一文看懂:Android Q版本在安全方面进行了哪些系统性改进

luochicun 新闻 2019年5月11日发布
Favorite收藏

导语:5月8日凌晨,2019年谷歌I/O开发者大会召开。谷歌下一代Android系统Android Q正式亮相,版本号是10.0。

dcc451da81cb39db181b88835cc4cf20a9183067.jpeg

5月8日凌晨,2019年谷歌I/O开发者大会召开。谷歌下一代Android系统Android Q正式亮相,版本号是10.0。其实早在3月14日,谷歌就放出了Android Q的首个测试版。

那么,此次Android Q究竟都有那些功能上的更新?小编为大家提炼了如下11点:

1.暗黑模式

Android Q 的暗黑模式和 Android Pie 的暗黑模式不同,在 Android Q 中,暗黑模式适用于任何地方,如果应用不支持暗黑模式,那么系统将自动设置一个暗黑模式。

2.桌面模式

Android Q 将支持桌面模式,类似三星 Dex 和华为的投影模式。它提供类似一个类似于 PC 的体验。

3.隐私增强

Android Q 还将更多地使用 Android Pie 中推出的隐私功能。 在 Android Q中,用户可以选择应用程序在后台运行时是否可以访问该位置。此外,当应用程序使用您的位置数据、麦克风或摄像头时,用户在通知栏中看到相应的图标,它会告诉用户哪个应用程序正在使用该权限。Android Q 中还有一个新的专用隐私页面。它显示了用户的联系人、短信和其他敏感信息的应用程序的确切数量。如今对于 Google 来说,安全和隐私显得非常重要,Google 表示在 Android Q 中增加了 50 多项功能来保护用户的隐私和安全。

4.超级锁定模式

Android Q 泄漏的信息中包括一个“传感器关闭”切换按钮,该按钮将设备置于飞机模式,并禁用手机上的所有传感器。

5.屏幕录制

Android Q 支持屏幕录制,可以通过长时间按下“电源”菜单中的“屏幕快照”来开启。

6.移除 Android Beam

用于在设备之间共享文件的 Android Beam 选项消失了。

7.运营商锁定

如果用户从运营商那里购买锁定的 Android Q 设备,将阻止用户使用其他特定运营商的SIM卡。

8.面部识别

Android 10 将具有内部面部识别功能,谷歌官方支持面部解锁系统。

9.不允许从后台读取剪贴板信息

Android Q 包含了名为“READ_CLIPBOARD_IN_BACKGROUND”的新权限。 新的权限将阻止随机的后台应用程序访问剪贴板内容。

10.降级应用程序更新

Android Q 将有将应用程序回滚到以前的版本的功能。

11.新字体、图标形状和提示颜色

Android Q 中展示了新的两种新字体,图标形状,如正方形、松鼠、TearDrop,新的提示颜色:黑色、绿色和蓝色 。

12.支持 5G

虽然 5G 还没到来,Google 已经做好准备;在游戏、AR 方面会与 5G 的带来做好对接。

总的来说,Android系统已经比较完善,底层的升级和功能性的升级已经不多了。所以Android Q可感知的升级大多都是对于新硬件的支持,比如折叠屏和5G网络。

Android Q的升级,更多还是对以前Android系统的修补和新设备的支持更新,对于权限的管理也越来越向iOS靠近。

Android Q 版本将带来更好的系统软件更新和 APP 隐私保护特性

谷歌表示Android Q将改进其版本更新的方式,利用无线网强制进行版本更新,除此之外,该版本还加强了个人应用隐私控制。

解决Android系统更新缓慢的顽疾

众所周知,目前主流也是占据手机系统市场份额最大的两大系统是苹果的IOS系统和谷歌的Android系统。作为系统,更新必不可少。但是相比IOS和Android,前者的更新速度要远远大于后者。原因主要有两方面:

1.谷歌对Android生态缺乏控制力有关,因为每个系统更新必须由厂商适配后分别推送,这大大延缓了新系统推送的速度,这样就会出现很多消费者还没有来的及更新就已经淘汰了设备。

