BT

Android 4.2.2: Foco em melhorias de segurança

por Anand Narayanaswamy , traduzido por Filipe Portes em 19 Abr 2013 |

O Android 4.2 Jelly Bean foi atualizado com recursos adicionais para melhorar a segurança de aplicações. A nova versão inclui um recurso com o qual os usuários serão capazes de verificar um aplicativo antes de instalá-lo, evitando assim que aplicativos maliciosos entrem no dispositivo móvel. O Android 4.2.2 também tem a capacidade de bloquear a instalação caso o aplicativo seja perigoso.

Se uma aplicação tentar enviar um SMS para qualquer serviço que possa gerar custos adicionais, o Android irá exibir uma notificação e será possível decidir entre permitir que o aplicativo envie a mensagem ou bloqueá-lo.

É possível ainda configurar uma VPN de modo que o aparelho não tenha acceso à rede até que uma conexão à VPN seja estabelecida. Além disso, a implementação libcore SSL fornece suporte ao "certificate pinning", e as permissões foram organizadas em grupos. Essa versão também fornece informações detalhadas sobre as permissões com apenas um clique do usuário.

No Android 4.2.2, aplicativos que utilizam a API level 17 terão a opção de exportação configurada como false por padrão para cada ContentProvider, o que acaba reduzindo a superfície de ataque padrão para aplicativos. Essa atualização reduz também potenciais ataques de escalada de privilégios de root, já que a daemon instalada não roda com o usuário root.

Além disso, o script de carregamento agora aplica a semântica O_NOFOLLOW para prevenir ataques relacionados a symlink; também implementa FORTIFY_SOURCE, que é usado pelas bibliotecas do sistema e pelos aplicativos para prevenir corrupção da memória.

A partir da versão 4.2.2 o SO foi modificado para utilizar o OpenSSL para as implementações padrão de SecureRandom e Cipher.RSA. A versão também adiciona suporte a SSLSocket para TLSv1.1 e TLSv1.2 usando OpenSSL 1.0.1 e reduz a superfície de ataque para aplicações. Além disso, inclui correções de segurança para as bibliotecas open source WebKit, libpng, OpenSSL e LibXML.

Segundo Fred Chung, da equipe do Google de relações com desenvolvedores do Android, a abordagem recomendada é "gerar uma chave AES aleatória na primeira execução e guardar essa chave no armazenamento interno".

O Android 4.2.2 introduz depuração segura via USB. Quando essa funcionalidade é ativada, fica garantido que apenas computadores autorizados pelo usuário possam acessar o interior de um dispositivo USB conectado, usando a ferramenta ADB incluída no Android SDK.

Olá visitante

Você precisa cadastrar-se no InfoQ Brasil ou para enviar comentários. Há muitas vantagens em se cadastrar.

Obtenha o máximo da experiência do InfoQ Brasil.

Dê sua opinião

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Receber menssagens dessa discussão
Comentários da comunidade

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Receber menssagens dessa discussão

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Receber menssagens dessa discussão

Dê sua opinião

Conteúdo educacional

Feedback geral
Bugs
Publicidade
Editorial
InfoQ Brasil e todo o seu conteúdo: todos os direitos reservados. © 2006-2014 C4Media Inc.
Política de privacidade
BT