Contenuto
Sicurezza e privacy sono più importanti che mai e Google lo sa. La società ha fatto un grande giro rispetto ad entrambi alla sua conferenza degli sviluppatori di I / O di Google questa settimana a Mountain View. La rinnovata attenzione di Google per la sicurezza e la privacy è evidenziata in Android Q, dove l'azienda ha incorporato una gamma di livelli protettivi.
Le basi includono la crittografia più ampiamente disponibile, nuovi comportamenti di autenticazione e codice rafforzato.
Adiantum, non adamantium
Le ossa di Wolverine sono innestate con un super metal immaginario che la Marvel chiama adamantio. Allo stesso modo, Google protegge il core di Android su telefoni di fascia bassa con un profilo di crittografia reale chiamato adiantum.
La maggior parte dei telefoni di fascia media e di fascia alta di oggi sono autorizzati a eseguire la crittografia AES. AES richiede un'accelerazione hardware, motivo per cui funziona correttamente solo su dispositivi ben specifici. AES non può funzionare sulla maggior parte dei telefoni con un prezzo inferiore a $ 100, per non parlare di Wear OS o dispositivi Android TV, e questo è un problema per quanto riguarda Google. Inserisci adiantum.
Google richiederà la crittografia per tutti i dispositivi che iniziano con Android Q.
Adiantum è basato su un kernel Linux open source. Google ha collaborato con i team Android Go e Android One per adottare l'adiantum in Android Q. I team Android Go e Android One si sono a loro volta coordinati con fornitori di silicio come Qualcomm e MediaTek per renderlo realtà. Adiantum è un'alternativa basata su software all'AES con accelerazione hardware. Anche i dispositivi meno potenti possono gestirlo, il che significa che tutto, dai dispositivi indossabili ai dispositivi medici, può godere della sicurezza offerta tramite la crittografia.
Google richiederà la crittografia per tutti i dispositivi che iniziano con Q e adiantum è il modo in cui i dispositivi di fascia bassa lo implementeranno. I dispositivi di fascia media e alta che possono eseguire AES continueranno a funzionare AES.
Adiantum è ora in stato alpha, ma sarà pronto entro la fine di Android Q entro la fine dell'anno.
L'altra metà
La crittografia dei dispositivi è una parte della storia, la crittografia del collegamento dal dispositivo alla rete è la seconda parte.
Android Q adotta TLS 1.3, una revisione dello standard IETF che è stata completata l'anno scorso. TLS 1.3 crittografa e protegge il traffico dal tuo telefono a qualsiasi servizio basato su Internet a cui ti stai connettendo. In altre parole, l'acquisto che desideri effettuare durante la navigazione del Wi-Fi su Starbucks è ora forzatamente protetto.
Google afferma che TLS 1.3 è più pulito e più stabile di TLS 1.2 e fornisce la stretta di mano forte tra le entità necessarie per la sicurezza. La velocità è un vantaggio collaterale. TLS 1.3 può ridurre i tempi di connessione di circa il 40%. TLS 1.3 sarà abilitato di default in Android Q.
La biometria abbonda
La biometria svolgerà un ruolo più importante nella sicurezza quando interagisci con il tuo dispositivo Android basato su Q. Android Q aggiorna l'API BiometricPrompt per aiutare gli sviluppatori a sfruttare la biometria a fini di autenticazione. Andando avanti, gli sviluppatori saranno in grado di applicare azioni esplicite o implicite.
Con azioni esplicite, gli utenti devono eseguire un'azione diretta per l'autenticazione toccando il sensore di impronte digitali o scansionando il viso. Questo tipo di autenticazione sarebbe richiesto per effettuare pagamenti o trasferimenti di denaro.
Con azioni implicite, gli utenti non dovranno adottare un approccio così diretto. Le app possono scansionare automaticamente la faccia dell'utente all'apertura, ad esempio, consentendo all'utente di passare direttamente all'app in questione. Google prevede azioni implicite per l'autenticazione degli accessi alle app o i comportamenti di riempimento dei moduli.
Gli utenti devono eseguire un'azione diretta per l'autenticazione.
Gli sviluppatori saranno in grado di consentire agli utenti di eseguire il backup predefinito di PIN, sequenza o backup di password per azioni esplicite o implicite, se lo desiderano, poiché a volte non è sempre possibile che un telefono esegua la scansione di un volto a causa dell'illuminazione. Spetterà alle singole app adottare questo tipo di comportamento.
Codice più pulito
Google non sta mettendo tutto l'onere della sicurezza e della privacy su sviluppatori e utenti finali. Ha lavorato per rafforzare il proprio codice in varie parti del sistema operativo per proteggere meglio tutti. Google afferma di essersi concentrato sulle principali debolezze, quali media, Bluetooth e, che ci crediate o no, il kernel principale.
Ha usato processi fantasiosi come "isolamento dei processi", "riduzione della superficie attaccata" e "decomposizione architetturale" per trovare le vulnerabilità e sfruttarle. Una volta trovati i buchi, Google li ha riparati.
Gran parte di questo lavoro si concentra sull'automazione di tutto. Google vuole che gli utenti finali sappiano che i loro telefoni e altri dispositivi sono protetti per impostazione predefinita. Questo è un significativo passo avanti. In combinazione con i nuovi strumenti di privacy e sicurezza disponibili per gli sviluppatori, Android Q aggiunge un sottile strato di armature (ahimè, non vibranium) sulla piattaforma.