2.系统更新速度缓慢,与用户的选择也是有关系的,因为最新的Android5.0/5.1耗电太快,用户更愿意使用功耗更小的旧系统。

系统更新慢,就自然而然会带来漏洞风险。过去由于新系统、新设备无法第一时间大范围更新,故短时间内,安卓系统的碎片化和老旧设备的比例依然会保持较高比例,安全状况并不会随着新系统的发布而及时缓解。

不过这些顽疾在Android Q(10.0)中都被彻底根治了,本次Android Q 中增加了 50 多项功能来保护用户的隐私和安全。这些变化中最大的就是更新速度,谷歌会直接绕过设备制造商,直接对用户的设备进行安全更新。谷歌表示,此次的更新模块中新增加十几个新组件,这些组件将通过Google Play商店直接接收最新的更新通知。

Android产品管理总监Stephanie Cuthbertson表示:

使用Android Q,我们将在后台更新重要的操作系统组件,类似于我们更新应用程序的方式。这意味着你可以尽快获得最新的安全修复程序,隐私增强功能和一致性改进,而无需重新启动手机。

这种更新的方式其实早在去年就已经做好了铺垫,在2018年谷歌I/O开发者大会上,谷歌推出了一款新的Android应用模型(Android App Bundle)。以实现Android应用程序模块化,变得更加小巧。Android应用程序包(Android App Bundle)是一种全新的发布格式,旨在减小应用程序的大小。在Android Studio中,你将构建应用程序包,它包含任何设备所需的所有应用程序,包括语言、设备屏幕大小和硬件架构等。输出的应用程序包中包含所有必需的元数据和APK。

当时Cuthbertson就是表示,应用程序减小的幅度可能会很大,并且动态交付可以在99%的Android设备(ICS和更高版本)上运行。

安全更新通常是Android设备的痛点,因为许多设备制造商都在使用该操作系统,所以不同的制造商都需要时间适应。这些更新通过无线方式提供,但也是每月更新一次。随着谷歌努力通过在其操作系统中创建新的更新模块来简化修补过程,这种情况即将发生变化,该模块能够在需要时直接修复系统。

Cuthbertson表示:

直接更新功能只针对于手机的特定模块,而不是直接更新整个手机。根据The Verge的独家报道,该计划是一个被称为“Project Mainline”的一部分。在此计划中,谷歌将创建14个不同的模块来进行更新,例如其DNS解析器和时区数据。

android-Q-286x300.png

只要有可用更新,手机的这些特定模块将直接通过Google Play商店接收补丁

从上图可以看出者14个不同的模块涉及安全、隐私、一致性三个方面:

· 安全方面:媒体编解码器、媒体框架组件、DNS解析器、Conscrypt;

· 隐私方面:文档UI、权限控制器、ExtServices;

· 一致性方面:时区数据、ANGLE(开发者可选是否加入)、模块元数据、网络组件、Captive Portal Login(连接WiFi等公用网络时的强制门户登陆)\网络权限配置;

Project Mainline计划介绍

为了从根本上提升Android设备的安全性,谷歌终于在本周宣布了一项迄今为止最重要的更新,它就是Project Mainline。此前,谷歌必须向智能手机制造商或运营商提供安全更新(附带常规的软件更新)。但在某些情况下,这个流程需要耗费太多的时间(从谷歌 -> 制造商 -> 手机,甚至更加纷乱)。对于消费者来说,这显然是一件糟糕的事情。好消息是,Project Mainline可以极大地加速这一过程。

Project Mainline的目标就是尽可能快速、一致、轻松地为用户的手机提供安全更新。而在Project Mainline机制下,谷歌将能够直接向终端用户提供安全更新。

请注意,整个Android设备的完整Android安全更新,可不是这14个模块所能解决的问题。剩余的更新还是按着传统的方式,继续通过谷歌的每月Android安全更新推出

隐私控制

Android Q还将在其设置的顶部新增一个名为“隐私”的区域,这个选项卡可以让手机用户控制手机上的隐私功能,包括他们的活动数据、位置历史记录和广告设置。这意味着用户可以查看所有应用程序共享了多少数据,以及何时共享。

Cuthbertson在谷歌I/O上表示:

