BT

Android 4.2.2: Foco em melhorias de segurança

por Anand Narayanaswamy , traduzido por Filipe Portes em 19 Abr 2013 |

O Android 4.2 Jelly Bean foi atualizado com recursos adicionais para melhorar a segurança de aplicações. A nova versão inclui um recurso com o qual os usuários serão capazes de verificar um aplicativo antes de instalá-lo, evitando assim que aplicativos maliciosos entrem no dispositivo móvel. O Android 4.2.2 também tem a capacidade de bloquear a instalação caso o aplicativo seja perigoso.

Se uma aplicação tentar enviar um SMS para qualquer serviço que possa gerar custos adicionais, o Android irá exibir uma notificação e será possível decidir entre permitir que o aplicativo envie a mensagem ou bloqueá-lo.

É possível ainda configurar uma VPN de modo que o aparelho não tenha acceso à rede até que uma conexão à VPN seja estabelecida. Além disso, a implementação libcore SSL fornece suporte ao "certificate pinning", e as permissões foram organizadas em grupos. Essa versão também fornece informações detalhadas sobre as permissões com apenas um clique do usuário.

No Android 4.2.2, aplicativos que utilizam a API level 17 terão a opção de exportação configurada como false por padrão para cada ContentProvider, o que acaba reduzindo a superfície de ataque padrão para aplicativos. Essa atualização reduz também potenciais ataques de escalada de privilégios de root, já que a daemon instalada não roda com o usuário root.

Além disso, o script de carregamento agora aplica a semântica O_NOFOLLOW para prevenir ataques relacionados a symlink; também implementa FORTIFY_SOURCE, que é usado pelas bibliotecas do sistema e pelos aplicativos para prevenir corrupção da memória.

A partir da versão 4.2.2 o SO foi modificado para utilizar o OpenSSL para as implementações padrão de SecureRandom e Cipher.RSA. A versão também adiciona suporte a SSLSocket para TLSv1.1 e TLSv1.2 usando OpenSSL 1.0.1 e reduz a superfície de ataque para aplicações. Além disso, inclui correções de segurança para as bibliotecas open source WebKit, libpng, OpenSSL e LibXML.

Segundo Fred Chung, da equipe do Google de relações com desenvolvedores do Android, a abordagem recomendada é "gerar uma chave AES aleatória na primeira execução e guardar essa chave no armazenamento interno".

O Android 4.2.2 introduz depuração segura via USB. Quando essa funcionalidade é ativada, fica garantido que apenas computadores autorizados pelo usuário possam acessar o interior de um dispositivo USB conectado, usando a ferramenta ADB incluída no Android SDK.

Avalie esse artigo

Relevância
Estilo/Redação

Olá visitante

Você precisa cadastrar-se no InfoQ Brasil ou para enviar comentários. Há muitas vantagens em se cadastrar.

Obtenha o máximo da experiência do InfoQ Brasil.

Dê sua opinião

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Receber mensagens dessa discussão
Comentários da comunidade

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Receber mensagens dessa discussão

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Receber mensagens dessa discussão

Dê sua opinião
Feedback geral
Bugs
Publicidade
Editorial
Marketing
InfoQ Brasil e todo o seu conteúdo: todos os direitos reservados. © 2006-2016 C4Media Inc.
Política de privacidade
BT

We notice you’re using an ad blocker

We understand why you use ad blockers. However to keep InfoQ free we need your support. InfoQ will not provide your data to third parties without individual opt-in consent. We only work with advertisers relevant to our readers. Please consider whitelisting us.