde şifreleme

Daha önce, Android tüm bölüm veya depolama aygıtının tümünü bir kerede şifreli hale getirmek için blok düzeyinde şifreleme kullanıyordu. Bu çok güvenli bir şifreleme yöntemiydi ve gerçek belirteçleri depodan ve donanımdan uzak tutmak, tek yolun doğru şifre ya da PIN ile olması anlamına geliyordu. Android N ile işler dosya düzeyinde şifrelemeyle değiştirildi.

Doğrudan Önyükleme, taşıma ve güvenliği sağlamak için dosya düzeyinde şifreleme ile çalışmak üzere tasarlanmıştır.

Şifreli Android cihazınız başladığında (veya cebinizde yeniden başlatıldığında), cihaz şifrelenir ve kilitlenir. Yalnızca belirli uygulamalar çalışabilir ve buna doğrudan önyükleme modu denir. Bu, yine de telefon görüşmeleri yapabileceğiniz veya alarmın durduğu (hatta bazı mesaj bildirimleri görebileceğiniz) anlamına gelir, ancak daha fazlasını yapmak için cihazın kilidini açıp şifresini çözmeniz gerekir. Kilit açıldıktan sonra, N bize (kullanıcı) ve uygulamaların verilerin kilitlenme şekli üzerinde biraz daha kontrol sahibi olmasını sağlamak için dosya düzeyinde şifreleme kullanır.

Burada oyun oynamanın iki avantajı var - FDE (blok katmanı tam disk şifrelemesi) düşük uçlu cihazların oldukça zayıf çalışmasını sağlıyor. Google’ın Nexus 6’da deneme yapması için birkaç deneme aldı ve 50 MB / sn’den daha düşük olan herhangi bir cihaz flash depolama donanımını okuyup yazıyor. İkinci (ve daha önemli) avantaj, A ilişkili D ata (AEAD) ile A kimlik doğrulamalı E şifrelemesi için dosya düzeyinde şifreleme kullanımıdır. AEAD, yetkisiz bir kullanıcının veya uygulamanın erişmesi için verilerin daha zor olduğu anlamına gelir. AEAD ile ilgilenen insanlar için, burada UC Davis profesörü Phillip Rogaway'den (.pdf dosyası) çok iyi bir okuma alınmış.

Bu çok katmanlı şifreleme yaklaşımı, bütçe açısından uygun fiyatlı Android yapan şirketlerin performans düşüşü olmadan şifreleme yapmalarını sağlayacak.

Doğrudan Önyükleme

Dosya düzeyinde şifreleme, Doğrudan önyükleme özelliği ile de daha iyi çalışacaktır. Doğrudan Önyükleme, geliştiricilerin kaldırabileceği yeni bir mod sağlar; böylece bir kullanıcının telefonun kilidini açmasını veya şifresini çözmesini beklemek yerine, uygulamanın sisteme güç verildiğinde çalışabilmesi için uygulamalarını kaldırabilir.

Bu, yeni bir Aygıt Depolama alanıyla aynı doğrultuda yapılır ve Direct Boot'u kullanan uygulamalar, kimlik bilgileriyle korunan normal dosya sistemi ve ayrı ayrı şifrelenmiş dosya veya dizinlerle herhangi bir etkileşime sahip olmaz.

: Android 7.0: Doğrudan Önyükleme nedir ve deneyiminizi nasıl geliştirir?

Kapsamlı Dizin Erişimi

Kapsamlı Dizin Erişimi, bir uygulamanın harici depolamadaki belirli bir dizine erişme izni almasının bir yoludur (harici depolama, sistemin dışındaki bir bölümdür ve hem telefonunuzun depolama alanını hem de bir SD kart veya diğer bağlı depolama aygıtını içerir) tüm birimin izni veya klasör izinlerini istemek için bir açılır pencere kullanma.

Saklanan verilere güvenle erişilmesi önemlidir. Yalnızca Müzik veya Fotoğraflar depolama klasörüne erişmesi gereken bir uygulamanın başka bir şey görmemesi gerekir ve mevcut Depolama Erişim Çerçevesini kullanarak daraltmak için kod yazması birçok geliştiricinin reddettiği bir şey olduğu kanıtlanmıştır. Yeni Kapsamlı Dizin Erişimi API'si, geliştiricilerin güvenli ve verilerinizi koruyan uygulamalar oluşturmasını kolaylaştırır.

Bu önemli güvenlik özellikleri Android N'in büyük bir bölümünü oluşturuyor. Bazı telefonlar (özellikle Nuga ile birlikte gelmeyenler) hepsini kullanmasa da, her biri düzgün kullanıldığında verilerimizin korunmasına yardımcı oluyor. Android olgunlaştı ve Google’ın 7.0’da gösterdiği detaylara gösterilen dikkat, yeni emojiler veya yeni bir renk şeması kadar gösterişli olmayabilir, ama çok daha önemli.