BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース Android 4.2.2のセキュリティ強化

Android 4.2.2のセキュリティ強化

原文(投稿日:2013/02/18)へのリンク

 

Android 4.2 Jelly Beanがアプリケーションのセキュリティを強化する、追加の機能を含んで更新された。あなたのユーザーがインストール前にアプリケーションを検証できる機能があるので、有害なアプリケーションがモバイル機器に入るのを防ぐことができる。またアプリケーションが悪い場合には、インストールをブロックする機能もある。

もしアプリケーションがプレミアムサービスにSMSを送ろうとし、短いコードが追加料金が発生するかもしれない場合、Androidは通知し、アプリケーションにメッセージ送信を許すか、あるいはそれをブロックするかをあなたは選ぶことができる。

最新のリリースでは、VPN接続が確立するまで、ネットワークへのアクセスが出来ないように、VPNを設定できる。更に、 libcore SSLの実装が証明書の固定をサポートし、パーミッションがグループに分けられている。またそれは、ユーザーがそれをクリックするとパーミッションについての詳細情報を提供する。

Android 4.2.2では、APIレベル17をターゲットにしたアプリケーションは、デフォルトでは各 ContentProviderに対してエクスポートがfalseに設定され、結果的にアプリケーションのデフォルトの攻撃表面を小さくすることになる。
このアップデートみより、インストールされたデーモンがルートユーザーとしては走らないので、ルート権限昇格の潜在的攻撃表面を小さくする。

更に、initスクリプトが O_NOFOLLOWセマンティックスを適用して、シンボリックリンクに関連した攻撃を防ぐ。またそれは、 メモリー破壊を防ぐために、システムライブラリやアプリケーションによって使われるFORTIFY_SOURCEを実装している。

Android 4.2.2 は修正されて、OpenSSL を使って、SecureRandomCipher.RSA.のデフォルト実装を行なっている。このリリースでは、またOpenSSL 1.0.1 を使ってTLSv1.1 とTLSv1.2の SSLSocketサポートを追加し、アプリケーションのデフォルト攻撃表面を小さくしている。またWebKit, libpng, OpenSSL、LibXMLのオープンソースライブラリのセキュリティ修正も含んでいる。

「推奨されるアプローチは、最初の起動時に真にランダムなAESキーを生成して、それを内部ストレージに保存することです。」と Android Developer Relationsチームの Fred Chung氏が言っている。

Android 4.2.2はセキュアUSBデバッグを導入し、これが有効の時は、ユーザーによって認可されたホストコンピュータだけが、 Android SDKに付いていいるADB ツールを使ってUSB接続されたデバイスの内部にアクセスできる。

 

この記事に星をつける

おすすめ度
スタイル

BT