Android 11 -kehittäjän esikatselu: Kaikki uudet tietosuoja- ja suojausominaisuudet

Google julkaisi ensimmäisen Android 11 -kehittäjän esikatselun Pixel 2:lle, 3:lle, 3a: lle ja 4:lle. Tässä ovat kaikki heidän ilmoittamansa uudet tietosuoja- ja suojausominaisuudet.

Aikataulua edellä, Google julkaisi tänään ensimmäisen Developer Preview'n Android-käyttöjärjestelmän seuraavasta versiosta: Android 11. Järjestelmäkuvat ovat saatavilla Pixel 2:lle, Pixel 3:lle, Pixel 3a: lle ja Pixel 4:lle, mutta jos et omista jotakin näistä laitteissa, voit myös kokeilla kehittäjän esikatselua Android Studio -emulaattorin tai yleisen järjestelmän kautta Kuva. Vaikka Google säästää suurimman osan jännittävistä uusista käyttäjä- ja kehittäjäominaisuuksista suurenmoista ilmoitusta varten Google I/O 2020:ssa, yritys on jakanut joukon muutoksia, jotka ovat saatavilla ensimmäisessä Developer Previewissa. Tässä on yhteenveto kaikista uusista tietosuojaan ja turvallisuuteen liittyvistä ominaisuuksista, jotka Google on ilmoittanut Android 11 Developer Preview 1:ssä.

Android 11 -kehittäjän esikatselu 1 – uudet tietosuojaominaisuudet

Kertaluonteinen käyttöoikeus

Android hallitsee, millaisia ​​tietoja sovellukset voivat käyttää sen lupajärjestelmän kautta. Ennen Android 6.0 Marshmallowia sovellukset pyysivät käyttöoikeuksia asennuksen yhteydessä, joten käyttäjien piti ennen asennusta päättää, sopiiko sovellukselle tietyt käyttöoikeudet. Android 6.0 Marshmallow esitteli ajonaikaiset käyttöoikeudet tietyille arkaluontoisille käyttöoikeuksille, mukaan lukien sijainnin, mikrofonin ja kameran käyttöoikeudet. Ajonaikaiset käyttöoikeudet voidaan myöntää vasta asennuksen jälkeen, ja niitä pyytävän sovelluksen on kehotettava käyttäjää sallimaan käyttö järjestelmän tarjoaman valintaikkunan kautta. Lopuksi Android 10:ssä Google esitteli ajonaikaisen luvan erityisen version, jonka avulla käyttäjä voi myöntää pääsyn vain sovelluksen ollessa aktiivisessa käytössä. Google esitteli kuitenkin sijaintiluvan vain "kun sovellus on käytössä" -vaihtoehdon.

Android 11:ssä Google antaa käyttäjille tarkemman hallinnan muihin arkaluontoisiin käyttöoikeuksiin, mukaan lukien kameran ja mikrofonin käyttöoikeudet. Yritys on ottanut käyttöön uuden "kertaluonteisen luvan" ominaisuuden Android 11 Developer Previewissa antaa käyttäjän tilapäisesti myöntää sovellukselle käyttöoikeuden niin kauan kuin sovellus on etualalla. Kun käyttäjä siirtyy pois sovelluksesta, sovellus menettää pääsyn kyseiseen lupaan ja sen on pyydettävä sitä uudelleen.

