Google anunció la integración de más características de seguridad en Android Q, diseñadas para fortalecer aún más la seguridad de áreas críticas como el kernel, así como para hacer que el cifrado de almacenamiento sea estándar y la API biométrica actualizada.
Las nuevas actualizaciones de Android Q se anunciaron durante el discurso de apertura de la conferencia de desarrolladores de Google I / O y se mostraron en el Blog de desarrolladores de Android de Google.
Endureciendo la seguridad de Android Q
Android viene con una serie de estrategias de defensa diseñadas para bloquear la explotación de errores que podrían permitir eludir los sistemas de seguridad incorporados.
Entre estas estrategias de protección de seguridad, se aplican el aislamiento del proceso, la reducción de la superficie de ataque, la descomposición arquitectónica y las mitigaciones de explotación para hacer que sea mucho más difícil aprovechar las vulnerabilidades de Android.
Estos enfoques de defensa de seguridad ahora se utilizan en Android Q para proteger "áreas críticas como los medios, Bluetooth y el kernel".
Algunas de las nuevas mejoras agregadas a la plataforma en Android Q se explican con más detalle en esta publicación del blog de seguridad de Google y se resaltan a continuación:
- Un sandbox restringido para codecs de software.
- Mayor uso de la producción de desinfectantes para mitigar clases enteras de vulnerabilidades en componentes que procesan contenido no confiable.
- Shadow Call Stack, que proporciona integridad de flujo de control (CFI) hacia atrás y complementa la protección de vanguardia que proporciona el CFI de LLVM.
- Protección de la asignación al azar de la distribución del espacio de direcciones (ASLR) contra las fugas utilizando la memoria solo de ejecución (XOM).
- Introducción del asignador endurecido de Scudo que hace que una serie de vulnerabilidades relacionadas con el montón sean más difíciles de explotar.
Cifrado predeterminado del dispositivo
El soporte para cifrado de almacenamiento se ha ampliado a todos los dispositivos compatibles con Android Q, incluso para aquellos que no vienen con "hardware de aceleración criptográfica" con la ayuda de Adiantum.
El método de cifrado de almacenamiento Adiantium se introdujo en febrero y permite dispositivos Android con poca potencia que vienen con CPU de gama baja como el Cortex-A7 de ARM, un procesador que no cuenta con soporte de hardware incorporado para AES, para cifrar también el almacenamiento sin una éxito de rendimiento.
"Todos los dispositivos Android compatibles que se lanzan con Android Q deben cifrar los datos del usuario, sin excepciones. Esto incluye teléfonos, tabletas, televisores y dispositivos automotrices", dice Google.
TLS 1.3 también se agregó como una opción predeterminada en Android Q, lo que lleva a la eliminación automática de algoritmos criptográficos más débiles, junto con varias correcciones de seguridad para las debilidades de TLS 1.2.
El protocolo TLS 1.3 fue aprobado por el Grupo de Trabajo de Ingeniería de Internet (IETF) el 21 de marzo de 2018, después de no menos de cuatro años de discusiones y 28 borradores de protocolo.
Como se detalla en TLS 1.3 Internet Draft de IETF , "TLS permite que las aplicaciones cliente / servidor se comuniquen a través de Internet de una manera que está diseñada para evitar la interceptación, manipulación y falsificación de mensajes".
Además, como lo explicó el Equipo de Seguridad y Privacidad de Android, "TLS 1.3 a menudo puede completar el intercambio en menos viajes de ida y vuelta, lo que hace que el tiempo de conexión sea hasta un 40% más rápido para esas sesiones".
TLS 1.3 viene con las siguientes diferencias en comparación con el protocolo TLS 1.2 que desaprueba:
- Elimina los algoritmos de cifrado y hash más antiguos (como MD5 y SHA-224) y agrega alternativas más difíciles de descifrar (como ChaCha20, Poly1305, Ed25519, x25519 y x448).
- Es mucho más rápido en la negociación del protocolo inicial entre el cliente y el servidor, reduciendo la latencia de la conexión y eliminando la excusa de no ser compatible con HTTPS debido a las menores velocidades de navegación.
- Admite funciones como el Tiempo de ida y vuelta cero (0-RTT) y TLS False Start, diseñado para reducir el tiempo necesario para establecer apretones de manos de cifrado con hosts con los que el cliente ha hablado anteriormente.
- Viene con una protección de ataque degradada que evita que un atacante engañe a un servidor para que use versiones anteriores del protocolo, susceptibles a vulnerabilidades conocidas.
Empuje para la autenticación biométrica
Google actualizó la API BiometricPrompt como parte del lanzamiento de Android Q, una API utilizada por las aplicaciones de Android para permitir a los usuarios autenticarse utilizando su rostro, sus huellas dactilares o su iris.
Desde el lanzamiento, hemos visto que muchas aplicaciones adoptan la nueva API, y ahora con Android Q, hemos actualizado el marco subyacente con un sólido soporte para rostro y huella digital. Además, expandimos la API para admitir casos de uso adicionales, incluida la autenticación implícita y explícita.
BiometricPrompt ahora también permite a los desarrolladores crear aplicaciones que pueden verificar si el soporte de autenticación biométrica está disponible en el dispositivo antes de invocar la API, lo que simplifica la visualización del "Habilitar el inicio de sesión biométrico" en la interfaz de usuario de la aplicación si el dispositivo Android viene Con un sensor de autenticación compatible.
Como el Equipo de Seguridad y Privacidad de Android también mencionó al final de su actualización de seguridad de Android Q, Googel también planea "agregar soporte de identificación electrónica para aplicaciones móviles, para que su teléfono pueda ser usado como una identificación, como una licencia de conducir. "
Por el momento, la función está en proceso porque aún requiere la "estandarización de la ISO", y el esfuerzo está "liderado por el equipo de seguridad y privacidad de Android".
"Las aplicaciones como estas tienen muchos requisitos de seguridad e implican la integración entre la aplicación cliente en el teléfono móvil del titular, un dispositivo lector / verificador y sistemas de backend de autoridad emisora utilizados para la emisión, actualización y revocación de licencias", también dice Android. Equipo de Seguridad y Privacidad.
Fecha actualización el 2021-05-10. Fecha publicación el 2019-05-10. Categoría: android Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer Version movil