Android 11 arendaja eelvaade: kõik uued privaatsus- ja turvafunktsioonid

Google andis välja esimese Android 11 arendaja eelvaate Pixel 2, 3, 3a ja 4 jaoks. Siin on kõik uued privaatsus- ja turvafunktsioonid, millest nad teatasid.

Ajakavast ees, Google avaldas täna esimese arendaja eelvaate Android OS-i järgmisest versioonist: Android 11. Süsteemipildid on saadaval telefonidele Pixel 2, Pixel 3, Pixel 3a, Pixel 4, kuid kui te ei oma ühtegi neist seadmetes, saate proovida ka arendaja eelvaadet Android Studio emulaatori või üldise süsteemi kaudu Pilt. Kuigi Google salvestab suurema osa uutest põnevatest kasutaja- ja arendajafunktsioonidest suurejooneliseks teadaandeks Google I/O 2020. aastal, on ettevõte jaganud hulgaliselt muudatusi, mis on saadaval esimeses arendaja eelvaates. Siin on kokkuvõte kõigist uutest privaatsusega ja turvalisusega seotud funktsioonidest, mille Google on Android 11 arendaja eelvaates 1 välja kuulutanud.

Android 11 arendaja eelvaade 1 – uued privaatsusfunktsioonid

Ühekordne loa juurdepääs

Android kontrollib, millistele andmetele pääsevad rakendused oma loasüsteemi kaudu juurde. Enne Android 6.0 Marshmallow't taotlesid rakendused installimisel lubade andmist, nii et kasutajad pidid enne installimist otsustama, kas neile sobib, kui rakendusel on teatud õigused. Android 6.0 Marshmallow tutvustas käitusaja õigusi teatud tundlike lubade komplekti jaoks, sealhulgas juurdepääs asukohale, juurdepääs mikrofonile ja juurdepääs kaamerale. Käitusaja õigusi saab anda alles pärast installimist ja neid taotlev rakendus peab kasutajalt juurdepääsu lubamiseks küsima süsteemi pakutava dialoogi kaudu. Lõpuks tutvustas Google Android 10-s käitusaja loa eriversiooni, mis võimaldab kasutajal anda juurdepääsu ainult siis, kui rakendus on aktiivses kasutuses. aga Google tutvustas asukohaloa jaoks ainult valikut "samal ajal kui rakendus on kasutusel".

Android 11-s annab Google kasutajatele täpsema kontrolli muude tundlike lubade, sealhulgas kaamera ja mikrofoni juurdepääsu üle. Ettevõte on Android 11 arendaja eelvaates kasutusele võtnud uue "ühekordse loa" funktsiooni võimaldab kasutajal anda rakendusele ajutiselt juurdepääsu loale seni, kuni see rakendus on rakenduses esiplaanil. Kui kasutaja rakendusest lahkub, kaotab rakendus juurdepääsu sellele loale ja peab seda uuesti taotlema.

Ulatuslikud salvestusruumi muudatused

sisse Android 10 beeta 2, pakkus Google välja radikaalse muudatuse viisis, kuidas rakendused Androidi välisele salvestusruumile juurde pääsevad. (Väline salvestusruum on siin defineeritud kui andmed, mis on nähtavad kasutajale ja teistele kaustas /data/media asuvatele rakendustele.) muudatuse, mis kannab nime "Scoped Storage", eesmärk oli kõrvaldada READ_EXTERNAL_STORAGE liiga laialdane kasutamine luba. Liiga paljud Google Play poes olevad rakendused taotlesid ja neile anti juurdepääsu kogu välisele salvestusruumile, kuhu kasutajad salvestasid oma privaatseid dokumente, fotosid, videoid ja muid faile. Ulatusliku salvestusruumi korral antakse rakendustele vaikimisi võimalus näha ainult oma privaatseid andmekatalooge. Kui rakendusel on lubatud salvestusruumi jõustamise luba READ_EXTERNAL_STORAGE, saab see vaadata teatud meediafaile, millele on juurdepääs MediaStore API kaudu. Teise võimalusena võib rakendus kasutada salvestusruumi juurdepääsu raamistikku, et kasutaja saaks süsteemi failivalija kaudu faile käsitsi valida. Lõpuks saavad rakendused, mis vajavad laialdast juurdepääsu välisele salvestusruumile, näiteks failihaldurid, kasutada taotlemiseks Storage Access Frameworki kasutaja annab rakendusele juurdepääsu välise salvestusruumi juurkataloogile, võimaldades seeläbi juurdepääsu kõigile selle alamkataloogidele, ka.