 我们认为,所有创新都必须在安全和隐私的框架内进行。作为用户,他们应该始终掌控其自身所分享的内容以及与谁进行了分享。

例如,在程序定位权限方面,如果用户的应用程序在未开启的状态下搜索他们的位置,则装有Android Q的设备现在会提醒用户。另外,用户也将在如何与应用程序共享位置数据方面获得更多的控制权。

Android Q还加入了一个之前宣布的数据隐私功能,即能够在应用程序的使用过程中控制应用程序内的位置共享,而不是像原来那样,一旦共享设置完成,就一味地共享位置或拒绝共享位置。

Android的产品经理Jen Chai在今年3月介绍Android Q时,就对位置权限变更进行了一番介绍。

过去,用户在位置权限上只有两种选择,即允许或拒绝应用访问设备位置,而且一旦授予后,该权限并不会随应用状态的改变 (进入或退出使用状态) 而发生变化。Android Q 在此基础上新增了一个选项,允许用户选择只在应用使用期间,即当应用运行在前台时,与应用共享位置信息。这意味着 Android Q 用户可通过以下三种方式对位置权限进行管理:

· 始终允许: 应用可在任何时段获取位置信息

· 仅在使用期间允许: 应用只能在被使用时获取位置信息

· 拒绝: 应用无法获取设备的位置信息

部分应用和功能仅在使用时才需要访问设备位置,比如说,假如用户试图搜索附近餐厅,那应用只需在用户打开应用并进行搜索时,获取设备的地理位置即可。

但是其它应用的场景则略有不同,即使在非使用时段,它们仍旧需要持续进行定位。例如: 一些应用可为用户自动记录行驶里程,帮助他们进行报税,而且全过程无需用户参与。

在新的位置管理模式下,用户可自行决定设备共享位置数据的时段,同时防止应用获取不必要的位置信息。当应用请求访问权限时,屏幕会弹出如图所示的对话框,向用户显示新的权限选项。用户可点击设置 → 位置信息 → 应用权限,随时更改应用的访问权限。

总的来说,随着 Android Q的发布,谷歌给予了用户更多位置控制,并将这些控制交予给用户。

去年,就有研究人员发现,谷歌会偷偷记录用户位置数据,即使用户明确拒绝,也无法阻止谷歌存储用户的位置数据。

随后,谷歌发表声明:

你可以随时关闭位置历史记录。如果没有位置历史记录,你去的地方就不再被储存了。

然而,事实并非如此。即使“位置历史”设置被暂停,许多谷歌应用程序也会自动存储有时间戳的位置数据,而无需询问用户。

更多安全功能

除了以上详细介绍的这些功能外,Android Q还推出了其他几项安全功能,包括开始采用生物识别(面部识别)进行身份验证, 以及增加了对传输层安全性(TLS) 1.3的支持。

谷歌还宣布了与 FIDO 联盟达成的最新合作,为 Android 用户带来了无需密码、即可登录网站或应用的便捷选项。

这项服务基于 FIDO2 标准实现,任何运行 Android 7.0 及后续版本的设备,都可以在升级最新版 Google Play 服务后,通过指纹或 PIN 码来登录常用的应用或网站。好消息是,得益于谷歌与 FIDO 联盟达成的这项最新合作,我们有望迎来更加安全、便捷的登录选项,比如通过难以窃取或复制的生物识别数据。

值得一提的是,FIDO2 标准还规定了对身份验证数据进行本地处理,因此不会将任何私密信息传输到服务端。

Google Cloud产品经理Christiaan Brand表示:

我们认为基于FIDO标准的安全密钥,包括Titan Security Key和Android手机的内置安全密钥,是2FA中最强大,最能抵抗钓鱼攻击的加密方法。FIDO利用公钥加密来验证用户的身份和登录页面的URL,这样即使用户向攻击者提供用户名和密码,他们也无法访问用户的帐户。

译者注:为更好地抵御凭证盗窃,谷歌开发了Titan Security Key (泰坦安全密钥)——一款引入了谷歌开发的固件以验证其完整性的FIDO安全密钥。

本文翻译自:https://threatpost.com/google-touts-android-qs-new-security-update-process-and-better-privacy-controls-for-apps/144474/如若转载,请注明原文地址: https://www.4hou.com/info/news/17966.html
点赞 5
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论