当前位置:   article > 正文

一文看懂:Android-Q版本在安全方面进行了哪些系统性改进(2)

一文看懂:Android-Q版本在安全方面进行了哪些系统性改进(2)

虽然 5G 还没到来,Google 已经做好准备;在游戏、AR 方面会与 5G 的带来做好对接。

总的来说,Android系统已经比较完善,底层的升级和功能性的升级已经不多了。所以Android Q可感知的升级大多都是对于新硬件的支持,比如折叠屏和5G网络。

Android Q的升级,更多还是对以前Android系统的修补和新设备的支持更新,对于权限的管理也越来越向iOS靠近。

###Android Q 版本将带来更好的系统软件更新和 APP 隐私保护特性

谷歌表示Android Q将改进其版本更新的方式,利用无线网强制进行版本更新,除此之外,该版本还加强了个人应用隐私控制。

### 解决Android系统更新缓慢的顽疾

众所周知,目前主流也是占据手机系统市场份额最大的两大系统是苹果的IOS系统和谷歌的Android系统。作为系统,更新必不可少。但是相比IOS和Android,前者的更新速度要远远大于后者。原因主要有两方面:

1.谷歌对Android生态缺乏控制力有关,因为每个系统更新必须由厂商适配后分别推送,这大大延缓了新系统推送的速度,这样就会出现很多消费者还没有来的及更新就已经淘汰了设备。

2.系统更新速度缓慢,与用户的选择也是有关系的,因为最新的Android5.0/5.1耗电太快,用户更愿意使用功耗更小的旧系统。

系统更新慢,就自然而然会带来漏洞风险。过去由于新系统、新设备无法第一时间大范围更新,故短时间内,安卓系统的碎片化和老旧设备的比例依然会保持较高比例,安全状况并不会随着新系统的发布而及时缓解。

不过这些顽疾在Android Q(10.0)中都被彻底根治了,本次Android Q 中增加了 50 多项功能来保护用户的隐私和安全。这些变化中最大的就是更新速度,谷歌会直接绕过设备制造商,直接对用户的设备进行安全更新。谷歌表示,此次的更新模块中新增加十几个新组件,这些组件将通过Google Play商店直接接收最新的更新通知。

Android产品管理总监Stephanie Cuthbertson表示:

使用Android Q,我们将在后台更新重要的操作系统组件,类似于我们更新应用程序的方式。这意味着你可以尽快获得最新的安全修复程序,隐私增强功能和一致性改进,而无需重新启动手机。

这种更新的方式其实早在去年就已经做好了铺垫,在2018年谷歌I/O开发者大会上,谷歌推出了一款新的Android应用模型(Android App Bundle)。以实现Android应用程序模块化,变得更加小巧。Android应用程序包(Android App Bundle)是一种全新的发布格式,旨在减小应用程序的大小。在Android Studio中,你将构建应用程序包,它包含任何设备所需的所有应用程序,包括语言、设备屏幕大小和硬件架构等。输出的应用程序包中包含所有必需的元数据和APK。

当时Cuthbertson就是表示,应用程序减小的幅度可能会很大,并且动态交付可以在99%的Android设备(ICS和更高版本)上运行。

安全更新通常是Android设备的痛点,因为许多设备制造商都在使用该操作系统,所以不同的制造商都需要时间适应。这些更新通过无线方式提供,但也是每月更新一次。随着谷歌努力通过在其操作系统中创建新的更新模块来简化修补过程,这种情况即将发生变化,该模块能够在需要时直接修复系统。

Cuthbertson表示:

直接更新功能只针对于手机的特定模块,而不是直接更新整个手机。根据The Verge的独家报道,该计划是一个被称为“Project Mainline”的一部分。在此计划中,谷歌将创建14个不同的模块来进行更新,例如其DNS解析器和时区数据。

只要有可用更新,手机的这些特定模块将直接通过Google Play商店接收补丁

从上图可以看出者14个不同的模块涉及安全、隐私、一致性三个方面:

  • 安全方面:媒体编解码器、媒体框架组件、DNS解析器、Conscrypt;

  • 隐私方面:文档UI、权限控制器、ExtServices;

  • 一致性方面:时区数据、ANGLE(开发者可选是否加入)、模块元数据、网络组件、Captive Portal Login(连接WiFi等公用网络时的强制门户登陆)\网络权限配置;

### Project Mainline计划介绍

为了从根本上提升Android设备的安全性,谷歌终于在本周宣布了一项迄今为止最重要的更新,它就是Project Mainline。此前,谷歌必须向智能手机制造商或运营商提供安全更新(附带常规的软件更新)。但在某些情况下,这个流程需要耗费太多的时间(从谷歌 -> 制造商 -> 手机,甚至更加纷乱)。对于消费者来说,这显然是一件糟糕的事情。好消息是,Project Mainline可以极大地加速这一过程。

Project Mainline的目标就是尽可能快速、一致、轻松地为用户的手机提供安全更新。而在Project Mainline机制下,谷歌将能够直接向终端用户提供安全更新。

请注意,整个Android设备的完整Android安全更新,可不是这14个模块所能解决的问题。剩余的更新还是按着传统的方式,继续通过谷歌的每月Android安全更新推出。

###隐私控制

Android Q还将在其设置的顶部新增一个名为“隐私”的区域,这个选项卡可以让手机用户控制手机上的隐私功能,包括他们的活动数据、位置历史记录和广告设置。这意味着用户可以查看所有应用程序共享了多少数据,以及何时共享。