Ulatusliku salvestusruumi jõustamine kehtestati kõigi Android 10 rakenduste jaoks, kuid pärast arendajate tagasisidet ja kriitikat, Google leevendas muudatusi, mis nõuavad neid ainult rakenduste jaoks, mis sihivad API taset 29 (Android 10). Pärast 1. augustit 2020 peavad kõik Google Play poodi saadetud uued rakendused sihtima operatsioonisüsteemi Android 10 ja sama kehtib kõigi olemasolevate rakenduste värskenduste kohta pärast 1. novembrit 2020. Lisaks on Android 11 puhul failihaldurirakenduste arendajad peab esitama deklaratsiooni vormi Google'ile võimaldada laialdane juurdepääs välisele salvestusruumile; pärast vastuvõtmist on failihaldurirakendustel MediaStore'i filtreerimata vaade, kuid neil ei ole juurdepääsu välistele rakenduste kataloogidele.

Lisaks on Google teinud Android 11 arendaja eelvaates muid muudatusi Scoped Storage'is. Rakendused saavad lubada hankida toorfaili tee ja teha MediaStore'i meediumifailide pakettredigeerimistoiminguid. DocumentsUI on värskendatud, et muuta see kasutajatele lihtsamaks. Nendest muudatustest teatati Android Dev Summit eelmisel aastal ja meile lubatakse tulevastes Android 11 versioonides Scoped Storage'i täiendavaid täiustusi.

Android 11 arendaja eelvaade 1 – uued turvafunktsioonid

Mobiilse juhilitsentsi tugi

Eelmise aasta algusest on Google selle kallal töötanud IdentityCredential API ja HAL AOSP-s. See funktsioon loob aluse isikut tõendavate dokumentide ja eelkõige ISO 18013-5 nõuetele vastavate mobiilsete juhilubade turvaliseks hoidmiseks teie mobiilseadmes. Google ametlikult teatas sellest funktsioonist Google I/O 2019, ja nüüd on see lõpuks Android 11 arendaja eelvaade 1 toetatud.

Google'il polnud pressiteates selle funktsiooni kohta palju öelda, kuid kuna seda funktsiooni arendatakse avalikult, teame juba palju sellest, mis plaanis on. 2019. aasta I/O-l teatas Google, et nad teevad ISO-ga koostööd elektrooniliste passide rakendamise standardimiseks; meil pole veel õrna aimugi, millal ePassport saadaval on, kuid USA-s on juba mitu osariiki, kus eDL-e rakendatakse või proovifaasis. Google ütles ka, et nad töötavad selle nimel, et pakkuda Jetpacki raamatukogu, et arendajad saaksid luua identiteedirakendusi. Me ei tea, kui kiiresti saavad arendajad seda funktsiooni testida, kuna korralik tugi nõuab seadmel turvalist riistvara. The Turvaline töötlemisüksus Qualcomm Snapdragon 865-s toetab IdentityCredential API-d, kuigi see ei pruugi toetada API otsejuurdepääsu režiimi, kuna SPU on integreeritud SoC-sse; Otsese juurdepääsu režiim võimaldaks kasutajal salvestatud elektroonilist ID-d üles tõmmata isegi siis, kui Androidi käivitamiseks pole piisavalt energiat. Selle API kohta lisateabe saamiseks soovitan lugedes meie esialgset kajastust kus Androidi riistvaratoega turvameeskonna juht Shawn Willden andis oma panuse.

Uued projekti põhimoodulid

Üks suurimaid muudatusi Android 10-s äsja käivitatud seadmete jaoks oli kasutuselevõtt Projekti põhiliin, millel vaatamata oma nimele pole midagi pistmist põhiliini Linuxi tuuma toetamisega Androidis. (Selle projekti nimi on muide Generic Kernel Image ja see on veel pooleli.) Selle asemel on Project Mainline eesmärk Google võtab raamistiku põhikomponentide ja süsteemirakenduste kontrolli originaalseadmete valmistajatelt eemale. Iga põhiliini moodul on kapseldatud kas APK-na või an APEX-fail ja Google saab seda Play poe kaudu värskendada. Kasutaja näeb värskendusi oma seadmes Google Play süsteemivärskendusena (GPSU) ja värskendusi väljastatakse regulaarselt rongina (st. need laaditakse alla ja installitakse samal ajal).

Project Mainline'i eelised. Allikas: Google.

Google volitab kaasama konkreetsed Mainline moodulid, mis Google I/O 2019 ajal sisaldasid 13. Nüüd volitab Google Android 11 arendaja eelvaate 1-s kokku 20 põhimoodulit.

Esialgsed põhimoodulid (@ Google I/O 2019)

Praegused põhimoodulid (Android 11 arendaja eelvaate 1 jaoks)*

NURK

Sisselogimine suletud portaali

Sisselogimine suletud portaali

Conscrypt

Conscrypt

DNS-i lahendaja

DNS-i lahendaja

Dokumentide kasutajaliides

Dokumentide kasutajaliides

ExtServices

ExtServices

Meediumikoodekid

Meediumikoodekid

Meediumiraamistiku komponendid

Meediumiraamistiku komponendid

Mooduli metaandmed

Mooduli metaandmed

Võrgupinn

Võrgupinn

Võrgupinu loa konfiguratsioon

Võrgupinu loa konfiguratsioon

Lubade kontroller

Lubade kontroller

Ajavööndi andmed

Ajavööndi andmed

Uus lubade moodul

Uus meediapakkuja moodul

Uus närvivõrkude API (NNAPI) moodul

*Märkus: avaldamise ajal ei ole Google meile esitanud praegu vajalike põhimoodulite täielikku loendit. Värskendame seda tabelit, kui meil on täielik nimekiri.

