BT
x Your opinion matters! Please fill in the InfoQ Survey!

Android 4.2.2のセキュリティ強化

作者: Anand Narayanaswamy , 翻訳者 編集部N 投稿日 2013年2月20日 |

原文(投稿日:2013/02/18)へのリンク

 

Android 4.2 Jelly Beanがアプリケーションのセキュリティを強化する、追加の機能を含んで更新された。あなたのユーザーがインストール前にアプリケーションを検証できる機能があるので、有害なアプリケーションがモバイル機器に入るのを防ぐことができる。またアプリケーションが悪い場合には、インストールをブロックする機能もある。

もしアプリケーションがプレミアムサービスにSMSを送ろうとし、短いコードが追加料金が発生するかもしれない場合、Androidは通知し、アプリケーションにメッセージ送信を許すか、あるいはそれをブロックするかをあなたは選ぶことができる。

最新のリリースでは、VPN接続が確立するまで、ネットワークへのアクセスが出来ないように、VPNを設定できる。更に、 libcore SSLの実装が証明書の固定をサポートし、パーミッションがグループに分けられている。またそれは、ユーザーがそれをクリックするとパーミッションについての詳細情報を提供する。

Android 4.2.2では、APIレベル17をターゲットにしたアプリケーションは、デフォルトでは各 ContentProviderに対してエクスポートがfalseに設定され、結果的にアプリケーションのデフォルトの攻撃表面を小さくすることになる。
このアップデートみより、インストールされたデーモンがルートユーザーとしては走らないので、ルート権限昇格の潜在的攻撃表面を小さくする。

更に、initスクリプトが O_NOFOLLOWセマンティックスを適用して、シンボリックリンクに関連した攻撃を防ぐ。またそれは、 メモリー破壊を防ぐために、システムライブラリやアプリケーションによって使われるFORTIFY_SOURCEを実装している。

Android 4.2.2 は修正されて、OpenSSL を使って、SecureRandomCipher.RSA.のデフォルト実装を行なっている。このリリースでは、またOpenSSL 1.0.1 を使ってTLSv1.1 とTLSv1.2の SSLSocketサポートを追加し、アプリケーションのデフォルト攻撃表面を小さくしている。またWebKit, libpng, OpenSSL、LibXMLのオープンソースライブラリのセキュリティ修正も含んでいる。

「推奨されるアプローチは、最初の起動時に真にランダムなAESキーを生成して、それを内部ストレージに保存することです。」と Android Developer Relationsチームの Fred Chung氏が言っている。

Android 4.2.2はセキュアUSBデバッグを導入し、これが有効の時は、ユーザーによって認可されたホストコンピュータだけが、 Android SDKに付いていいるADB ツールを使ってUSB接続されたデバイスの内部にアクセスできる。

 

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

あなたの意見をお聞かせください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする
コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

ディスカッション

特集コンテンツ一覧

サイト全般について
バグ
広告
記事
InfoQ.com and all content copyright © 2006-2014 C4Media Inc. InfoQ.com and 株式会社豆蔵 InfoQ Japan hosted at Contegix, the best ISP we've ever worked with.
プライバシー
BT