如今，Nougat 已經開始部署，我們想簡要回顧一下這些更新并重點介紹幾項新的改進。

直接啟動和加密

在之前的 Android 版本中，在啟動過程中，默認情況下，使用加密設備的用戶必須輸入自己的 PIN 碼/圖案/密碼對存儲區進行解密并完成啟動。在 Android 7.0 Nougat 中，我們更新了底層加密方案并精簡了啟動過程，從而加快手機的重啟。目前，手機的主要功能（例如電話應用和鬧鐘），在未鍵入 PIN 碼之前便已準備就緒，這樣，人們可以打電話給您，鬧鐘可以喚醒您。我們將這項功能稱之為直接啟動。

從底層技術來講，基于文件的加密實現了這項用戶體驗的改進。通過這種新的加密方案，系統存儲區以及每一個用戶配置文件存儲區都是單獨加密的。與將所有數據整體加密的全盤加密不同，采用基于配置文件的加密，系統只需使用設備密鑰即可正常重啟進入正常運行狀態。基本應用可以選擇重新啟動之后以受限狀態運行，當您輸入鎖屏憑據之后，這些應用可以訪問您的用戶數據，以提供完整的功能。

基于文件的加密方案對數據進行更精細的加密，從而更好地隔離和保護設備上的各個用戶和配置文件。每個配置文件使用唯一密鑰進行加密，只能通過 PIN 碼或密碼解鎖，因此，您的數據只能由您來解密。

整個 Android 生態系統對加密的支持也越來越給力。從 Marshmallow 開始，要求所有有條件的設備都支持加密。許多設備（如 Nexus 5X 和 6P）也使用只有通過受信任硬件（如 ARM TrustZone）才能訪問的唯一密鑰。如今，使用 7.0 Nougat，所有有條件的新 Android 設備也必須能夠為密鑰存儲提供這種硬件支持，從而提供強力保護，只有通過鎖屏憑據驗證后，才可以使用這些密鑰。這樣，您所有的數據都只能在本機解密，而且只能由您來解密。 

媒體棧和平臺加固

在 Android Nougat 中，我們已加固并重新設計了媒體服務器，媒體服務器是處理不信任輸入的主要系統服務之一。

首先，通過合并整型溢出處理（為 Clang 的 UndefinedBehaviorSanitizer 的一部分），我們封堵了一整類漏洞，大多數已報告的 libstagefright 錯誤均屬此列。一旦檢測到整型溢出，我們就關閉該進程，從而阻止攻擊。其次，我們對媒體棧進行了模塊化，將不同組件分別放入不同的沙盒中，同時限制每個沙盒只具有執行其功能所需的最低權限。通過這種遏制技術，攻擊者通過侵入媒體棧眾多區域中的某一處所獲得的訪問權限相比以前大大減少了，暴露的內核攻擊面也隨之顯著減少。
除了加固媒體服務器之外，我們還為平臺增加了大量保護功能，包括： 

• 驗證啟動：目前，嚴格執行驗證啟動以阻止遭到入侵的設備啟動；它支持糾錯功能，從而減少了非惡意數據的損壞，提升了可靠性。

• SELinux：更新了 SELinux 配置，擴大了 Seccomp 作用范圍，從而進一步鎖定應用沙盒，減少攻擊面。

• 庫加載順序隨機化和改進的 ASLR：增大隨機性降低了某些代碼重用攻擊的有效性。

• 內核加固：通過將內核內存部分標記為只讀、限制內核訪問用戶空間地址以及進一步減少現有攻擊面，為新內核提供額外的內存保護。

• APK 簽名方案 v2：引入全文簽名方案，可提高驗證速度和加強完整性保證。

應用安全性改進

Android Nougat 是供應用開發者使用的最安全、最簡單的 Android 版本。 

• 現在，希望與其他應用共享數據的應用必須通過內容提供程序（如FileProvider）來提供文件，從而顯式加入共享。對于 API 級別 24 以上的應用，應用私有目錄（通常為 /data/data/）的 Linux 權限現在設置為 0700。

• 為了使應用更容易控制對其安全網絡流量的訪問，對于 API 級別 24 以上的應用，由用戶安裝的證書頒發機構以及通過 Device Admin API 安裝的證書頒發機構在默認情況下不再受信任。此外，所有新的 Android 設備必須出廠時配置相同的受信任 CA 存儲。

• 借助網絡安全性配置，開發者可以通過聲明式配置文件更輕松地配置網絡安全策略。其中包括阻止明文通信、配置一組受信任的 CA 和證書，以及設置一個獨立的調試配置。

我們還會繼續完善應用權限和功能，以防止您遭受潛在的有害應用的危害。 

• 為了加強設備的隱私保護，我們已經進一步限制和取消對永久性設備標識符（如 MAC 地址）的訪問。

• 權限對話框上不會再重疊顯示用戶界面。有些應用使用這種“點擊劫持”技術，試圖非法獲取權限。

• 我們已經降低了設備管理應用的權限，如果您已設置鎖屏保護，該應用將無法再改變您的鎖屏設置；如有禁用請求，將不再通過 onDisableRequested() 通知設備管理應用。以上是某些劫持軟件用來控制設備的手段。

系統更新

最后，我們大幅增強了 OTA 更新系統，讓您的設備始終擁有最新的系統軟件和安全補丁，從而更輕松地保持最新狀態。我們加快了 OTA 安裝速度，縮小了 OTA 安全更新文件的大小。您不必再等待應用優化步驟，這是更新過程中最慢的步驟之一，因為新的 JIT 編譯器已經進行了優化，使安裝和更新快如閃電。 

對于已更新固件、運行 Nougat 的新 Android 設備，更新體驗甚至更快。就像 Chromebook 一樣，更新將在后臺執行，設備仍繼續正常運行。這些更新應用于不同的系統分區，當您重新啟動時，它會無縫切換到運行新系統軟件版本的新分區。 

我們正在不斷努力加強 Android 的安全性，Android Nougat 在安全性方面實現了全方位的顯著改善。我們一如既往地感謝您對我們工作的反饋，歡迎就改進 Android 提供寶貴建議。請通過security@android.com 聯系我們。 

本文轉自

>>查看更多關于安卓應用、移動開發熱門資訊！<<