Google udostępniło Androida 16, który trafia właśnie do pierwszych telefonów Pixel 6 i nowszych (Pixel 7, 8 i 9). Początkowo nowy system operacyjny będzie także dostępny dla Samsungów, OnePlus oraz Motoroli. Oczywiście nie wszystkie modele choćby nowych telefonów otrzymają Androida 16 od tak, dlatego przy zakupie flagowca należy kierować się także wsparciem techniczny, by nie okazało się, iż po 2 latach system będzie otrzymywał już tylko łatki bezpieczeństwa (w dodatku i tak nie zawsze na czas).
Android 16 – nowości i zmiany dla bezpieczeństwa
1. Tryb zaawansowanej ochrony (Advanced Protection Mode)
W pierwszej kolejności najważniejszą, nową funkcją, jest Zaawansowana Ochrona (ang. nazwa to Advanced Protection Mode), która po aktywowaniu zmienia w telefonie szereg ustawień. Nie można ich później odwrócić bez dezaktywacji tego trybu. Wsparciem nowego trybu jest nowe API dla deweloperów o nazwie „AdvancedProtectionManager” umożliwiające twórcom aplikacji dostosowanie działania swojego systemu w zależności od aktywacji tego trybu.
Ów tryb zaawansowanej ochrony jest określany mianem np. boostera, czy trybu paranoicznego i jest on odpowiednikiem podobnego trybu z Apple. Mianowicie:
- Blokuje możliwość korzystani z sieci 2G, co jest bezpośrednio powiązane z podatnościami w protokole GSM. Przestępcy z większą łatwością mogą podszywać się pod stację bazową sieci, której szyfrowanie nie jest już najświeższe (lata 90.) – algorytmy A5/1, A5/2 są już słabe, a w roamingu lub po wymuszeniu przez fałszywą stację szyfrowanie w ogóle nie jest realizowane (możliwe podsłuchiwanie rozmów, SMS-ów, danych). Odejście od sieci 2G jest także rekomendowane przez Electronic Frontier Foundation oraz amerykańskie CISA, które przy współpracy z Google wskazują, iż sieć 2G jest potencjalnym wektorem ataków.
- Zablokowane jest instalowanie aplikacji spoza oficjalnego sklepu, jakim jest Google Play. Autorzy malware często stosują różne tricki, aby przekonać użytkownika do zainstalowania pobranej aplikacji. W tym trybie biedzie to niemożliwe.
- W domyślnej przeglądarce Chrome włączona zostanie flaga HTTPS-only
Zapobiegnie to używaniu protokołu nieszyfrowanego przez strony www, które przez cały czas nie są poprawnie skonfigurowane.
2. Memory Tagging Extension dla ochrony przed exploitami
Android 16 dodaje wsparcie dla Memory Tagging Extension (MTE) chroniące przed błędami pamięci używanymi w atakach z eskalacją uprawnień lub zdalnym wykonaniem kodu (RCE). Dzięki temu expoity będą lepiej dezaktywowane sprzętowo, zanim zostaną uruchomione w systemie operacyjnym.
3. Lepsza ochrona przed kradzieżą danych pomiędzy aplikacjami
Android 16 automatycznie chroni aplikacje przed atakami typu Intent Redirection – polegającymi na nieautoryzowanym przekierowaniu żądań z aplikacji 1 do aplikacji 2. Nowy mechanizm działa domyślnie na poziomie systemu i nie wymaga od deweloperów ręcznych zabezpieczeń. W praktyce zwiększa to bezpieczeństwo aplikacji choćby tych, które nie wspierają nowych wytycznych, dzięki czemu nie powinno dochodzić do ujawniania danych pomiędzy oprogramowaniem, kradzieży tych danych, zbyt szerokich uprawnień dla aplikacji w ramach np. udostępniania zdjęć innym aplikacjom.
Co jeszcze pod kątem prywatności i bezpieczeństwa w Android 16?
