Google vydal prvú ukážku vývojára pre Android 11 pre Pixel 2, 3, 3a a 4. Tu sú všetky nové funkcie ochrany osobných údajov a zabezpečenia, ktoré oznámili.
Pred plánom, Google dnes vydala prvú ukážku pre vývojárov ďalšej verzie operačného systému Android: Android 11. Systémové obrázky sú k dispozícii pre Pixel 2, Pixel 3, Pixel 3a, Pixel 4, ale ak nevlastníte ani jeden z týchto zariadení, môžete tiež vyskúšať Developer Preview cez emulátor Android Studio alebo Generic System Obrázok. Hoci Google ukladá väčšinu vzrušujúcich nových funkcií pre používateľov a vývojárov na veľkolepé oznámenie na Google I/O 2020, spoločnosť zdieľala množstvo zmien, ktoré sú dostupné v prvej ukážke pre vývojárov. Tu je súhrn všetkých nových funkcií súvisiacich s ochranou súkromia a zabezpečením, ktoré spoločnosť Google oznámila v Android 11 Developer Preview 1.
Android 11 Developer Preview 1 – Nové funkcie ochrany osobných údajov
Jednorazový prístup s povolením
Android kontroluje, ku ktorým typom dátových aplikácií môžu pristupovať prostredníctvom svojho systému povolení. Pred Androidom 6.0 Marshmallow aplikácie požadovali udelenie povolení pri inštalácii, takže používatelia sa museli pred inštaláciou rozhodnúť, či im vyhovuje, že aplikácia má určité povolenia. Android 6.0 Marshmallow zaviedol oprávnenia spustenia pre vybranú skupinu citlivých oprávnení vrátane prístupu k polohe, prístupu k mikrofónu a prístupu ku kamere. Povolenia runtime možno udeliť až po inštalácii a aplikácia, ktorá ich požaduje, musí používateľa vyzvať prostredníctvom dialógového okna poskytnutého systémom, aby povolila prístup. Nakoniec, v systéme Android 10 spoločnosť Google predstavila špeciálnu verziu povolenia na spustenie, ktoré umožňuje používateľovi udeliť prístup iba vtedy, keď sa aplikácia aktívne používa; Google však zaviedol iba možnosť „počas používania aplikácie“ pre povolenie polohy.
V systéme Android 11 poskytuje Google používateľom presnejšiu kontrolu nad ďalšími citlivými povoleniami vrátane prístupu ku kamere a mikrofónu. Spoločnosť zaviedla novú funkciu „jednorazového povolenia“ v ukážke vývojára systému Android 11 umožňuje používateľovi dočasne udeliť aplikácii prístup k povoleniu, pokiaľ je táto aplikácia v popredia. Keď používateľ opustí aplikáciu, aplikácia stratí prístup k tomuto povoleniu a musí oň znova požiadať.
Zmeny rozsahu úložiska
In Android 10 beta 2Google navrhol radikálnu zmenu spôsobu, akým aplikácie pristupujú k externému úložisku v systéme Android. (Externé úložisko je tu definované ako údaje viditeľné pre používateľa a iné aplikácie umiestnené v /data/media.) zmena s názvom „Scoped Storage“ bola zameraná na elimináciu príliš širokého používania READ_EXTERNAL_STORAGE povolenie. Príliš veľa aplikácií v obchode Google Play požadovalo a dostávalo prístup k celému externému úložisku, kde používatelia ukladali svoje súkromné dokumenty, fotografie, videá a ďalšie súbory. S Scoped Storage by aplikáciám v predvolenom nastavení bola udelená iba možnosť vidieť ich súkromné dátové adresáre. Ak má aplikácia oprávnenie READ_EXTERNAL_STORAGE v rámci presadzovania Scoped Storage, môže si prezerať určité mediálne súbory prístupné cez MediaStore API. Alternatívne môže aplikácia použiť Storage Access Framework, aby používateľ manuálne vybral súbory prostredníctvom výberu systémových súborov. Aplikácie, ktoré potrebujú široký prístup k externému úložisku, ako napríklad správcovia súborov, môžu na vyžiadanie použiť rámec Storage Access Framework používateľovi udeliť aplikácii prístup do koreňového adresára externého úložiska, čím sa udelí prístup ku všetkým jeho podadresárom, tiež.
Presadzovanie Scoped Storage malo platiť pre všetky aplikácie v systéme Android 10, ale po spätnej väzbe a kritike od vývojárov, Google zmiernil zmeny, vyžadujú sa len pre aplikácie zacielené na API úrovne 29 (Android 10). Po 1. auguste 2020 musia byť všetky nové aplikácie odoslané do Obchodu Google Play zacielené na Android 10 a to isté platí pre všetky aktualizácie existujúcich aplikácií po 1. novembri 2020. Okrem toho v systéme Android 11 vývojári aplikácií na správu súborov musí predložiť tlačivo vyhlásenia spoločnosti Google povoliť široký prístup k externému úložisku; po prijatí budú mať aplikácie správcu súborov nefiltrované zobrazenie MediaStore, ale nebudú mať prístup k externým adresárom aplikácií.
