Google於I/O大會說明多項Android Q資安措施,加密、沙盒、認證多管齊下
Google表示在推出每個Android新版本時,首要任務之一就是提高安全性,而在2019年的Google I/O大會上,Google也說明了整合至最新版Android Q的資安新功能,並計劃在未來幾幾個月內深入研究每個功能,以期在Android Q正式推出時,能提供使用者最周延的資安保障。
資料儲存與傳輸都有加密防護
將儲存於裝置的資料加密是最基本也是最有效的安全措施之一,不過目前許多加密標準因為需要消耗較多的運算資源,所以往往需要透過ARMv8 Cryptography Extensions運算單元等專屬硬體元件進行加速,這對運算效能貧弱且不具硬體加速功能的設備來說,等同於無法使用資料加密功能。
而Google於2月推出的Adiantum加密演算法具有較高的效率,因此可以在運算效能較差或沒有硬體加速的平價裝置、智慧型手錶等裝置上進行即時資料加密。
這個改變也讓Google強制要求所有新推出且搭載Android Q系統的智慧型手機、平板電腦、智慧型電視、車載電腦等裝置,都必須對使用者資料進行加密,沒有例外,這將讓下個世代數以億計的裝置都受到加密保護。
除了儲存資料加密之外,Android Q也預設支援TLS 1.3,這是由網際網路工程任務小組(Internet Engineering Task Force, IETF)在2018年8月最終確定的TLS標準的重大更新,能夠在較短的通訊往返中完成交握,能使對話的連線費時縮短40%,並取消支援較弱的加密演算法、不安全或過時的功能,同時也修復TLS 1.2中的多個漏洞,能夠提供更快、更安全的資料傳輸防護。
▲ Adiantum的運作效率大約比AES高出5倍左右。(圖片來源:Google)
沙盒與認證強化保護力
Google在Android Q中導入了許多深度資安防護措施,以避免媒體、藍牙、作業系統核心成為攻擊途徑,其中1項措施就是筆者先前曾介紹過能用於隔離惡意程式的沙盒技術。
此外Android Q也將透過Shadow Call Stack保護控制流程完整性(Control Flow Integrity,CFI),並支援XOM(eXecute-Only-Memory,僅限執行記憶體)保護位址空間組態隨機載入(Address space layout randomization,ASLR)不受攻擊。
在認證方面,Android Q繼承了先前Android P的指紋、面部、虹膜等生物特徵辨識,並強化指紋、面部辨識的可靠性,且更新底層框架,提供顯式、隱式等身份驗證功能。
在顯式驗證的運作流程中,使用者需要「實際」執行動作,例如將手指滑過指紋辨識器,或是在利用面部、虹膜辨識過程點擊按鈕,以確保惡意程式不會偷偷進行解鎖動作。顯式驗證將會是Android Q的預設流程,並將用於行動支付等認證。
隱式驗證則不需實際執行動作,使用上比較便捷,也可以提供無縫操作體驗避免打斷使用者,會用於可以退款的小額支付、自動登入等場合。
▲ XOM能確保第三方程式無法窺探被保護的程式或進行逆向工程。(圖片來源:Arm)
▲ 目前已經有13間廠商提供Android Q Beta版。
目前已經有13間廠商共21款裝置相容Android Q Beta版,想要搶先嘗鮮的讀者,可以至官方網站下載Beta版,並協助回報遇到的Bug與問題。
(標題圖片來源:Google)