产品展示

Android7.0:为什么Nougat是谷歌最大的移动安全性检修

谷歌已经开始概述Android Nougat提供的安全增强功能,即Android 7.x,它从2016年8月起开始作为数百万当前手机的升级版。事实证明这一点非常重要,这使得Nougat成为该平台在一次跳跃中获得的最重要的安全性检修。

问题是,并非所有手机都被标记为可以获取。那些将包括谷歌自己的Nexus 5x,6 / 6p plus Pixel C系列。对于其他厂商来说,只要不到一年的时间,大多数手机都会升级并运行所需的ARM微处理器。

在安全性方面,Android 7.x调整了2015年10月出现在Android M(v6.x)上的一些功能,但也增加了一些新元素,特别是对于Google的大型目标市场之一 - 商业用户而言。过去,谷歌倾向于为诸如三星这样的合作伙伴提供一些安全创新,这些合作伙伴提出诺克斯等创新来缓解BYOD,但现在音乐已经发生了变化。谷歌在某个时候决定,它需要比以往更加迅速地推动Android的安全。

直接引导 - 更快地访问基本功能

启动加密的Android手机迄今为止是一种缓慢且笨重的业务,其中在启动过程中用户输入PIN码以在第二屏幕锁定PIN或解锁代码或模式之后(如果设置)解锁加密。只有这时手机才可以使用。

缺点是访问应用程序是全部或没有。通过将存储分为两个区域,“设备保护”存储和“凭证保护”存储,Android 7.x可以快速访问电话和闹钟等基本功能。设计使用前者的应用程序可以使一些核心功能在没有PIN的情况下非常快速地提供;访问凭证存储的应用仍然需要正常的解密PIN。

直接引导也有利于安装更新 - 请参阅下文。

加密支持

Android 5.x(Marshmallow)在2014年引入了强制加密支持,在Android 6.x中增加了对最近ARM微处理器中集成的ARM Trustzone硬件的支持,以更安全地存储加密密钥,从而将加密密钥与设备和用户联系起来。这个硬件支持现在对于Android 7.x设备是强制性的,这就是为什么一些较老的不会得到新的操作系统。

从旧版本的全盘加密转向基于文件的加密是一项重大升级,可以直接引导(参见前面的部分)。然而,一个缺点是,大多数当前的手机将需要从头开始安装,需要完整的数据和应用程序重置。

大修MediaServer - 告别StageFright

记住Android安全缺陷统称为Stagefright?不同研究人员在2015年发现这些严重的远程执行漏洞与Android的方式有关,从2.2开始,libStageFright机制一旦处理消息即可处理MMS消息和视频等媒体内容。

谷歌已经完全重写了Android的这一部分,使用了沙盒特权,进程模块化和整数溢出检测的混合体,这本质上是一种将媒体播放分为多个层次的方法,这些层次对于攻击者来说依次破坏更为困难

Android 7.0:为什么Nougat是谷歌最大的移动安全性检修系统更新

空中(OTA)更新已经及时进行了修改,以便更快安装(据说漫长的应用程序优化步骤已经结束);系统更新也可以在不中断用户的情况下安装,也可以在后台安装,但这需要2016款手持Nougat专用固件,例如Google Pixel。

考虑到Android现在每月都会进行修补,后台更新应该会停止整个过程成为最终用户的主要劳动力

谷歌手机的集成VPN安全性

并非严格意义上的Android 7.0的一部分,但Google最近宣布,该公司的Project Fi服务的一项重要功能Wi-Fi Assistant将提供给全英国的Nexus和Pixel智能手机(运行Android 5.1或更高版本)的所有用户,部件欧洲和美国。

对大多数用户来说可能并不陌生,但WiFi Assistant是一件大事,因为它实际上是一个集成的VPN,通过开放的WiFi热点通过Google的服务器安静地引导连接。这增加了一层安全性,通常会让用户每月订购费用,并强调VPN技术正在迅速成为标准功能(Opera的浏览器还集成了免费VPN)的方式。

直接引导也有利于安装更新 - 见下文

应用程序安全性调整

应用程序在他们可以做的事情上面临着更多的限制。例如,Android 7.0应该可以让应用程序通过欺骗用户使用对话框覆盖超过合法权限请求来提升权限。同样,应用程序不能再捕获设备标识符,例如硬件MAC地址。

劫持锁屏的勒索软件应该已成为历史,因为即使是具有管理员身份的应用程序也不能再执行此操作。应用程序也面临着他们可以访问的文件夹的限制

Android 7.0:为什么Nougat是谷歌最大的移动安全性检修工具Android for Work增强功能

订阅Android for Work的组织将受益于几项新的安全功能,其中包括“永远在线”的VPN(即最终用户无法绕过),一种特殊的新“工作”模式,在几小时后停用面向工作的应用程序,以及设置不同密码或PIN以保护工作和个人数据的能力。

还有更好的身份识别基于改进的业务目录集成的工作和个人呼叫。未来的意图是工作和个人电话线路将被分开以用于VoIP应用程序

结论 - 更好够好

尽管许多这些功能在纸上看起来很好,但大多数Android用户仍然不会从中受益,因为他们的手机还不够新。这是一个小悖论。谷歌提高安全性的速度越快,整个平台的安全性越分散,即使是最近的版本也会越来越分散,这使得管理安全性的组织更难以同时处理多个版本。

但请不要误解,Android 7.0代表了一个有价值的步骤向上。有人在谷歌一直关注。

Android 7.0:为什么牛轧糖是谷歌最大的移动安全性检修吗?管理内部VPN的网络管理员可以选择退出WiFi助手。