Okrem toho Google predstavil ďalšie zmeny Scoped Storage v Android 11 Developer Preview. Aplikácie sa môžu prihlásiť na získanie surovej cesty k súboru a vykonávanie dávkových úprav mediálnych súborov v MediaStore. Používateľské rozhranie DocumentsUI bolo aktualizované, aby bolo pre používateľov jednoduchšie. Tieto zmeny boli oznámené na Android Dev Summit minulý rok a v budúcich vydaniach systému Android 11 máme sľúbené ďalšie vylepšenia Scoped Storage.
Android 11 Developer Preview 1 – Nové funkcie zabezpečenia
Podpora mobilných vodičských licencií
Od začiatku minulého roka Google pracuje na IdentityCredential API a HAL v AOSP. Táto funkcia vytvára základy pre bezpečné ukladanie identifikačných dokumentov vo vašom mobilnom zariadení, a najmä mobilných vodičských preukazov v súlade s ISO 18013-5. Google oficiálne oznámil túto funkciu na Google I/O 2019a teraz je konečne podporovaná v Android 11 Developer Preview 1.
Google o tejto funkcii v tlačovej správe veľa povedať nemal, ale keďže sa táto funkcia vyvíja v otvorenom priestore, už vieme veľa z toho, čo sa plánuje. Na I/O 2019 Google uviedol, že spolupracuje s ISO na štandardizácii implementácie elektronických pasov; stále nemáme tušenie, kedy budú ePassporty dostupné, ale už teraz existuje niekoľko štátov USA, kde sú eDL implementované alebo sú v skúšobnej fáze. Google tiež uviedol, že pracuje na poskytnutí knižnice Jetpack, aby vývojári mohli vytvárať aplikácie identity. Nevieme však, ako skoro budú môcť vývojári otestovať túto funkciu, pretože správna podpora vyžaduje bezpečný hardvér v zariadení. The Secure Processing Unit na Qualcomm Snapdragon 865 podporuje IdentityCredential API, aj keď nemusí podporovať režim priameho prístupu API, pretože SPU je integrovaný do SoC; Režim priameho prístupu umožní používateľovi vytiahnuť uložené elektronické ID, aj keď nie je dostatok energie na spustenie systému Android. Pre viac informácií o tomto API odporúčam čítanie nášho úvodného spravodajstva kde Shawn Willden, vedúci bezpečnostného tímu podporovaného hardvérom pre Android, poskytol svoj príspevok.
Nové moduly hlavnej línie projektu
Jednou z najväčších zmien v systéme Android 10 pre novozavedené zariadenia bolo predstavenie Hlavná línia projektu, ktorý napriek svojmu názvu nemá nič spoločné s podporou hlavného linuxového jadra v systéme Android. (Mimochodom, tento projekt sa nazýva Generic Kernel Image a stále sa na ňom pracuje.) Namiesto toho je účelom Project Mainline Google odoberie kontrolu nad kľúčovými komponentmi a systémovými aplikáciami OEM výrobcom. Každý modul hlavnej línie je zapuzdrený ako súbor APK alebo an súbor APEX a spoločnosť Google ju môže aktualizovať prostredníctvom Obchodu Play. Používateľ vidí aktualizácie ako „Google Play System Update“ (GPSU) na svojom zariadení a aktualizácie sú vydávané pravidelnou kadenciou ako vlak (tj. sú stiahnuté a nainštalované súčasne).
Google nariaďuje zahrnutie špecifických modulov hlavnej línie, ktoré v čase konania Google I/O 2019 zahŕňali 13. Teraz spoločnosť Google nariaďuje celkovo 20 modulov hlavnej línie v Android 11 Developer Preview 1.
Úvodné hlavné moduly (@ Google I/O 2019) |
Aktuálne hlavné moduly (pre Android 11 Developer Preview 1)* |
|---|---|
UHOL |
Prihlásenie na portál na prihlásenie |
Prihlásenie na portál na prihlásenie |
Conscrypt |
Conscrypt |
DNS Resolver |
DNS Resolver |
Používateľské rozhranie dokumentov |
Používateľské rozhranie dokumentov |
ExtServices |
ExtServices |
Mediálne kodeky |
Mediálne kodeky |
Komponenty mediálneho rámca |
Komponenty mediálneho rámca |
Metadáta modulu |
Metadáta modulu |
Sieťový zásobník |
Sieťový zásobník |
Konfigurácia povolenia sieťového zásobníka |
Konfigurácia povolenia sieťového zásobníka |
Ovládač povolení |
Ovládač povolení |
Údaje o časovom pásme |
Údaje o časovom pásme |
Nový modul povolení |
Nový modul poskytovateľa médií | |
Nový modul API neurónových sietí (NNAPI). |
*Poznámka: V čase zverejnenia nám spoločnosť Google neposkytla úplný zoznam modulov hlavného radu, ktoré sú v súčasnosti potrebné. Keď budeme mať úplný zoznam, túto tabuľku aktualizujeme.
