Content
La seguretat i la privacitat són més importants que mai, i Google ho sap. La companyia va impulsar el gran temps respecte a tots dos en la seva conferència de desenvolupadors d'E / S de Google aquesta setmana a Mountain View. El nou enfocament de Google en seguretat i privacitat es destaca a Android Q, on la companyia va incorporar diverses capes de protecció.
Els conceptes bàsics inclouen el xifrat més àmpliament disponible, els nous comportaments d'autenticació i el codi reforçat.
Adiantum, no adamantium
Els ossos de Wolverine estan empel·lats amb un super metall fictici que Marvel anomena adamantium. De la mateixa manera, Google està protegint el nucli d'Android en els telèfons de gamma baixa amb un perfil de xifrat del món real anomenat adiantum.
La majoria dels telèfons de gamma mitjana i alta d'avui tenen la possibilitat de tenir encriptació AES. L’AES requereix una acceleració del maquinari, per la qual cosa només funciona correctament en dispositius ben especificats. AES no pot funcionar a la majoria dels telèfons en el punt de preu inferior a 100 dòlars, sense oblidar-se de Wear OS o dispositius Android TV, i aquest és un problema pel que fa a Google. Introduïu adiantum.
Google requerirà el xifratge per a tots els dispositius que comencin amb Android Q.
Adiantum es basa en un nucli Linux de codi obert. Google ha treballat amb els equips Android Go i Android One per adoptar adiantum a Android Q. Els seus equips Android Go i Android One s’han coordinat, a la vegada, amb proveïdors de silici com Qualcomm i MediaTek perquè això sigui realitat. Adiantum és una alternativa basada en programari per a AES accelerat per maquinari. Fins i tot els dispositius menys potents poden manejar-ho, cosa que significa que des dels usables fins als dispositius mèdics es pot gaudir de la seguretat que s’ofereix mitjançant el xifrat.
Google requerirà el xifratge per a tots els dispositius que comencin amb Q, i adiantum és com es desplegaran els dispositius de gamma baixa. Els dispositius de gamma mitjana i alta que poden executar AES continuaran executant AES.
Adiantum està en estat alfa ara mateix, però estarà llest per a la finalització d'Android Q a finals d'aquest any.
L’altra meitat
Xifrar dispositius és una part de la història, xifrar l'enllaç del dispositiu a la xarxa és la segona part.
Android Q adopta TLS 1.3, una revisió de l'estàndard IETF que es va completar l'any passat. TLS 1.3 xifra i protegeix el trànsit des del telèfon a qualsevol servei basat en internet al qual us connecteu. Dit d'una altra manera, la compra que desitgeu fer mentre navegueu per la connexió Wi-Fi a Starbucks ara està protegida amb força.
Google diu que TLS 1.3 és més net i estable que TLS 1.2, i que proporciona una forta tensió de mà entre les entitats necessàries per a la seguretat. La velocitat és un avantatge secundari. TLS 1.3 pot reduir els temps de connexió en un 40%. El TLS 1.3 estarà habilitat per defecte a Android Q.
La biometria abunda
La biomètrica jugarà un paper més destacat en la seguretat en interaccionar amb el dispositiu basat en Android Q. Android Q actualitza l’API BiometricPrompt per ajudar els desenvolupadors a aprofitar la biometria amb finalitats d’autenticació. Avançant, els desenvolupadors podran aplicar accions explícites o implícites.
Amb accions explícites, els usuaris han de realitzar una acció directa per a l'autenticació tocant el sensor d'empremta digital o escanejant-ne la cara. Aquest tipus d’autenticació seria necessària per realitzar pagaments o transferències de diners.
Amb accions implícites, els usuaris no hauran de prendre un enfocament tan directe. Les aplicacions poden escanejar automàticament la cara de l’usuari oberta, per exemple, permetent a l’usuari saltar cap a l’aplicació en qüestió. Google preveu accions implícites d'autenticació de registres d'aplicacions o de comportaments d'emplenament de formularis.
Els usuaris han de realitzar una acció directa per a l'autenticació.
Els desenvolupadors podran permetre que els usuaris predeterminin les còpies de seguretat de PIN, patró o contrasenya per a accions explícites o implícites si ho desitgen, ja que de vegades no sempre és possible que un telèfon explori una cara a causa de la il·luminació. Correspondrà a les aplicacions individuals adoptar aquest tipus de comportament.
Codi netejador
Google no posa totes les garanties de seguretat i privadesa als desenvolupadors i usuaris finals. Va treballar per endurir el seu propi codi en diverses parts del sistema operatiu per protegir millor tothom. Google diu que es va centrar en les debilitats clau, com ara els suports, el Bluetooth i, el creïm o no, el nucli principal.
Va utilitzar processos fantàstics com “aïllament de procés”, “adjuntar reducció de superfície” i “descomposició arquitectònica” per trobar vulnerabilitats i explotar-les. Un cop trobats els forats, Google els va enganxar.
Bona part d’aquest treball es centra en l’automatització de tot. Google vol que els usuaris finals sàpiguen que els seus telèfons i altres dispositius són segurs de manera predeterminada. Aquest és un important pas endavant. Combinat amb les noves eines de privadesa i seguretat disponibles per als desenvolupadors, Android Q afegeix una fina capa de cuirassa (per desgràcia, no vibrani) a la plataforma.