W nowym Androidzie znajdziemy także ukrywanie wrażliwych informacji, takich jak kody OTP jednorazowe, które nie są ujawniane na ekranie blokady, niezależnie od ustawień użytkownika.
Nowy Android to także nowe API pozwalające na współdzielenie dostępu do kluczy w Keystore między aplikacjami z zachowaniem bezpieczeństwa.
Dodano również monitoring i alerty w Google Play Protect dla aplikacji naruszających prywatność.
Ulepszono w Health Connect zapis danych medycznych użytkownika (wagi, wieku, tętna spoczynkowego, tętna aktywności itp.) do nowego, międzynarodowego formatu FHIR, który wykorzystywany jest przez szereg różnych urządzeń podobnego typu do śledzenia i monitorowania aktywności: zegarki sportowe, urządzenia do pomiaru temperatury ciała itd. Ogólnie może to poprawić wymianę danych pomiędzy ekosystemem różnych producentów np. między Google a smart-zegarkami Garmin, Suunto, Polar, Amazon, Apple, Huawei itp.
Android 16 to także nowy mechanizm izolacji danych w bazie aplikacji tzw. MediaStore, który zwiększa prywatność użytkownika i utrudnia tzw. fingerprinting aplikacji. MediaStore to systemowa baza danych Androida, która zawiera informacje o multimediach na urządzeniu (np. zdjęcia, filmy, nagrania audio). Aplikacje mogą je przeszukiwać i odczytywać dane o plikach multimedialnych, jeżeli mają odpowiednie uprawnienia. Nowy mechanizm usuwa możliwość fingerprintingu aplikacji.
Bardzo interesującą zmianą jest (wymagane dołączenie do programu beta) nowy model kontroli dostępu do lokalnej sieci (LAN/Wi-Fi). Funkcja nazywa się Local Network Protection (Ochrona sieci lokalnej). Problemem w Android 15 i starszych wersjach jest to, iż aplikacje, które mają dostęp do Internetu, mogą automatycznie komunikować się z urządzeniami w lokalnej sieci (np. drukarkami, routerami, kamerami IP, NAS-em), choćby jeżeli użytkownik nigdy nie wyraził na to zgody. To stwarza potencjalne zagrożenia prywatności, np. aplikacja może skanować lokalną sieć, wysyłać lub odbierać dane z lokalnych serwerów, podsłuchiwać ruch lokalny przy użyciu podatnych protokołów. W Android 16 wymagane będzie nowe uprawienie (android.permission.LOCAL_NETWORK) – czyli aplikacja będzie musiała jawnie poprosić użytkownika o dostępy. Dopiero wtedy uzyska dostęp do komunikacji z urządzeniami w tej samej sieci Wi-Fi. Nowy mechanizm zwiększa prywatność i zapobiega nieautoryzowanemu wykrywaniu lub używaniu urządzeń w sieci lokalnej.
Kolejnym praktycznym dodatkiem jest nowy standard Auracast dla strumieniowania dźwięku zamiast Bluetooth. Auracast działa jak transmisja przez radio, więc nie trzeba ujawniać nazwy urządzenia, MAC-a ani innych metadanych (jak w klasycznym Bluetooth). Użytkownik może „dołączyć” anonimowo do strumienia audio bez interakcji z nadawcą. Strumień może być publiczny, chroniony hasłem lub tokenem. Co ważne, brak tutaj metadanych użytkownika, ponieważ nie występuje relacja typu klient-serwer, zatem nikt nie zbiera informacji o tym, kto słucha, z jakiego urządzenia ani gdzie się znajduje. Przykłady takiego zastosowania to np. osoba z aparatem słuchowym łączy się z systemem audio w teatrze, użytkownik ze telefonem paruje się z dźwiękiem z ekranu informacyjnego na lotnisku, nadawanie dźwięku z telefonu do wielu słuchawek bez parowania. Standard jest zgodny z Bluetooth LE Audio (m.in. kodek LC3, multicast + z niską latencją).
