De Samsung Galaxy S24 FE nu met Wireless Charger Duo t.w.v. €89,99 cadeau!

Android N: dit zijn de beveiligingsverbeteringen

Sander Tuit
Sander Tuit
10 maart 2016, 20:01
4 min leestijd
Android N: dit zijn de beveiligingsverbeteringen

Lees verder na de advertentie.

Sleutelcontrole hardwaresleutels

Veel toestellen bieden een beveiligd gedeelte van de opslag dat gebruikt wordt om sleutels op te slaan. Deze sleutels kunnen bijvoorbeeld worden gebruikt om contactloze betalingen goed te keuren. Doordat de sleutels opgeslagen worden op een afgeschermd gedeelte van het toestel, zijn deze niet toegankelijk voor hackers wanneer er lekken in Android of Linux (de basis waarop Android draait) zitten. Ook zijn ze niet uit te lezen op apparaten met root-toegang.

Een nieuw onderdeel van Android N is Key Attestation. Dit houdt in dat apps en apparaten kunnen bepalen of een sleutel afkomstig is uit een hardware-opslag of niet. Daarnaast is ook te zien wat de eigenschappen van een sleutel zijn en hoe lang deze geldig is. Het toestel zelf geeft daarbij onder andere ook aan of de bootloader vergrendeld is. De controle gaat door middel van een speciale ‘Attestation key’ die in de fabriek al op de beveiligde opslag van een toestel gezet wordt.

Netwerkbeveiliging voor apps

Apps krijgen bij Android N de mogelijkheid om de beveiliging van hun eigen verbinding te bepalen. Daarbij hoeft de programmeercode van de verbindingen niet aangepast te worden. Volgens Google zorgen dat soort aanpassingen vaak voor fouten. 

In Android N  kunnen apps een beveiligingsconfiguratiebestand meeleveren. Dit bestand is net als de bestanden waarin de lay-out van apps wordt vastgelegd en de bestanden waarin tekst voor in apps staat opgeslagen, een XML-bestand.

In het configuratiebestand kunnen verschillende zaken worden geregeld. Zo kunnen ontwikkelaars vastleggen welke certificaatautoriteiten wel en niet moeten worden vertrouwd. Daarbij kunnen ook zelfondertekende certificaten als vertrouwd worden aangemerkt. Ook kunnen beveiligde verbindingen worden gecontroleerd in een debug-omgeving, zonder dat niet-debug-versies van de app een extra risico vormen.

Er zijn nog twee andere mogelijkheden die kunnen worden vastgelegd in het configuratiebestand. Er kan worden vastgelegd dat er nooit een niet-beveiligde verbinding gebruikt mag worden en daarnaast kan gebruik gemaakt worden van certificate pinning. Deze manier van beveiliging maakt het mogelijk om alleen bepaalde beveiligingscertificaten te vertrouwen, in plaats van certificaten die  van een bepaalde autoriteit komen.

APK-handtekening versie 2

Applicaties worden ondertekend met een digitale handtekening. Wanneer een app dan geüpdatet wordt, zal deze handtekening gecontroleerd worden en de handtekening van de update wordt vergeleken met die van de geïnstalleerde versie.

De handtekening moet voorkomen dat er een update wordt uitgegeven die niet afkomstig is van de ontwikkelaar. Daarnaast is in de handtekening informatie opgenomen over de bestanden die in een installatiepakket van een Android-app zitten. Wanneer deze bestanden aangepast worden, bijvoorbeeld wanneer er kwaadaardige software in gezet is, zal de handtekening incorrect zijn en zal Android de update niet installeren. In het verleden waren er problemen met de controle van de handtekening, waardoor apps toch aangepast konden worden.

In een volgende release van Android N zal gebruik gemaakt worden van een nieuw handtekeningschema (APK signature scheme v2). Deze wordt in de eerste ontwikkelaarsversie van Android N nog niet gebruikt, maar zal in toekomstige ontwikkelaarsversies geïntroduceerd worden. In de tweede versie van het schema wordt volgens Google niet naar individuele bestanden in een installatiebestand gekeken, maar wordt het bestand zelf gecontroleerd. Dit moet zorgen voor grote snelheidsverbeteringen bij het controleren van de handtekening en het nieuwe schema moet daarnaast het aanpassen van bestanden nagenoeg onmogelijk maken.

Android for Work

Met Android for Work wordt de zakelijke omgeving van gebruikers gescheiden van de privé-omgeving. Zo kunnen bedrijven smartphones en tablets aan hun medewerkers geven die dan te allen tijde gebruikt kunnen worden door de medewerkers. Doordat de zakelijke gegevens volledig afgeschermd worden, kunnen deze niet worden uitgelezen door kwaadaardige apps die door de medewerker geïnstalleerd worden.

In Android N komen ook weer verschillende verbeteringen voor Android for Work. Voor veel mensen zal de mogelijkheid om ‘werk uit te schakelen’ het prettigst in de oren klinken. Met deze nieuwe functie wordt alle synchronisatie van werkgerelateerde gegevens uitgeschakeld en kunnen Android for Work-apps niet opgestart worden.

Ook nieuw is dat beheerders van Android for Work-toestellen vast kunnen leggen dat er altijd een VPN-verbinding gebruikt moet worden voor zakelijke apps. Hierdoor kan voorkomen worden dat gegevens lekken via onbeveiligde netwerken. De beheerders kunnen voortaan ook vereisen dat de gebruiker een wachtwoord opgeeft bij het starten van een bepaalde Android for Work-app.

Beschikbaarheid

Google zal Android N eind deze zomer officieel beschikbaar maken, in het derde kwartaal. Tot die tijd zal het bedrijf een vijftal previewversies uitbrengen, waarvan de eerste sinds deze week te downloaden is.

Op de hoogte blijven?

Volg Androidworld nu ook op WhatsApp

Download de nieuwe Androidworld-app!

Reacties

0

Inloggen of registreren
om een reactie achter te laten

11 maart 2016, 9:13

Vraag me af of Tivoization hiermee op de loer licht. Met andere woorden: kan hiermee de fabrikant voorkomen dat er customroms of andere ongewenste software wordt geplaatst ?

10 maart 2016, 21:14

Updates niet belangrijk!!! Hahaha