BiometricPrompt Changes
Predstavený Android 9 Pie API BiometricPrompt, jednotné API pre hardvér biometrickej autentifikácie. Rozhranie API poskytuje vývojárom spôsob, ako vyzvať používateľa prostredníctvom uložených biometrických údajov, či už ide o odtlačok prsta, tvár alebo dúhovku. Pred BiometricPrompt museli vývojári vytvoriť svoj vlastný autentifikačný dialóg a použiť FingerprintManager API, ktoré podporovalo iba autentifikáciu odtlačkom prsta, aby vyzvali používateľa. Na smartfónoch Galaxy so skenermi očnej dúhovky museli vývojári na výzvu používateľa použiť súpravu SDK od spoločnosti Samsung. Pomocou BiometricPrompt môžu vývojári vyzvať používateľa akoukoľvek podporovanou biometrickou metódou a systém používateľovi poskytne dialóg. Vývojári sa tak už nemusia obávať konkrétneho poskytovania podpory pre konkrétny druh biometrického hardvéru a tiež už nemusia kódovať používateľské rozhranie pre dialógové okno autentifikácie. The Bezpečný hardvér na rozpoznávanie tváre Pixel 4, možno použiť napríklad na overenie v aplikáciách, ktoré používajú BiometricPrompt.
Čo je nové pre BiometricPrompt v Android 11 Developer Preview 1? Google pridal 3 nové typy autentifikátorov: silný, slabý a poverenie zariadenia. Pred Androidom 11 mohli vývojári pri používaní BiometricPrompt vyhľadávať iba zabezpečený biometrický hardvér zariadenia – skener odtlačkov prstov, 3D skener na rozpoznávanie tváre alebo skener dúhovky. Počnúc verziou Android 11 Developer Preview 1 môžu vývojári vyhľadávať aj biometrické metódy považované za „slabé“, ako sú softvérové riešenia na rozpoznávanie tváre, ktoré sa nachádzajú na mnohých telefónoch. Napríklad Google v minulosti na čiernej listine viacerých telefónov Samsung Galaxy za vrátenie slabého autentifikátora na rozpoznávanie tváre pri pokuse o overenie založené na kryptomenách. Teraz je na vývojárovi, aby rozhodol, akú úroveň granularity biometrickej autentifikácie potrebuje ich aplikácia.
Bezpečné ukladanie a zdieľanie objektov BLOB
Nové rozhranie API s názvom BlobstoreManager uľahčí a zabezpečí, aby aplikácie navzájom zdieľali guličky údajov. Google uvádza aplikácie zdieľajúce modely strojového učenia ako ideálny prípad použitia nového rozhrania BlobstoreManager API.
Kalenie platformy
V snahe znížiť útočnú plochu Androidu používa Google dezinfekčné prostriedky LLVM na identifikáciu „chyby zneužitia pamäte a potenciálne nebezpečného nedefinovaného správania“. Google teraz rozširuje ich použitie dezinfekčné prostriedky založené na kompilátoroch na niekoľko kritických bezpečnostných komponentov vrátane BoundSan, IntSan, CFI a Shadow-Call Stack. Na zachytenie problémov s pamäťou v produkcii Google povoľuje „označovanie ukazovateľa haldypre všetky aplikácie zacielené na Android 11 alebo vyšší. Označovanie ukazovateľa haldy je podporované na 64-bitových zariadeniach ARMv8 s podporou jadra pre ARM Top-byte Ignore (TBI), funkciu, v ktorej hardvér pri prístupe k pamäti ignoruje horný bajt ukazovateľa.“ Google varuje vývojárov, že tieto vylepšenia môžu „objaviť viac opakovateľných/reprodukovateľných zlyhaní aplikácií“, takže vývojári by mali svoje aplikácie dôkladne otestovať na novom Android 11 Developer Náhľad. Na nájdenie a opravu mnohých chýb pamäte v systéme použil Google nástroj na detekciu chýb pamäte tzv hardvérovo podporovaný AddressSanitizer (HWASan). Google ponúka vopred zostavené systémové obrázky s povoleným HWASan na zostavovacom serveri AOSP v prípade, že máte záujem nájsť a opraviť chyby pamäte vo svojich vlastných aplikáciách.
Spoločnosť Google určite ohlási ďalšie funkcie na ochranu súkromia používateľov a zlepšenie zabezpečenia, takže nezabudnite sledovať naše pokrytie systému Android 11, aby ste mali vždy aktuálne informácie.
Novinky o Androide 11 na XDA