BiometricPrompt muudatused

Tutvustatakse Android 9 Pie BiometricPrompt API, ühtne API biomeetrilise autentimise riistvara jaoks. API annab arendajatele võimaluse esitada kasutajale väljakutseid nende salvestatud biomeetria abil, olgu selleks siis sõrmejälg, nägu või iiris. Enne BiometricPrompti pidid arendajad looma oma autentimisdialoogi ja kasutama kasutajale väljakutse esitamiseks FingerprintManageri API-d, mis toetas ainult sõrmejälje autentimist. Iiriseskanneriga Galaxy nutitelefonides pidid arendajad kasutajale väljakutse esitamiseks kasutama Samsungi SDK-d. BiometricPrompti abil saavad arendajad kasutajale väljakutse esitada mis tahes toetatud biomeetrilise meetodi abil ja süsteem pakub kasutajale dialoogi. Seega ei pea arendajad enam muretsema konkreetset tüüpi biomeetrilise riistvara toetamise pärast ja nad ei pea enam kodeerima kasutajaliidest autentimisdialoogi jaoks. The Pixel 4 turvaline näotuvastusriistvaraNäiteks saab seda kasutada autentimiseks rakendustes, mis kasutavad BiometricPrompti.

Näo autentimine BiometricPrompti abil.

Mis on BiometricPrompti jaoks uut Android 11 arendaja eelvaate 1-s? Google on lisanud 3 uut autentimise tüüpi: tugev, nõrk ja seadme mandaat. Enne Android 11 said arendajad BiometricPrompti kasutades päringuid teha ainult seadme turvalise biomeetrilise riistvara – sõrmejäljeskanneri, 3D-näotuvastusskanneri või vikerkesta skanneri – kohta. Alates Android 11 arendaja eelvaatest 1 saavad arendajad teha päringuid ka "nõrkadeks" peetud biomeetriliste meetodite kohta, näiteks paljudes telefonides leiduvad tarkvarapõhised näotuvastuslahendused. Näiteks Google varem mustas nimekirjas mitu Samsung Galaxy telefoni nõrga näotuvastuse autentimise tagastamiseks krüptopõhise autentimise katsel. Nüüd on arendaja otsustada, millist biomeetrilise autentimise detailsust nende rakendus vajab.

BLOBide turvaline talletamine ja jagamine

Uus API nimega BlobstoreManager muudab rakenduste jaoks andmeplokkide üksteisega jagamise lihtsamaks ja turvalisemaks. Google nimetab uue BlobstoreManageri API ideaalseks kasutusjuhuks masinõppemudeleid jagavaid rakendusi.

Platvormi kõvenemine

Androidi rünnakupinna vähendamiseks kasutab Google LLVM desinfitseerimisvahendid tuvastada "mälu väärkasutuse vigu ja potentsiaalselt ohtlikku määratlemata käitumist". Google laiendab nüüd nende kasutamist kompilaatoripõhised desinfitseerimisvahendid mitmetele turvakriitilistele komponentidele, sealhulgas BoundSan, IntSan, CFI ja Shadow-Call Stack. Tootmises mäluprobleemide tuvastamiseks lubab Googlekuhja osuti sildistamine" kõigi rakenduste jaoks, mis sihivad operatsioonisüsteemi Android 11 või uuemat versiooni. Kuhjakursori sildistamine on toetatud ARMv8 64-bitistes seadmetes, millel on kerneli tugi ARM Top-byte Ignore (TBI) funktsioonile – funktsioonile, milles " riistvara ignoreerib mälule juurdepääsul kursori ülemist baiti." Google hoiatab arendajaid, et need kõvenemise täiustused võivad "pinnale korduvamad/reprodutseeritavamad rakenduste kokkujooksmised", nii et arendajad peaksid oma rakendusi uues Android 11 arendajas põhjalikult testima Eelvaade. Paljude süsteemi mäluvigade leidmiseks ja parandamiseks kasutas Google mäluvigade tuvastamise tööriista nimega riistvaraabiga AddressSanitizer (HWASan). Google pakub HWASani toega eelehitatud süsteemipilte AOSP ehitusserveris juhuks, kui olete huvitatud oma rakendustes mäluvigade leidmisest ja parandamisest.


Google kuulutab kindlasti välja lisafunktsioonid, mis kaitsevad kasutajate privaatsust ja parandavad turvalisust, seega jälgige kindlasti meie Android 11 katvust, et olla kursis.

Android 11 uudised XDA-s