近日,谷歌发布了Android 14的第一个开发者预览版,新版本最大亮点是大幅增强了安全和隐私功能,尤其是针对恶意软件的防御能力。
从Android 14开始,应用程序必须准确声明将如何使用某些手机功能,应用程序之间的数据交换将受到限制,应用程序下载的文件将是只读模式。
Android 14中一个突出的安全功能是阻止安装针对旧API级别(Android版本)的恶意应用程序,避免敏感权限被滥用。
Android 14 四大安全增强措施
Android14的重大安全增强措施从“运行时接收器”开刀,后者使应用程序能够接收系统或其他应用程序的Intent广播。从Android14开始,所有在该版本运行的应用程序都必须声明是否需要从其他应用程序接收信息,或者仅限于系统“广播”。
这一新的安全措施延续了之前Android版本中引入的“Context.registerReceiver()”功能。该功能旨在防止设备上的恶意应用程序拦截或滥用发给其它应用程序的广播。
Android14的第二大安全增强措施是限制发送没有指定收件人的Intent,这将进一步加强应用程序之间的信息交换并防止恶意软件获取敏感的用户数据。
有了这个新的安全增强功能,恶意软件就无法再拦截从其他应用程序发送的Intent并读取其中的内容。
Android 14的第三大安全增强措施是“动态代码安全加载”,它将应用程序下载的所有文件限制为只读模式。
这将有助于防止一些被操纵的可执行文件的代码注入场景,这些可执行文件本应由特权应用程序运行。
最后,Android 14的第四大安全增强措施是阻止安装针对SDK版本低于23(Android 6.0)的有害应用,以实现更容易的权限滥用。
“恶意软件通常以较旧的API级别为目标,以绕过较新Android版本中引入的安全和隐私保护,”谷歌解释道。“为防止这种情况,从Android 14开始,targetSdkVersion低于23的应用将无法安装。”
在Android 6.0(2015)中,Google引入了运行时权限模型,要求应用在应用启动时请求用户授予对敏感操作(如设备的相机、麦克风、GPS传感器、电话呼叫和SMS访问)的权限访问请求。
针对旧版本SDK的恶意软件可以在清单XML文件中指定,并在安装时请求访问敏感权限,这更容易被用户忽视和批准。
新的权限保护系统还将使用户无法安装长期未更新的应用程序。但是,谷歌表示,升级到Android 14的设备上已经安装的旧应用程序将继续运行。
Android 14距离正式发布还有很长时间,预计谷歌会在2023年3月的第二个开发者预览版中整合更多安全功能。
作为开发人员或网络安全人士,如果你现在想测试新系统,只能在Google Pixel设备上刷入开发预览版系统映像,链接如下:
https://developer.android.com/about/versions/14/download
声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。