Soveltuvat tallennustilan muutokset

Sisään Android 10 beta 2, Google ehdotti radikaalia muutosta tapaan, jolla sovellukset käyttävät Androidin ulkoista tallennustilaa. (Ulkoinen tallennustila määritellään tässä dataksi, joka näkyy käyttäjälle ja muille /data/media-kansiossa oleville sovelluksille.) "Scoped Storage" -nimisen muutoksen tarkoituksena oli poistaa READ_EXTERNAL_STORAGE liian laaja käyttö. lupa. Liian monet Google Play Kaupan sovellukset pyysivät ja niille myönnettiin pääsyä koko ulkoiseen tallennustilaan, johon käyttäjät tallensivat yksityisiä asiakirjoja, valokuvia, videoita ja muita tiedostoja. Scoped Storagen avulla sovelluksille myönnetään oletusarvoisesti vain mahdollisuus nähdä yksityiset tietohakemistonsa. Jos sovelluksella on READ_EXTERNAL_STORAGE-käyttöoikeus Scoped Storage -valvontaan, se voi tarkastella tiettyjä MediaStore API: n kautta saatavilla olevia mediatiedostoja. Vaihtoehtoisesti sovellus voi käyttää Storage Access Frameworkia, jotta käyttäjä valitsee tiedostot manuaalisesti järjestelmän tiedostovalitsimen kautta. Lopuksi sovellukset, jotka tarvitsevat laajan pääsyn ulkoiseen tallennustilaan, kuten tiedostonhallintaohjelmat, voivat pyytää Storage Access Frameworkia käyttäjä voi myöntää sovellukselle pääsyn ulkoisen tallennustilan juurihakemistoon ja siten myöntää pääsyn kaikkiin sen alihakemistoihin, liian.

Scoped Storagen pakottaminen oli asetettu voimaan kaikissa Android 10:n sovelluksissa, mutta kehittäjien palautteen ja kritiikin jälkeen, Google rentouttaa muutoksia, edellyttävät niitä vain sovelluksille, jotka on kohdistettu API-tasolle 29 (Android 10). 1. elokuuta 2020 jälkeen kaikkien Google Play Kauppaan lähetettyjen uusien sovellusten on kohdistettava Android 10:een, ja sama pätee kaikkiin olemassa oleviin sovelluksiin 1. marraskuuta 2020 jälkeen. Lisäksi Android 11:ssä tiedostonhallintasovellusten kehittäjät on toimitettava ilmoituslomake Googlelle sallitaan laaja pääsy ulkoiseen tallennustilaan; Hyväksyttyään tiedostonhallintasovelluksilla on suodattamaton näkymä MediaStoresta, mutta niillä ei ole pääsyä ulkoisiin sovellushakemistoihin.

Lisäksi Google on tehnyt muita muutoksia Scoped Storageen Android 11 Developer Previewissa. Sovellukset voivat halutessaan hankkia raakatiedostopolun ja suorittaa joukkomuokkaustoimintoja MediaStoressa oleville mediatiedostoille. DocumentsUI on päivitetty yksinkertaisemmaksi käyttäjille. Näistä muutoksista tiedotettiin klo Android Dev Summit viime vuonna, ja meille luvataan lisäparannuksia Scoped Storageen tulevissa Android 11 -julkaisuissa.

Android 11 -kehittäjän esikatselu 1 – uudet suojausominaisuudet

Mobiiliajurin tuki

Google on työskennellyt viime vuoden alusta lähtien IdentityCredential API ja HAL AOSP: ssä. Tämä ominaisuus luo pohjan henkilötodistusten ja erityisesti ISO 18013-5 -yhteensopivien mobiiliajokorttien turvalliselle tallentamiselle mobiililaitteellesi. Google virallisesti ilmoitti tästä ominaisuudesta Google I/O 2019 -tapahtumassa, ja nyt se on vihdoin tuettu Android 11 Developer Preview 1:ssä.

Googlella ei ollut lehdistötiedotteessa paljon sanottavaa tästä ominaisuudesta, mutta koska ominaisuutta kehitetään avoimesti, tiedämme jo paljon siitä, mitä on suunniteltu. Google ilmoitti I/O 2019:ssä työskentelevänsä ISO: n kanssa sähköisten passien käyttöönoton standardoimiseksi. Meillä ei vielä ole aavistustakaan siitä, milloin ePassports tulee saataville, mutta Yhdysvalloissa on jo useita osavaltioita, joissa eDL: t on otettu käyttöön tai ovat kokeiluvaiheessa. Google sanoi myös pyrkivänsä tarjoamaan Jetpack-kirjaston, jotta kehittäjät voivat luoda identiteettisovelluksia. Emme kuitenkaan tiedä, kuinka pian kehittäjät voivat testata tätä ominaisuutta, koska asianmukainen tuki edellyttää suojattua laitteistoa laitteessa. The Qualcomm Snapdragon 865:n suojattu prosessoriyksikkö tukee IdentityCredential API: ta, vaikka se ei välttämättä tue API: n suorakäyttötilaa, koska SPU on integroitu SoC: hen; Direct Access -tilassa käyttäjä voi noutaa tallennetun sähköisen tunnuksen, vaikka virta ei riitä Androidin käynnistämiseen. Jos haluat lisätietoja tästä API: sta, suosittelen lukemalla alustavaa tiedotustamme jossa Shawn Willden, Android-laitteiston tukema tietoturvatiimi, antoi oman panoksensa.

Uudet projektin päämoduulit

Yksi suurimmista muutoksista Android 10:ssä äskettäin lanseeratuille laitteille oli käyttöönoton Projektin päälinja, jolla nimestään huolimatta ei ole mitään tekemistä Androidin Linux-ytimen tukemisen kanssa. (Se projekti on muuten nimeltään Generic Kernel Image ja se on vielä keskeneräinen.) Sen sijaan Project Mainlinen tarkoitus on Google ottaa tärkeimmät kehyskomponentit ja järjestelmäsovellukset pois OEM-valmistajilta. Jokainen Mainline-moduuli on kapseloitu joko APK: ksi tai an APEX tiedosto ja Google voi päivittää sen Play Kaupan kautta. Käyttäjä näkee päivitykset "Google Play -järjestelmäpäivityksenä" (GPSU) laitteellaan, ja päivitykset julkaistaan ​​säännöllisesti junassa (esim. ne ladataan ja asennetaan samanaikaisesti).

Project Mainlinen edut. Lähde: Google.

Google velvoittaa sisällyttämään tiettyjä Mainline-moduuleja, joihin Google I/O 2019 -tapahtuman aikaan sisältyi 13. Nyt Google määrää yhteensä 20 päämoduulia Android 11 Developer Preview 1:ssä.

Alkuperäiset päämoduulit (@ Google I/O 2019)

Nykyiset päämoduulit (Android 11 Developer Preview 1:lle)*

KULMA

Sisäänkirjautuminen portaaliin

Sisäänkirjautuminen portaaliin

Conscrypt

Conscrypt

DNS Resolver

DNS Resolver

Asiakirjojen käyttöliittymä

Asiakirjojen käyttöliittymä

ExtServices

ExtServices

Mediakoodekit

Mediakoodekit

Mediakehyksen komponentit

Mediakehyksen komponentit

Moduulin metatiedot

Moduulin metatiedot

Verkkopino

Verkkopino

Verkkopinon lupamääritykset

Verkkopinon lupamääritykset

Lupien valvoja

Lupien valvoja

Aikavyöhykkeen tiedot

Aikavyöhykkeen tiedot

Uusi käyttöoikeusmoduuli

Uusi mediatoimittajamoduuli

Uusi neuroverkkojen API (NNAPI) -moduuli

*Huomaa: julkaisuhetkellä Google ei ole toimittanut meille täydellistä luetteloa tällä hetkellä vaadituista Mainline-moduuleista. Päivitämme tämän taulukon, kun saamme täydellisen luettelon.

BiometricPrompt muutokset

Android 9 Pie esiteltiin BiometricPrompt API, yhtenäinen API biometriselle todennuslaitteistolle. API tarjoaa kehittäjille tavan haastaa käyttäjä tallennettujen biometristen tietojen avulla, olipa kyseessä sitten sormenjälki, kasvot tai iiris. Ennen BiometricPromptia kehittäjien oli luotava oma todennusikkunansa ja käytettävä FingerprintManager API: ta, joka tuki vain sormenjälkitunnistusta, haastaakseen käyttäjän. Irisskannereilla varustetuissa Galaxy-älypuhelimissa kehittäjien oli käytettävä Samsungin SDK: ta haastaakseen käyttäjän. BiometricPromptin avulla kehittäjät voivat haastaa käyttäjän millä tahansa tuetulla biometrisellä menetelmällä, ja järjestelmä tarjoaa käyttäjälle dialogin. Siten kehittäjien ei enää tarvitse huolehtia tukien tarjoamisesta tietylle biometriselle laitteistolle, eikä heidän tarvitse enää koodata käyttöliittymää todennusikkunaa varten. The Pixel 4:n suojattu kasvojentunnistuslaitteistoVoidaan käyttää esimerkiksi todentamiseen sovelluksissa, jotka käyttävät BiometricPromptia.

Kasvojen todennus BiometricPromptin avulla.

Mitä uutta BiometricPromptissa Android 11 Developer Preview 1:ssä? Google on lisännyt kolme uutta todennustyyppiä: vahva, heikko ja laitteen tunnistetiedot. Ennen Android 11:tä kehittäjät saattoivat kysyä vain laitteen suojatusta biometrisesta laitteistosta – sormenjälkitunnistimesta, 3D-kasvontunnistusskannerista tai iirisskannerista – käytettäessä BiometricPromptia. Android 11 Developer Preview 1:stä alkaen kehittäjät voivat tehdä kyselyjä myös "heikoiksi" pidetyistä biometrisista menetelmistä, kuten monista puhelimista löytyvistä ohjelmistopohjaisista kasvojentunnistusratkaisuista. Esimerkiksi Google aiemmin mustalla listalla useita Samsung Galaxy -puhelimia heikon kasvojentunnistuksen todentajan palauttamiseen yritettäessä kryptopohjaista todennusta. Kehittäjä voi nyt päättää, minkä tason biometrisen todennuksen tarkkuutta sovellus tarvitsee.

BLOB-tiedostojen turvallinen tallennus ja jakaminen

Uusi sovellusliittymä nimeltä BlobstoreManager tekee sovelluksista helpompaa ja turvallisempaa jakaa datablobeja keskenään. Google mainitsee koneoppimismalleja jakavat sovellukset ihanteellisena käyttötapana uudelle BlobstoreManager API: lle.

Alustan karkaisu

Pyrkiessään vähentämään Androidin hyökkäyspintaa Google käyttää LLVM desinfiointiaineet tunnistaa "muistin väärinkäyttövirheitä ja mahdollisesti vaarallista määrittelemätöntä käyttäytymistä". Google laajentaa nyt näiden käyttöä kääntäjäpohjaiset puhdistusaineet useille turvallisuuden kannalta kriittisille komponenteille, kuten BoundSan, IntSan, CFI ja Shadow-Call Stack. Muistiongelmien havaitsemiseksi tuotannossa Google ottaa käyttöön "keon osoittimen taggaus" kaikille sovelluksille, jotka on kohdistettu Android 11:een tai uudempaan. Keon osoittimen taggausta tuetaan 64-bittisissä ARMv8-laitteissa, joissa on ytimen tuki ARM Top-byte Ignore (TBI) -ominaisuuteen, jossa " laitteisto jättää huomioimatta osoittimen ylimmän tavun käyttäessään muistia." Google varoittaa kehittäjiä, että nämä kovettumisparannukset voivat "koskea enemmän toistettavia/toistettavia sovellusten kaatumisia", joten kehittäjien tulisi testata sovelluksensa perusteellisesti uudessa Android 11 -kehittäjässä Esikatselu. Löytääkseen ja korjatakseen monia järjestelmän muistivirheitä Google käytti muistivirheiden tunnistustyökalua nimeltä laitteisto-avusteinen AddressSanitizer (HWASan). Google tarjoaa HWASan-yhteensopivia valmiita järjestelmäkuvia AOSP-koontipalvelimella jos olet kiinnostunut löytämään ja korjaamaan muistivirheitä omissa sovelluksissasi.


Google julkaisee varmasti lisäominaisuuksia käyttäjien yksityisyyden suojaamiseksi ja turvallisuuden parantamiseksi, joten muista pitää silmällä Android 11 -kattavuutta pysyäksesi ajan tasalla.

Android 11 -uutiset XDA: ssa