Google zabezpiecza Androida, wersja 4.2.2 poprawia kwestię uprawnień i debugowania

Finalna wersja Androida Jelly Bean, oznaczona numerkiem 4.2.2,pojawiła się już kilka dni temu – pierwsze aktualizacjęotrzymały tablety i smartfony z serii Nexus. Blogerzy, którzypierwsi mieli okazję przyjrzeć się z bliska nowej wersji,twierdzili, że nie przynosi jakichś szczególnych zmian, a w tejopinii podtrzymywało ich Google, które wraz z wydaniem nieopublikowało żadnego podsumowania. Android Police wskazywało przede wszystkim na ulepszenia w powiadomieniach pobierania aplikacji– wyświetlany jest teraz pasek postępu z procentową wartością,czasem rozpoczęcia pobierania i czasem pozostałym do jegozakończenia, czy działaniu przycisków w pasku powiadomień,których dotknięcie otworzyć ma zaawansowane ustawienia, a dłuższeprzytrzymanie włącza i wyłącza daną funkcję.Do tego wszystkiego dojść miały drobne poprawki w Galerii inowe dźwięki powiadomień. To raczej drobiazgi, i o wydaniu niewarto by było wspominać, gdyby nie to, że zmieniono w nim znaczniewięcej, szczególnie pod kątem bezpieczeństwa – z którymAndroid ma przecież sporo problemów.Fred Chung z zespołu pracującego nad Androidem przedstawiłlistępoprawek, które do nowej wersji systemu trafiły. Przedewszystkim zmieniono zachowanie mechanizmu Contentproviders, zarządzającego dostępem do ustrukturyzowanychzbiorów danych i pozwalającego aplikacjom i komponentom systemowymna wymienia się danymi. Do tej pory możliwe było, wskutekdomyślnie ustawionych opcji Content Provider, uzyskiwanie dostępudo danych aplikacji, które nie zabroniły tego otwarcie. Z wersją4.2.2 (i dla wszystkich aplikacji Androida skompilowanych pod SDK wwersji 17), dany dostawca treści nie będzie już domyślniedostępny dla innych aplikacji. [img=androidjellybean]Chung podkreśla jednak, że wciąż dobrą praktyką jest, bydeweloperzy explicite określali uprawnienia i korzystali znarzędzia AndroidLint, który m.in. potrafi określić, którzy dostawcy treści waplikacji nie są chronieni uprawnieniami.Druga zmiana w bezpieczeństwie Androida to nowa implementacjageneratora liczb pseudolosowych SecureRandom.Wcześniej korzystano w nim z bibliotek BouncyCastle. Nowa implementacja SecureRandom korzysta z OpenSSL ipowinna być bezpieczniejsza, choć nie można już będziekorzystać z niej jako źródła deterministycznych danych. Zmieniono także sposób, w jaki aplikacje radzą sobie zJavaScriptem – aby mogły być dostępne hostowanym skryptom, będąmusiały swoje metody publicznie ogłosić przez@JavaScriptInterface. Dzięki temu niezaufane treści w widokuWebView (wyświetlaniu stron WWW) nie będą mogły ustalićdostępnych metod w obiekcie i skorzystać z nich. W Androidzie 4.2.2 pojawiła się też nowa metodaochrony aplikacji i danych – bezpieczne debugowanie USB. Jeśliwłączymy je na telefonie czy tablecie, to jedynie zaufane komputerybędą mogły łączyć z mobilnym urządzeniem po Android DeviceBridge. Przy pierwszym uruchomieniu i podłączeniu do komputera zADB, wygenerowana zostaje para kluczy RSA, pozwalająca nazidentyfikowanie hosta i jego późniejszą autoryzację. Tylkouwierzytelnione hosty mogą wydawać polecenia dla urządzenia,dla wszystkich innych urządzenie będzie widoczne jako offline.Z bezpieczeństwem Android maproblemy niemal od samego swojego początku, i nawet dziś zdarzająsię takie wpadki, jak ta, pozwalająca twórcom płatnychaplikacji rozprowadzanych przez Google Play na poznanie danychosobowych nabywcy. Dominacja Androida na rynku urządzeń mobilnychsprawia też, że jest celem ataków równie atrakcyjnym jak Windows.Kompletna przebudowa architektury w grę nie wchodzi, ale metodąmałych kroków, stosowaną najwyraźniej przez Google'a, będziemożna uzyskać system znacznie bezpieczniejszy – choć oczywiścienie zwalniający użytkownika z wymogu ostrożności w kwestiiinstalowania aplikacji z zewnątrz.