r   e   k   l   a   m   a
r   e   k   l   a   m   a

Google zabezpiecza Androida, wersja 4.2.2 poprawia kwestię uprawnień i debugowania

Strona główna Aktualności

Finalna wersja Androida Jelly Bean, oznaczona numerkiem 4.2.2, pojawiła się już kilka dni temu – pierwsze aktualizację otrzymały tablety i smartfony z serii Nexus. Blogerzy, którzy pierwsi mieli okazję przyjrzeć się z bliska nowej wersji, twierdzili, że nie przynosi jakichś szczególnych zmian, a w tej opinii podtrzymywało ich Google, które wraz z wydaniem nie opublikowało żadnego podsumowania.

Android Police wskazywało przede wszystkim na ulepszenia w powiadomieniach pobierania aplikacji – wyświetlany jest teraz pasek postępu z procentową wartością, czasem rozpoczęcia pobierania i czasem pozostałym do jego zakończenia, czy działaniu przycisków w pasku powiadomień, których dotknięcie otworzyć ma zaawansowane ustawienia, a dłuższe przytrzymanie włącza i wyłącza daną funkcję.

Do tego wszystkiego dojść miały drobne poprawki w Galerii i nowe dźwięki powiadomień. To raczej drobiazgi, i o wydaniu nie warto by było wspominać, gdyby nie to, że zmieniono w nim znacznie więcej, szczególnie pod kątem bezpieczeństwa – z którym Android ma przecież sporo problemów.

Fred Chung z zespołu pracującego nad Androidem przedstawił listę poprawek, które do nowej wersji systemu trafiły. Przede wszystkim zmieniono zachowanie mechanizmu Content providers, zarządzającego dostępem do ustrukturyzowanych zbiorów danych i pozwalającego aplikacjom i komponentom systemowym na wymienia się danymi. Do tej pory możliwe było, wskutek domyślnie ustawionych opcji Content Provider, uzyskiwanie dostępu do danych aplikacji, które nie zabroniły tego otwarcie. Z wersją 4.2.2 (i dla wszystkich aplikacji Androida skompilowanych pod SDK w wersji 17), dany dostawca treści nie będzie już domyślnie dostępny dla innych aplikacji.

Chung podkreśla jednak, że wciąż dobrą praktyką jest, by deweloperzy explicite określali uprawnienia i korzystali z narzędzia Android Lint, który m.in. potrafi określić, którzy dostawcy treści w aplikacji nie są chronieni uprawnieniami.

Druga zmiana w bezpieczeństwie Androida to nowa implementacja generatora liczb pseudolosowych SecureRandom. Wcześniej korzystano w nim z bibliotek Bouncy Castle. Nowa implementacja SecureRandom korzysta z OpenSSL i powinna być bezpieczniejsza, choć nie można już będzie korzystać z niej jako źródła deterministycznych danych.

Zmieniono także sposób, w jaki aplikacje radzą sobie z JavaScriptem – aby mogły być dostępne hostowanym skryptom, będą musiały swoje metody publicznie ogłosić przez @JavaScriptInterface. Dzięki temu niezaufane treści w widoku WebView (wyświetlaniu stron WWW) nie będą mogły ustalić dostępnych metod w obiekcie i skorzystać z nich.

W Androidzie 4.2.2 pojawiła się też nowa metoda ochrony aplikacji i danych – bezpieczne debugowanie USB. Jeśli włączymy je na telefonie czy tablecie, to jedynie zaufane komputery będą mogły łączyć z mobilnym urządzeniem po Android Device Bridge. Przy pierwszym uruchomieniu i podłączeniu do komputera z ADB, wygenerowana zostaje para kluczy RSA, pozwalająca na zidentyfikowanie hosta i jego późniejszą autoryzację. Tylko uwierzytelnione hosty mogą wydawać polecenia dla urządzenia, dla wszystkich innych urządzenie będzie widoczne jako offline.

Z bezpieczeństwem Android ma problemy niemal od samego swojego początku, i nawet dziś zdarzają się takie wpadki, jak ta, pozwalająca twórcom płatnych aplikacji rozprowadzanych przez Google Play na poznanie danych osobowych nabywcy. Dominacja Androida na rynku urządzeń mobilnych sprawia też, że jest celem ataków równie atrakcyjnym jak Windows. Kompletna przebudowa architektury w grę nie wchodzi, ale metodą małych kroków, stosowaną najwyraźniej przez Google'a, będzie można uzyskać system znacznie bezpieczniejszy – choć oczywiście nie zwalniający użytkownika z wymogu ostrożności w kwestii instalowania aplikacji z zewnątrz.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.