İçerik
Güvenlik ve gizlilik her zamankinden daha önemlidir ve Google bunu biliyor. Şirket, bu hafta Mountain View’daki Google I / O geliştirici konferansında her ikisine de büyük zaman verdi. Google’ın, güvenlik ve gizlilik konusundaki yenilenen odağı, şirketin bir dizi koruyucu katman içerdiği Android Q’da vurgulanmaktadır.
Temel bilgiler daha yaygın olarak kullanılan şifreleme, yeni kimlik doğrulama davranışları ve güçlendirilmiş kodu içerir.
Adiantum, adamantium değil
Wolverine’nin kemikleri Marvel’in adamantium dediği kurgusal bir süper metalle aşılanmıştır. Benzer şekilde, Google, Android'in çekirdeğini adiantum adı verilen gerçek dünya şifreleme profiliyle düşük teknolojili telefonlarda koruyor.
Günümüzün orta ve üst düzey telefonlarının çoğunluğunun AES şifrelemesi yapması zorunludur. AES donanım hızlandırması gerektirir, bu yüzden sadece iyi tanımlanmış cihazlarda düzgün çalışır. AES Wear OS veya Android TV cihazlarından bahsetmek yerine, 100 doların altındaki fiyat noktasındaki telefonların çoğunda AES çalıştırılamaz ve bu Google’a gelince bir sorun. Adiantum girin.
Google, Android Q ile başlayan tüm cihazlar için şifreleme gerektirecektir.
Adiantum, açık kaynaklı bir Linux çekirdeğine dayanıyor. Google, Android Q'da adiantumu benimsemek için Android Go ve Android One ekipleriyle çalıştı. Android Go ve Android One ekipleri, bunu gerçekleştirmek için Qualcomm ve MediaTek gibi silikon sağlayıcılarla koordine etti. Adiantum, donanım hızlandırmalı AES'ye yazılım tabanlı bir alternatiftir. En az güçlü cihazlar bile bunu yapabilir, yani giyilebilir cihazlardan tıbbi cihazlara kadar her şey şifreleme yoluyla sunulan güvenliğin keyfini çıkarabilir.
Google, Q ile başlayan tüm cihazlar için şifreleme gerektirecektir ve adiantum, düşük kaliteli cihazların onu nasıl dağıtacağıdır. AES çalıştırabilen orta ve üst seviye cihazlar AES'i çalıştırmaya devam edecektir.
Adiantum şu anda alfa statüsünde, ancak Android Q bu yılın sonlarında tamamlanana kadar hazır olacak.
Diğer yarısı
Cihazları şifreleme hikayenin bir parçası, bağlantıyı cihazdan ağa şifrelemek, ikinci kısım.
Android Q, geçen yıl tamamlanan IETF standardının bir revizyonu olan TLS 1.3'ü kabul etti. TLS 1.3, bağlandığınız İnternet tabanlı hizmetlerden telefonunuzdaki trafiği şifreler ve güvenlik altına alır. Başka bir deyişle, Starbucks'taki Wi-Fi'de gezinirken yapmak istediğiniz satın alımlar artık zorla korunuyor.
Google, TLS 1.3’ün TLS 1.2’den daha temiz ve daha kararlı olduğunu ve güvenlik için gereken varlıklar arasında güçlü bir el sıkışma sağladığını söylüyor. Hız bir yan faydadır. TLS 1.3, bağlantı sürelerini yaklaşık% 40 oranında azaltabilir. Android Q'da varsayılan olarak TLS 1.3 etkinleştirilecektir.
Biyometri boldur
Biyometri, Android Q tabanlı cihazınızla etkileşime girerken güvenlik konusunda daha belirgin bir rol oynayacaktır. Android Q, geliştiricilerin kimlik doğrulama amacıyla biyometriye girmelerine yardımcı olmak için BiometricPrompt API'sini günceller. İlerlemek için, geliştiriciler açık veya kapalı eylemler uygulayabilecekler.
Açık işlemlerde, kullanıcıların parmak izi sensörüne dokunarak veya yüzlerini tarayarak kimlik doğrulama için doğrudan bir eylem gerçekleştirmeleri gerekir. Bu tip bir doğrulama, ödeme yapmak veya para transferleri yapmak için gerekli olacaktır.
Örtük eylemlerle, kullanıcıların bu kadar doğrudan bir yaklaşım izlemesi gerekmez. Uygulamalar, kullanıcının açıkken yüzünü otomatik olarak tarayabilir; örneğin, kullanıcının söz konusu uygulamaya doğrudan atlamasını sağlar. Google, uygulama girişlerini veya form doldurma davranışlarını doğrulayan gizli eylemler öngörmektedir.
Kullanıcıların kimlik doğrulaması için doğrudan bir işlem yapması gerekir.
Geliştiriciler, ister istemezlerse açık veya kapalı eylemler için varsayılan olarak PIN, desen veya şifre yedekleme işlemlerini yapmalarına izin verebilir, çünkü bazen bir telefonun aydınlatma nedeniyle bir yüzü taraması her zaman mümkün olmaz. Bu tür davranışları benimsemek bireysel uygulamalara bağlı olacaktır.
Temizleyici kodu
Google, geliştiricilere ve son kullanıcılara tüm güvenlik ve gizlilik haklarını yerleştirmemektedir. Herkesi daha iyi korumak için işletim sisteminin çeşitli bölümlerinde kendi kodunu sertleştirmek için çalıştı. Google, medya, Bluetooth gibi temel zayıflıklara ve buna inanıp inanmadığına odaklandığını söylüyor.
Güvenlik açıklarını bulmak ve istismar etmek için “süreç yalıtımı”, “yüzey indirgeme ekle” ve “mimari ayrıştırma” gibi fantezi süreçleri kullandı. Delikler bulunduktan sonra Google onları yattı.
Bu çalışmanın çoğu, her şeyi otomatikleştirmeye odaklanıyor. Google, son kullanıcıların telefonlarının ve diğer cihazların varsayılan olarak güvenli olduğunu bilmelerini ister. Bu, ileriye yönelik önemli bir adımdır. Geliştiricilere sunulan yeni gizlilik ve güvenlik araçlarıyla bir araya gelen Android Q, platform üzerinde ince bir zırh katmanı (alas, vibranyum değil) ekler.
