Android 4.2.2中对安全性的改进

标签: android 安全 | 发表时间:2013-03-02 04:03 | 作者:
出处:http://pipes.yahoo.com/pipes/pipe.info?_id=10560380f804c7341f042a2b8a03e117

Android 4.2 Jelly Bean最近发布了更新,通过加入附加特性来增强应用程序的安全性。它其中的一个特性可以让用户在安装程序之前对应用程序进行验证,从而防止将有害的应用程序安装到移动设备上。并且它可以在发现应用程序损坏的情况下终止安装过程。

当你设备里的应用程序试图向一个会产生额外费用的收费服务短号码发送短信时,Android系统会发出提示,由你来选择是否允许该应用程序发送短信或者终止发送过程。

最新的版本允许用户自定义配置VPN,从而使设备只有在VPN创建以后才可以访问网络。此外,SSL核心库的实现也提供了对证书绑定的支持,权限也被以分组的形式进行组织管理。它还针对用户选择的权限提供了详细的信息。

在Android 4.2.2中, 目标API级别为17的应用程序会将每个ContentProvider的export属性默认设置为false,从而可以最终减小应用程序的默认攻击面。此次的更新还可以减小针对root权限升级来带来的潜在攻击面,因为installd守护进程不会再以root用户的方式运行。

此外,初始化脚本还会遵守O_NOFOLLOW语法规则从而预防符号链接相关的攻击。它还实现了FORTIFY_SOURCE,它可以被系统函数库和应用程序调用,从而预防内存泄漏。

Android 4.2.2进行了相关修改,以便利用 OpenSSL来完成 SecureRandomCipher.RSA)的实现。该版本还为使用OpenSSL 1.0.1的 TLSv1.1和TLSv1.2增加了SSLSocket的支持,而且还减小了应用程序的默认攻击面。它还包含了 WebKitlibpng、OpenSSL和 LibXML开源库的安全补丁。

“推荐的做法是在程序第一次启动的时候生成一个真正随机的AES key并将它存储在内部存储空间中。”Android开发者关系团队的Fred chung说道。

Android 4.2.2 引入了USB安全调试方面的内容,当启用安全调试的时候,只有被用户认证过的主机才可以通过Android SDK自带的 ADB工具经由USB连接来访问设备的 内部构件

查看英文原文: Security Enhancements in Android 4.2.2


感谢 侯伯薇对本文的审校。

您可能也会喜欢

相关 [android 安全] 推荐:

Android操作系统安全

- - CSDN博客推荐文章
        Android在迅猛发展的同时,其安全问题一直没有引起足够的重视,但在2010年6月研究人员发布Android平台的KernelRootkit以来,Android平台的安全问题引来了越来越多的关注,而同时,Android平台的恶意软件也开始流行起来.        根据以上的Android系统架构分析,可以发现在三个层面可能存在恶意软件.

Android DEX安全攻防战

- - CSDN博客推荐文章
本文章由Jack_Jia编写,转载请注明出处. 文章链接: http://blog.csdn.net/jiazhijun/article/details/9428861. 作者:Jack_Jia    邮箱:  309zhijun@163.com.       英文原版: http://www.strazzere.com/papers/DexEducation-PracticingSafeDex.pdf.

ANDROID应用安全防御

- - 移动开发 - ITeye博客
Android应用的安全隐患包括三个方面:代码安全、数据安全和组件安全.   代码安全主要是指Android apk有被篡改、盗版等风险,产生代码安全的主要原因是apk很容易被反编译、重打包. 我们可以采用以下方法对apk进行保护:.   代码混淆可以在一定程度上增加apk逆向分析的难度. Android SDK从2.3开始就加入了ProGuard代码混淆功能,开发者只需进行简单的配置就可以实现对代码的混淆.

Android 4.2.2中对安全性的改进

- - InfoQ cn
Android 4.2 Jelly Bean最近发布了更新,通过加入附加特性来增强应用程序的安全性. 它其中的一个特性可以让用户在安装程序之前对应用程序进行验证,从而防止将有害的应用程序安装到移动设备上. 并且它可以在发现应用程序损坏的情况下终止安装过程. 当你设备里的应用程序试图向一个会产生额外费用的收费服务短号码发送短信时,Android系统会发出提示,由你来选择是否允许该应用程序发送短信或者终止发送过程.

Android APP安全测试基础

- - 阿德马Web安全
自从去了新公司之后,工作太忙,变的有点懒了,很久没有更新Blog. 今天跟几个小伙伴一起吃饭,小伙伴提起我的Blog,想想是该更新更新了,就把我投稿给sobug的这篇转过来吧,关于Android app安全测试的基础东东,在Sobug 的url:. 最近这两年移动端真是非常火,每个单位或多或少都会有那么几款App,对于我们Web安全攻城师来说,App安全也需要或多或少的了解一些.

关于 Android 安全的六个问题

- - 爱范儿 · Beats of Bits
由于 Android 的开放性,安全问题一直是人们关注的焦点. 每当安全公司爆出手机恶意软件,Android 用户都要提心吊胆一番. 为此,你或许已经安装了杀毒软件,安装软件也开始小心谨慎了. 不过,Android 安全问题真的非常严重吗. 近日, Androidcentral 网站邮件采访了 Android 首席安全工程师 Andrian Ludwig,提到了六个方面的问题.

Android 5.0五大安全特性

- - 移动开发 - ITeye博客
全盘加密(Full Disk Encryption, FDE). 对全部闪存数据加密,性能下降较大 . Nexus 6,Nexus 9无法关闭FDE . 对于其他设备,Google推荐开启. 4.2中曾加入对平板的多用户支持,但用户配置过于麻烦,4.3才有所改善,5.0加入对手机的支持 . 用户分为四类:Owner、Normal、Restricted、Guest .

Android 应用安全风险与防范

- - DiyCode - 致力于构建开发工程师高端交流分享社区社区
Hello,大家好,我是Clock. 最近一段时间在做Android应用安全方面的功课,本文进行简单梳理方便以后Review,有错误和遗漏之处还请大家指出. Android开发除了部分功能采用C/C++编码外,其余主要都是采用Java进行编码开发功能. Java应用非常容易被反编译,Android自然也不例外.

Avast收购安全厂商 直接进入Android安全市场

- 洞箫 - cnBeta.COM
流行的安全套件制造商Avast今日宣布收购手机安全公司ITAgents,这间公司一直在研发Android和Symbian安全应用,主要用于数据保护并提供丢失设备的短信远程控制等功能. Avast没有透露收购价格,因为这两者都是私人持有的公司,因此没有公开的义务.

黑莓比Android更安全?美国军方来解释

- 涛涛 - cnBeta.COM
尽管Android和iOS增长迅速,不过企业和华尔街人士们还是抓着BlackBerry(黑莓)手机不放,据称主要原因是他们认为安全性不及RIM. 这种看法要到什么时候才会成为一个遥远的记忆呢. 而长久以来美国National Security Agency(国家安全局)、美国军方以及其它美国军事分支部门对此都没有发表过任何看法.