Android Q: Tăng cường bảo mật cho người dùng cá nhân và doanh nghiệp

Mã hóa tốt hơn

Vào tháng 2 năm nay, Google đã giới thiệu Adiantum, một chế độ mã hóa tệp và đĩa thay thế cho các thiết bị Android giá rẻ không có đủ khả năng điện toán để sử dụng Tiêu chuẩn mã hóa nâng cao (Advanced Encryption Standard: chuẩn mã hóa dữ liệu phổ biến được dùng cho nhiều mục đích và được cả chính phủ Mỹ sử dụng để bảo vệ các dữ liệu tuyệt mật, cụ thể, nó là kiểu mã hóa đối xứng dạng khối, nghĩa là mỗi khối văn bản có một kích thước nhất định được mã hóa, khác với mã hóa dạng chuỗi, tức là từng kí tự được mã hóa).

“Adiantum được thiết kế để chạy một cách hiệu quả mà không cần phần cứng chuyên dụng. Nó có thể hoạt động trên mọi thứ, từ đồng hồ thông minh đến các thiết bị y tế được kết nối internet,” theo chú thích của Rene Mayrhofer và Xiaowen Xin đến từ Nhóm Bảo mật & Riêng tư của Android.

“Cam kết của chúng tôi về tầm quan trọng của mã hóa được tiếp tục thể hiện qua bản phát hành Android Q. Tất cả các thiết bị Android mới được ra mắt tương thích với Android Q bắt buộc phải mã hóa dữ liệu người dùng, không có ngoại lệ. Điều này bao gồm điện thoại, máy tính bảng, TV và các thiết bị điều khiển các phần mềm trên xe ôtô như: hệ thống giải trí, hệ thống quản lý kiểm soát ô tô, hệ thống an toàn, hệ thống tích hợp…”.

Để mã hóa dữ liệu chuyển tiếp, Android Q sẽ bật hỗ trợ TLS 1.3 (phiên bản mới của giao thức TLS - Transport Layer Security hay còn gọi là Bảo mật tầng truyền tải, một giao thức mật mã nhằm mục đích bảo mật sự vận chuyển trên Internet) theo mặc định.

“TLS 1.3 thường có thể hoàn thành quá trình mã hóa dữ liệu được truyền giữa máy khách và máy chủ với ít vòng hơn, giúp thời gian kết nối nhanh hơn tới 40% cho các phiên giao dịch đó. Từ góc độ bảo mật, TLS 1.3 loại bỏ hỗ trợ cho các thuật toán mã hóa yếu, cũng như một số tính năng không an toàn hoặc lỗi thời. Nó sử dụng một quá trình mã hóa dữ liệu được thiết kế mới để khắc phục những điểm yếu trong TLS 1.2”, nhóm bảo mật cho biết.

Cập nhật bảo mật thông qua Wi-Fi hay 3G mà không cần dùng đến cáp hay các phần mềm hỗ trợ cho các thành phần hệ điều hành cốt lõi

Vài ngày trước, tại hội nghị cho các nhà phát triển hàng năm Google I/O của mình, Google đã thông báo rằng bắt đầu từ Android Q, 14 thành phần hệ điều hành lõi của Android sẽ có thể nhận được các bản cập nhật bảo mật trực tiếp từ Google thông qua Wi-Fi hay 3G mà không cần dùng đến cáp hay các phần mềm hỗ trợ (nhưng các nhà sản xuất thiết bị có thể quyết định không tận dụng điều này).

Để có thể làm điều đó, các kỹ sư của Google đã phải chia các thành phần này thành các mô-đun độc lập.

Cải tiến hộp cát

Google đã và đang làm việc để tăng cường các biện pháp bảo mật hiện có trong Android. Một trong những thay đổi được công bố là cách ly các thành phần đa phương tiện khác nhau vào những môi trường được kiểm soát chặt chẽ, hay còn gọi là hộp cát, có ít đặc quyền hơn.

“Hầu hết các lỗ hổng trên Android xảy ra trong các thành phần đa phương tiện và bluetooth. UAF (Use-After-Free: lỗi khiến cho bộ nhớ bị hỏng hoặc cho phép sửa đổi dữ liệu trong bộ nhớ làm cho người dùng bị tước bỏ hoàn toàn các đặc quyền trên hệ thống hoặc phần mềm bị ảnh hưởng), tràn số nguyên (xảy ra khi một phép tính số học cố gắng tạo ra một giá trị số nằm ngoài phạm vi có thể được biểu diễn với một số bit nhất định) và ngoài phạm vi đọc/ghi chiếm 90% các lỗ hổng, trong đó lỗi ngoài phạm vi là phổ biến nhất,” chú thích của Jeff Vander Stoep đến từ Nhóm Bảo mật & Riêng Tư của Android và Chong Zhang của Nhóm truyền thông Android.

Cô lập chặt chẽ các thành phần này trong các quy trình bị rằng buộc là một cải tiến bảo mật lớn.

Công ty cũng đã triển khai một bộ công cụ để loại bỏ lỗi ngoài phạm vi trong 11 bộ giải mã-mã hóa phương tiện truyền thông và trong toàn bộ phần mềm Bluetooth cho Android Q, đặt bộ công cụ loại bỏ lỗi tràn số nguyên ở nhiều nơi hơn cùng một số biện pháp khác để ngăn chặn các loại lỗ hổng phổ biến.

Bảo mật doanh nghiệp

Android Q sẽ cung cấp các tính năng kích hoạt và chứng thực mới cho các thiết bị thuộc sở hữu của công ty, kèm theo các tùy chọn bảo mật.

“Trên các thiết bị có hồ sơ công việc chứa dữ liệu và ứng dụng thuộc quản lý của công ty, quản trị viên CNTT hiện có thể chặn việc cài đặt ứng dụng từ các nguồn không xác định trên toàn bộ thiết bị, bổ sung thêm các biện pháp bảo vệ chống lại phần mềm độc hại tiềm ẩn trong hồ sơ cá nhân. Và với việc từ chối giao diện lập trình ứng dụng dành cho quản trị thiết bị trong Android Q, chúng tôi đã kích hoạt các ứng dụng yêu cầu màn hình khóa để kiểm tra chất lượng của thông tin đăng nhập khóa màn hình và hướng người dùng tới cài đặt mật khẩu mạnh hơn,” kỹ sư phần mềm của Google, Alex Kershaw lưu ý.

Các quản trị viên cũng sẽ có thể thực hiện những việc như hạn chế các thiết bị đầu vào truy cập hồ sơ công việc, âm thầm xóa hồ sơ công việc, miễn trừ các ứng dụng khỏi chế độ khóa (chế độ cho phép bộ điều khiển chính sách thiết bị chặn bất kỳ lưu lượng truy cập mạng nào không sử dụng VPN), và nhiều hơn thế nữa.