Cuthbertson在谷歌I/O上表示:

我们认为,所有创新都必须在安全和隐私的框架内进行。作为用户,他们应该始终掌控其自身所分享的内容以及与谁进行了分享。

例如,在程序定位权限方面,如果用户的应用程序在未开启的状态下搜索他们的位置,则装有Android Q的设备现在会提醒用户。另外,用户也将在如何与应用程序共享位置数据方面获得更多的控制权。

Android Q还加入了一个之前宣布的数据隐私功能,即能够在应用程序的使用过程中控制应用程序内的位置共享,而不是像原来那样,一旦共享设置完成,就一味地共享位置或拒绝共享位置。

Android的产品经理Jen Chai在今年3月介绍Android Q时,就对位置权限变更进行了一番介绍。

过去,用户在位置权限上只有两种选择,即允许或拒绝应用访问设备位置,而且一旦授予后,该权限并不会随应用状态的改变 (进入或退出使用状态) 而发生变化。Android Q 在此基础上新增了一个选项,允许用户选择只在应用使用期间,即当应用运行在前台时,与应用共享位置信息。这意味着 Android Q 用户可通过以下三种方式对位置权限进行管理:

  • 始终允许: 应用可在任何时段获取位置信息

  • 仅在使用期间允许: 应用只能在被使用时获取位置信息

  • 拒绝: 应用无法获取设备的位置信息

部分应用和功能仅在使用时才需要访问设备位置,比如说,假如用户试图搜索附近餐厅,那应用只需在用户打开应用并进行搜索时,获取设备的地理位置即可。

但是其它应用的场景则略有不同,即使在非使用时段,它们仍旧需要持续进行定位。例如: 一些应用可为用户自动记录行驶里程,帮助他们进行报税,而且全过程无需用户参与。

在新的位置管理模式下,用户可自行决定设备共享位置数据的时段,同时防止应用获取不必要的位置信息。当应用请求访问权限时,屏幕会弹出如图所示的对话框,向用户显示新的权限选项。用户可点击设置 → 位置信息 → 应用权限,随时更改应用的访问权限。

总的来说,随着 Android Q的发布,谷歌给予了用户更多位置控制,并将这些控制交予给用户。

去年,就有研究人员发现,谷歌会偷偷记录用户位置数据,即使用户明确拒绝,也无法阻止谷歌存储用户的位置数据。

随后,谷歌发表声明:

你可以随时关闭位置历史记录。如果没有位置历史记录,你去的地方就不再被储存了。

然而,事实并非如此。即使“位置历史”设置被暂停,许多谷歌应用程序也会自动存储有时间戳的位置数据,而无需询问用户。

###更多安全功能

除了以上详细介绍的这些功能外,Android Q还推出了其他几项安全功能,包括开始采用生物识别(面部识别)进行身份验证, 以及增加了对传输层安全性(TLS) 1.3的支持。

谷歌还宣布了与 FIDO 联盟达成的最新合作,为 Android 用户带来了无需密码、即可登录网站或应用的便捷选项。

这项服务基于 FIDO2 标准实现,任何运行 Android 7.0 及后续版本的设备,都可以在升级最新版 Google Play 服务后,通过指纹或 PIN 码来登录常用的应用或网站。好消息是,得益于谷歌与 FIDO 联盟达成的这项最新合作,我们有望迎来更加安全、便捷的登录选项,比如通过难以窃取或复制的生物识别数据。

值得一提的是,FIDO2 标准还规定了对身份验证数据进行本地处理,因此不会将任何私密信息传输到服务端。

Google Cloud产品经理Christiaan Brand表示:

Android手机的内置安全密钥,是2FA中最强大,最能抵抗钓鱼攻击的加密方法。FIDO利用公钥加密来验证用户的身份和登录页面的URL,这样即使用户向攻击者提供用户名和密码,他们也无法访问用户的帐户。

最后文末放上一个技术交流群:Android IOC架构设计

群内有许多技术大牛,有任何问题,欢迎广大网友一起来交流,群内还不定期免费分享高阶Android学习视频资料和面试资料包~

再推荐一篇文章,具体的架构视频,面试专题,学习笔记都在这篇文章中:“寒冬未过”,阿里P9架构分享Android必备技术点,让你offer拿到手软!

文末

很多人在刚接触这个行业的时候或者是在遇到瓶颈期的时候,总会遇到一些问题,比如学了一段时间感觉没有方向感,不知道该从那里入手去学习,对此我整理了一些资料,需要的可以免费分享给大家

这里笔者分享一份自己收录整理上述技术体系图相关的几十套腾讯、头条、阿里、美团等公司2021年的面试题,把技术点整理成了视频和PDF(实际上比预期多花了不少精力),包含知识脉络 + 诸多细节,由于篇幅有限,这里以图片的形式给大家展示一部分。

【视频教程】

天道酬勤,只要你想,大厂offer并不是遥不可及!希望本篇文章能为你带来帮助,如果有问题,请在评论区留言。
《Android学习笔记总结+移动架构视频+大厂面试真题+项目实战源码》点击传送门,即可获取!
并不是遥不可及!希望本篇文章能为你带来帮助,如果有问题,请在评论区留言。
《Android学习笔记总结+移动架构视频+大厂面试真题+项目实战源码》点击传送门,即可获取!

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/笔触狂放9/article/detail/611062
推荐阅读
相关标签
  

闽ICP备14008679号