BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

Android 4.2.2中对安全性的改进

| 作者 Anand Narayanaswamy 关注 0 他的粉丝 ,译者 方盛 关注 1 他的粉丝 发布于 2013年3月3日. 估计阅读时间: 2 分钟 | GMTC大前端的下一站,PWA、Web框架、Node等最新最热的大前端话题邀你一起共同探讨。

Android 4.2 Jelly Bean最近发布了更新,通过加入附加特性来增强应用程序的安全性。它其中的一个特性可以让用户在安装程序之前对应用程序进行验证,从而防止将有害的应用程序安装到移动设备上。并且它可以在发现应用程序损坏的情况下终止安装过程。

当你设备里的应用程序试图向一个会产生额外费用的收费服务短号码发送短信时,Android系统会发出提示,由你来选择是否允许该应用程序发送短信或者终止发送过程。

最新的版本允许用户自定义配置VPN,从而使设备只有在VPN创建以后才可以访问网络。此外,SSL核心库的实现也提供了对证书绑定的支持,权限也被以分组的形式进行组织管理。它还针对用户选择的权限提供了详细的信息。

在Android 4.2.2中,目标API级别为17的应用程序会将每个ContentProvider的export属性默认设置为false,从而可以最终减小应用程序的默认攻击面。此次的更新还可以减小针对root权限升级来带来的潜在攻击面,因为installd守护进程不会再以root用户的方式运行。

此外,初始化脚本还会遵守O_NOFOLLOW语法规则从而预防符号链接相关的攻击。它还实现了FORTIFY_SOURCE,它可以被系统函数库和应用程序调用,从而预防内存泄漏。

Android 4.2.2进行了相关修改,以便利用OpenSSL来完成SecureRandomCipher.RSA)的实现。该版本还为使用OpenSSL 1.0.1的TLSv1.1和TLSv1.2增加了SSLSocket的支持,而且还减小了应用程序的默认攻击面。它还包含了WebKitlibpng、OpenSSL和LibXML开源库的安全补丁。

“推荐的做法是在程序第一次启动的时候生成一个真正随机的AES key并将它存储在内部存储空间中。”Android开发者关系团队的Fred chung说道。

Android 4.2.2 引入了USB安全调试方面的内容,当启用安全调试的时候,只有被用户认证过的主机才可以通过Android SDK自带的ADB工具经由USB连接来访问设备的内部构件

查看英文原文:Security Enhancements in Android 4.2.2


感谢侯伯薇对本文的审校。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT