Android 11 개발자 프리뷰: 모든 새로운 개인 정보 보호 및 보안 기능

예정보다 앞서 구글 오늘 첫 번째 개발자 미리보기가 출시되었습니다. Android OS의 다음 버전: Android 11. Pixel 2, Pixel 3, Pixel 3a, Pixel 4에 대한 시스템 이미지를 사용할 수 있지만 이러한 이미지를 소유하고 있지 않은 경우 Android Studio 에뮬레이터나 일반 시스템을 통해 Developer Preview를 시험해 볼 수도 있습니다. 영상. Google은 대대적인 발표를 위해 흥미로운 새 사용자 및 개발자 기능의 대부분을 저장하고 있지만 Google I/O 2020에서, 회사는 첫 번째 Developer Preview에서 사용할 수 있는 수많은 변경 사항을 공유했습니다. 다음은 Google이 Android 11 Developer Preview 1에서 발표한 모든 새로운 개인 정보 보호 및 보안 관련 기능에 대한 요약입니다.

Android 11 개발자 프리뷰 1 - 새로운 개인정보 보호 기능

일회성 권한 액세스

Android는 권한 시스템을 통해 앱이 액세스할 수 있는 데이터 종류를 제어합니다. Android 6.0 Marshmallow 이전에는 앱 설치 시 권한 부여를 요청했기 때문에 사용자는 앱을 설치하기 전에 특정 권한이 있는 앱이 괜찮은지 여부를 결정해야 했습니다. Android 6.0 Marshmallow에는 위치 액세스, 마이크 액세스, 카메라 액세스를 포함하여 민감한 권한 집합에 대한 런타임 권한이 도입되었습니다. 런타임 권한은 설치 후에만 부여할 수 있으며 이를 요청하는 앱은 시스템 제공 대화 상자를 통해 사용자에게 액세스를 허용하라는 메시지를 표시해야 합니다. 마지막으로, Android 10에서 Google은 앱이 활성 상태인 동안에만 사용자가 액세스 권한을 부여할 수 있는 특수 버전의 런타임 권한을 도입했습니다. 그러나 Google은 위치 권한에 대해 '앱을 사용하는 동안' 옵션만 도입했습니다.

Android 11에서 Google은 사용자에게 카메라 및 마이크 액세스를 비롯한 기타 민감한 권한을 더욱 세밀하게 제어할 수 있는 기능을 제공합니다. 회사는 Android 11 개발자 프리뷰에 새로운 "일회성 권한" 기능을 도입했습니다. 해당 앱이 전경. 사용자가 앱에서 벗어나면 앱은 해당 권한에 대한 액세스 권한을 상실하고 다시 요청해야 합니다.

범위 지정 저장소 변경

~ 안에 안드로이드 10 베타 2, Google은 앱이 Android의 외부 저장소에 액세스하는 방식에 대한 근본적인 변화를 제안했습니다. (여기서 외부 저장소는 사용자 및 /data/media에 있는 다른 앱에 표시되는 데이터로 정의됩니다.) "범위 지정 저장소"라고 불리는 변경은 READ_EXTERNAL_STORAGE의 지나치게 광범위한 사용을 제거하는 것을 목표로 했습니다. 허가. Google Play 스토어에 있는 너무 많은 앱이 사용자가 개인 문서, 사진, 비디오 및 기타 파일을 저장하는 전체 외부 저장소에 대한 액세스를 요청하고 허용되었습니다. 범위 지정 저장소를 사용하면 앱에는 기본적으로 개인 데이터 디렉터리를 볼 수 있는 권한만 부여됩니다. 앱이 범위 지정 저장소 적용에 따라 READ_EXTERNAL_STORAGE 권한을 보유한 경우 MediaStore API를 통해 액세스할 수 있는 특정 미디어 파일을 볼 수 있습니다. 또는 앱에서 저장소 액세스 프레임워크를 사용하여 사용자가 시스템 파일 선택기를 통해 파일을 수동으로 선택하도록 할 수 있습니다. 마지막으로 파일 관리자와 같이 외부 저장소에 대한 광범위한 액세스가 필요한 앱은 저장소 액세스 프레임워크를 사용하여 요청을 수행할 수 있습니다. 사용자는 앱에 외부 저장소의 루트 디렉터리에 대한 액세스 권한을 부여하여 모든 하위 디렉터리에 대한 액세스 권한을 부여합니다. 도.

범위 지정 저장소 적용은 Android 10의 모든 앱에 적용되도록 설정되었지만 개발자들의 피드백과 비판을 받은 후, Google 변화를 완화했다, API 레벨 29(Android 10)를 대상으로 하는 앱에만 필요합니다. 2020년 8월 1일 이후 Google Play 스토어에 제출되는 모든 새 앱은 Android 10을 대상으로 해야 하며, 2020년 11월 1일 이후 기존 앱에 대한 모든 업데이트도 마찬가지입니다. 또한 Android 11에서는 파일 관리자 앱 개발자가 신고서를 제출해야 합니다 외부 저장소에 대한 광범위한 액세스를 허용하기 위해 Google에 일단 승인되면 파일 관리자 앱은 MediaStore에 대한 필터링되지 않은 보기를 가지게 되지만 외부 앱 디렉토리에는 액세스할 수 없습니다.

또한 Google은 Android 11 개발자 프리뷰에서 범위 지정 저장소에 대한 다른 변경 사항을 도입했습니다. 앱은 원시 파일 경로를 가져오고 MediaStore의 미디어 파일에 대한 일괄 편집 작업을 수행하도록 선택할 수 있습니다. DocumentsUI가 사용자를 위해 더 간단하게 업데이트되었습니다. 이러한 변경 사항은 다음에서 발표되었습니다. Android 개발자 서밋 작년에 우리는 향후 Android 11 릴리스에서 범위 지정 저장소에 대한 추가 개선을 약속했습니다.

Android 11 개발자 프리뷰 1 - 새로운 보안 기능

모바일 운전면허증 지원

구글은 지난해 초부터 AOSP의 IdentityCredential API 및 HAL. 이 기능은 모바일 장치, 특히 ISO 18013-5 호환 모바일 운전 면허증에 신분증을 안전하게 저장하기 위한 기반을 마련합니다. 구글이 공식적으로 Google I/O 2019에서 이 기능을 발표했습니다., 이제 Android 11 Developer Preview 1에서 마침내 지원됩니다.

Google은 보도 자료에서 이 기능에 대해 많이 언급하지 않았지만 이 기능은 공개적으로 개발되고 있기 때문에 우리는 이미 계획된 내용을 많이 알고 있습니다. I/O 2019에서 Google은 전자 여권 구현을 표준화하기 위해 ISO와 협력하고 있다고 밝혔습니다. ePassport가 언제 제공될지는 아직 알 수 없지만, 이미 eDL이 구현되었거나 시험 단계에 있는 미국의 여러 주가 있습니다. 구글은 또한 개발자들이 ID 앱을 만들 수 있도록 Jetpack 라이브러리를 제공하기 위해 노력하고 있다고 밝혔습니다. 그러나 적절한 지원을 위해서는 장치에 보안 하드웨어가 필요하기 때문에 개발자가 이 기능을 얼마나 빨리 테스트할 수 있을지는 알 수 없습니다. 그만큼 Qualcomm Snapdragon 865의 보안 처리 장치 IdentityCredential API를 지원하지만 SPU가 SoC에 통합되어 있으므로 API의 직접 액세스 모드를 지원하지 않을 수 있습니다. 직접 액세스 모드를 사용하면 Android를 부팅할 전력이 충분하지 않은 경우에도 사용자가 저장된 전자 ID를 불러올 수 있습니다. 이 API에 대한 자세한 내용을 보려면 다음을 권장합니다. 우리의 초기 보도를 읽고 Android 하드웨어 지원 보안 팀 리더인 Shawn Willden이 의견을 제공했습니다.

새로운 프로젝트 메인라인 모듈

새로 출시된 기기에 대한 Android 10의 가장 큰 변화 중 하나는 다음과 같습니다. 프로젝트 메인라인, 이름에도 불구하고 Android에서 메인라인 Linux 커널을 지원하는 것과는 아무런 관련이 없습니다. (그런데 해당 프로젝트는 일반 커널 이미지라고 불리며 아직 진행 중인 작업입니다.) 대신 프로젝트 메인라인의 목적은 다음과 같습니다. Google은 주요 프레임워크 구성요소와 시스템 애플리케이션에 대한 통제권을 OEM으로부터 빼앗으려고 합니다. 각 메인라인 모듈은 APK 또는 APK로 캡슐화됩니다. 또는 APEX 파일 Google은 Play 스토어를 통해 업데이트할 수 있습니다. 사용자는 기기에서 업데이트를 'Google Play 시스템 업데이트'(GPSU)로 확인하고 업데이트는 기차처럼 정기적으로 출시됩니다(예: 동시에 다운로드되고 설치됩니다.)

Google은 Google I/O 2019 당시 13개를 포함했던 특정 메인라인 모듈을 포함하도록 요구합니다. 이제 Google은 Android 11 Developer Preview 1에서 총 20개의 메인라인 모듈을 의무화합니다.

*참고: 게시 당시 Google은 현재 필요한 메인라인 모듈의 전체 목록을 제공하지 않았습니다. 전체 목록이 확보되면 이 표를 업데이트하겠습니다.

생체인식신속한 변경

안드로이드 9 파이 출시 생체 인식 인증 하드웨어를 위한 통합 API인 BiometricPrompt API. API는 개발자에게 지문, 얼굴, 홍채 등 저장된 생체 인식을 통해 사용자에게 질문을 제기할 수 있는 방법을 제공합니다. BiometricPrompt 이전에는 개발자가 자체 인증 대화 상자를 만들고 지문 인증만 지원하는 FingerprintManager API를 사용하여 사용자에게 요청해야 했습니다. 홍채 스캐너가 탑재된 갤럭시 스마트폰에서 개발자는 사용자에게 도전하기 위해 삼성의 SDK를 사용해야 했습니다. BiometricPrompt를 사용하면 개발자는 지원되는 생체 인식 방법을 사용자에게 요청할 수 있으며 시스템은 사용자에게 대화 상자를 제공합니다. 따라서 개발자는 더 이상 특정 종류의 생체 인식 하드웨어에 대한 지원을 구체적으로 제공하는 것에 대해 걱정할 필요가 없으며 더 이상 인증 대화 상자에 대한 UI를 코딩할 필요도 없습니다. 그만큼 Pixel 4의 안전한 얼굴 인식 하드웨어예를 들어 BiometricPrompt를 사용하는 앱에서 인증에 사용될 수 있습니다.

Android 11 Developer Preview 1의 BiometricPrompt의 새로운 기능은 무엇인가요? Google은 강력함, 약함, 기기 자격 증명이라는 3가지 새로운 인증자 유형을 추가했습니다. Android 11 이전에는 개발자가 BiometricPrompt를 사용할 때 지문 스캐너, 3D 얼굴 인식 스캐너, 홍채 스캐너 등 기기의 보안 생체 인식 하드웨어만 쿼리할 수 있었습니다. Android 11 Developer Preview 1부터 개발자는 많은 휴대폰에서 발견되는 소프트웨어 기반 얼굴 인식 솔루션과 같이 "약하다"고 간주되는 생체 인식 방법을 쿼리할 수도 있습니다. 예를 들어, 구글 이전에 여러 대의 Samsung Galaxy 휴대폰을 블랙리스트에 올렸습니다. 암호화 기반 인증을 시도할 때 약한 얼굴 인식 인증기를 반환합니다. 이제 앱에 필요한 생체 인식 인증 세분성 수준을 결정하는 것은 개발자의 몫입니다.

BLOB의 안전한 저장 및 공유

BlobstoreManager라는 새로운 API를 사용하면 앱이 서로 데이터 Blob을 더 쉽고 안전하게 공유할 수 있습니다. Google은 새로운 BlobstoreManager API의 이상적인 사용 사례로 기계 학습 모델을 공유하는 앱을 인용합니다.

플랫폼 강화

Android의 공격 표면을 줄이기 위한 노력의 일환으로 Google은 다음을 사용합니다. LLVM 소독제 "메모리 오용 버그 및 잠재적으로 위험한 정의되지 않은 동작"을 식별합니다. Google은 이제 이러한 기능의 사용을 확대하고 있습니다. BoundSan, IntSan, CFI 및 Shadow-Call Stack을 포함한 여러 보안에 중요한 구성 요소에 대한 컴파일러 기반 새니타이저입니다. 프로덕션에서 메모리 문제를 포착하기 위해 Google은 '힙 포인터 태깅' Android 11 이상을 타겟팅하는 모든 앱에 적용됩니다. 힙 포인터 태깅은 ARM TBI(Top-byte Ignore)에 대한 커널 지원을 통해 ARMv8 64비트 장치에서 지원됩니다. 하드웨어는 메모리에 액세스할 때 포인터의 최상위 바이트를 무시합니다." Google은 개발자에게 이러한 강화 개선 사항이 발생할 수 있다고 경고합니다. "반복 가능/재현 가능한 앱 충돌이 더 많이 발생합니다." 따라서 개발자는 새로운 Android 11 Developer에서 앱을 철저하게 테스트해야 합니다. 시사. 시스템에서 많은 메모리 오류를 찾아 수정하기 위해 Google은 다음과 같은 메모리 오류 감지 도구를 사용했습니다. 하드웨어 지원 AddressSanitizer (화산). Google은 HWASan 지원 사전 구축 시스템 이미지를 제공하고 있습니다. AOSP 빌드 서버에서 자신의 앱에서 메모리 오류를 찾고 수정하는 데 관심이 있는 경우를 대비해.

---

Google은 사용자 개인 정보를 보호하고 보안을 강화하기 위한 추가 기능을 발표할 예정이므로 Android 11 적용 범위를 계속해서 최신 상태로 유지하세요.

XDA의 Android 11 뉴스