Inhalt
Sicherheit und Datenschutz sind wichtiger denn je und Google weiß es. Bei der Google I / O-Entwicklerkonferenz in dieser Woche in Mountain View war das Unternehmen in Bezug auf beides ein wichtiger Punkt. Der erneute Fokus von Google auf Sicherheit und Datenschutz wird in Android Q hervorgehoben, in dem das Unternehmen eine Reihe von Schutzschichten integriert hat.
Zu den Grundlagen gehören eine allgemein verfügbare Verschlüsselung, neue Authentifizierungsmethoden und verstärkter Code.
Adiantum, nicht Adamantium
Wolverines Knochen sind mit einem fiktiven Supermetall gepfropft, den Marvel Adamantium nennt. In ähnlicher Weise schützt Google den Kern von Android auf Low-End-Telefonen mit einem echten Verschlüsselungsprofil namens adiantum.
Die Mehrheit der heutigen Mittelklasse- und High-End-Telefone muss AES-Verschlüsselung ausführen. AES erfordert eine Hardwarebeschleunigung, weshalb es nur auf gut spezifizierten Geräten ordnungsgemäß funktioniert. AES kann auf den meisten Handys im Preisbereich unter 100 US-Dollar nicht ausgeführt werden, ganz zu schweigen von Wear OS- oder Android-TV-Geräten. Für Google ist dies ein Problem. Geben Sie Adiantum ein.
Google verlangt eine Verschlüsselung für alle Geräte, die mit Android Q beginnen.
Adiantum basiert auf einem Open-Source-Linux-Kernel. Google hat mit den Android Go- und Android One-Teams zusammengearbeitet, um adiantum in Android Q einzuführen. Die Android Go- und Android One-Teams haben sich wiederum mit Siliziumanbietern wie Qualcomm und MediaTek abgestimmt, um dies zu verwirklichen. Adiantum ist eine softwarebasierte Alternative zu hardwarebeschleunigtem AES. Sogar die leistungsschwächsten Geräte können damit umgehen, was bedeutet, dass alles, von Wearables bis zu medizinischen Geräten, die Sicherheit genießen kann, die durch Verschlüsselung geboten wird.
Google verlangt eine Verschlüsselung für alle Geräte, die mit Q beginnen, und Adiantum gibt an, wie Low-End-Geräte sie bereitstellen. Auf Mid- und High-End-Geräten, auf denen AES ausgeführt werden kann, wird AES weiterhin ausgeführt.
Adiantum befindet sich derzeit im Alpha-Status, wird aber fertig sein, wenn Android Q später in diesem Jahr fertiggestellt wird.
Die andere Hälfte
Das Verschlüsseln von Geräten ist ein Teil der Geschichte, und das Verschlüsseln der Verbindung vom Gerät zum Netzwerk ist der zweite Teil.
Android Q übernimmt TLS 1.3, eine im letzten Jahr abgeschlossene Überarbeitung des IETF-Standards. TLS 1.3 verschlüsselt und sichert den Datenverkehr von Ihrem Telefon zu jedem internetbasierten Dienst, zu dem Sie eine Verbindung herstellen. Mit anderen Worten, der Kauf, den Sie beim Surfen im WLAN von Starbucks tätigen möchten, ist jetzt gewaltsam geschützt.
Laut Google ist TLS 1.3 sauberer und stabiler als TLS 1.2 und bietet den starken Handshake zwischen den für die Sicherheit erforderlichen Entitäten. Geschwindigkeit ist ein Nebeneffekt. TLS 1.3 kann die Verbindungszeiten um ca. 40% verkürzen. TLS 1.3 wird standardmäßig in Android Q aktiviert.
Biometrie gibt es zuhauf
Biometrie spielt eine wichtigere Rolle für die Sicherheit, wenn Sie mit Ihrem Android Q-basierten Gerät interagieren. Android Q aktualisiert die BiometricPrompt-API, um Entwicklern dabei zu helfen, zu Authentifizierungszwecken auf Biometrie zuzugreifen. In Zukunft können Entwickler explizite oder implizite Aktionen erzwingen.
Bei expliziten Aktionen müssen Benutzer eine direkte Aktion zur Authentifizierung ausführen, indem sie den Fingerabdrucksensor berühren oder ihr Gesicht scannen. Diese Art der Authentifizierung ist für Zahlungen oder Überweisungen erforderlich.
Bei impliziten Aktionen müssen Benutzer nicht so direkt vorgehen. Apps können das Gesicht des Benutzers beispielsweise beim Öffnen automatisch scannen, sodass der Benutzer direkt zu der betreffenden App springen kann. Google sieht implizite Aktionen zur Authentifizierung von App-Anmeldungen oder zum Ausfüllen von Formularen vor.
Benutzer müssen eine direkte Aktion zur Authentifizierung ausführen.
Entwickler können Benutzern erlauben, standardmäßig PIN-, Muster- oder Kennwortsicherungen für explizite oder implizite Aktionen durchzuführen, da ein Telefon aufgrund der Beleuchtung manchmal nicht immer ein Gesicht scannen kann. Es liegt an den einzelnen Apps, diese Art von Verhalten zu übernehmen.
Besserer Code
Google überträgt Entwicklern und Endbenutzern nicht alle Sicherheits- und Datenschutzbestimmungen. Es wurde daran gearbeitet, seinen eigenen Code in verschiedenen Teilen des Betriebssystems zu härten, um alle besser zu schützen. Google hat sich auf wichtige Schwachstellen wie Medien, Bluetooth und, ob Sie es glauben oder nicht, den Kernel konzentriert.
Dabei wurden ausgefallene Prozesse wie "Prozessisolierung", "Oberflächenreduzierung" und "architektonische Zersetzung" verwendet, um Schwachstellen zu finden und auszunutzen. Sobald die Löcher gefunden wurden, hat Google sie geflickt.
Ein Großteil dieser Arbeit konzentriert sich auf die Automatisierung von allem. Google möchte, dass Endbenutzer wissen, dass ihre Telefone und andere Geräte standardmäßig sicher sind. Dies ist ein bedeutender Schritt vorwärts. In Kombination mit den neuen Datenschutz- und Sicherheitstools, die Entwicklern zur Verfügung stehen, fügt Android Q der Plattform eine feine Schicht Panzerung (leider kein Vibranium) hinzu.
