Ini Adalah Semua Peningkatan Keamanan Baru Android P

Setiap versi Android baru hadir dengan setidaknya beberapa perbaikan keamanan. Kali ini, tampaknya versi baru, Android P, mendapatkan lebih banyak dari biasanya, dari memungkinkan pengguna untuk mengenkripsi cadangan mereka secara lokal sebelum mengunggah ke cloud untuk mengenkripsi semua lalu lintas aplikasi pihak ketiga dengan HTTPS.

Enkripsi Sisi Klien Dari Cadangan Cloud

Android P akan memungkinkan pengguna untuk mengenkripsi cadangan mereka dengan PIN, pola, atau kata sandi mereka sendiri, sebelum backup itu diunggah ke cloud Google. Biasanya, Anda tidak ingin data yang tersimpan di awan harus dilindungi oleh PIN atau pola karena jenis kode tersebut lemah dan dapat dengan mudah dibuat kasar.

Di telepon, kode PIN disertai dengan fitur lain yang membatasi berapa banyak percobaan yang dapat dicoba oleh seseorang sebelum membuka kunci perangkat dan secara drastis menunda upaya bruteforce apa pun. Google akan memanfaatkan Layanan Kunci Vault baru, yang menyimpan kunci kriptografi pada perangkat keras aman yang telah dirancang untuk mencegah serangan bruteforce dengan secara permanen menghancurkan kunci ketika ada terlalu banyak upaya gagal untuk mendekripsi cadangan pengguna.

Modul Keamanan Perangkat Keras

Kembali pada tahun 2015, Google menjanjikan kami "Project Vault," yang bertujuan untuk mengubah kartu microSD menjadi Modul Keamanan Perangkat Keras miniatur (HSM) - perangkat yang menyimpan dan memproses kunci kriptografi, biasanya digunakan di ruang perusahaan atau oleh penyedia layanan cloud. Proyek ini dapat mendemokrasikan keamanan yang kuat untuk perangkat Android. Namun, proyek ini tampaknya telah mencapai jalan buntu ketika, segera setelah pengumuman, pimpinan proyeknya berhenti dari Google.

Google tampaknya telah mengubah proyek menjadi semacam "kantong aman" pada steroid yang akan dibangun ke dalam telepon - setidaknya ponsel OEM bersedia untuk mengadopsinya. HSM dilengkapi dengan CPU, penyimpanan yang aman, generator nomor acak yang sebenarnya, dan mekanisme lain untuk menolak gangguan dan sideloading aplikasi yang tidak sah.

HSM akan mendukung algoritma kriptografi seperti:

• RSA 2048
• AES 128 dan 256
• ECDSA P-256
• HMAC-SHA256 (mendukung ukuran kunci antara 8 byte dan 64 byte, inklusif)
• Triple DES 168

Opsi Untuk Memungkinkan Dekripsi Hanya Pada Perangkat Yang Tidak Terkunci

Android P memperkenalkan flag unlocked UnserviceRequired, yang dapat diatur oleh pengguna sehingga perangkat tidak dapat didekripsi kecuali layar juga tidak terkunci. Agaknya Google telah belajar bahwa perangkatnya dapat didekripsi bahkan ketika layar terkunci, yang akan memungkinkan pihak jahat untuk mencuri data dari perangkat yang dicuri.

Meskipun fitur ini mungkin harus menargetkan semua orang, fakta bahwa itu adalah bendera yang harus Anda tetapkan menjadi "benar" untuk itu harus diaktifkan dan bukan hanya mengaktifkan kotak centang di pengaturan Keamanan berarti bahwa Google belum percaya ini adalah fitur yang harus digunakan semua orang. Google juga mengatakan bahwa pengguna utama fitur tersebut dapat berupa pelanggan perusahaan atau mereka yang berada di industri perawatan kesehatan.

Impor Kunci Aman Ke Keystore

Google juga akan memungkinkan pengembang untuk mengimpor kunci terenkripsi ke dalam Keystore (file yang berisi kunci enkripsi) dengan aman, tanpa memori perangkat dapat membaca isi kunci itu ketika kunci tersebut digunakan untuk mendekripsi data.

Fitur baru ini harus mengamankan kunci terenkripsi yang digunakan oleh aplikasi pihak ketiga yang menggunakan enkripsi HTTPS atau bentuk kriptografi kunci publik lainnya di mana kunci privat harus disimpan secara lokal.

Android Protected Confirmation

Pengembang pihak ketiga akan dapat menggunakan "API Konfirmasi yang Dilindungi", yang merupakan saluran aman tempat permintaan akan dikirim ke ponsel pengguna untuk meminta mereka menyetujui atau menolak transaksi sensitif, seperti melakukan pembayaran.

Jika pengguna menyetujui transaksi, maka aplikasi akan menerima tanda tangan kriptografi yang dilindungi oleh kode otentikasi pesan hashing-kunci (HMAC). Tanda tangan ini menunjukkan dengan keyakinan tinggi bahwa pengguna benar-benar telah melihat dan menyetujui transaksi. Lingkungan Eksekusi Tepercaya ponsel (TEE) akan melindungi dialog konfirmasi dan masukan pengguna, sehingga sulit bagi malware untuk membajaknya.

Pengacakan Mac Wi-Fi

Google juga tampaknya menjadi salah satu yang terakhir untuk menghadirkan pengacakan alamat MAC Wi-Fi ke ponsel penggunanya, karena iOS dan Windows 10 sudah mendukungnya. Secara teknis, Android 5.0 mulai mendukungnya beberapa tahun yang lalu, tetapi tampaknya sangat cacat dan juga dinonaktifkan pada sebagian besar perangkat.

Android P berjanji untuk mengubah itu dengan membuat alamat MAC baru untuk setiap jaringan Wi-Fi yang Anda sambungkan, sehingga menyulitkan orang lain untuk melacak Anda di berbagai tempat yang telah Anda kunjungi.

HTTPS Untuk Aplikasi Diaktifkan Secara Default

Di Android 8.0, Google memberi pengembang opsi untuk mengaktifkan HTTPS dan membatasi lalu lintas HTTP, tetapi itu tidak wajib. Di Android P, pengembang pihak ketiga harus mengaktifkan HTTPS secara default untuk aplikasi mereka, tetapi mereka masih dapat menentukan domain tertentu yang dapat terus mengirimkan lalu lintas yang tidak terenkripsi.

Fitur Keamanan lainnya

Android P akan memberikan "BiometricPrompt" standar untuk aplikasi, yang berarti pengguna sekarang dapat memercayai petunjuk sidik jari yang berasal dari aplikasi lebih banyak juga.

Google juga menyediakan pengembang dengan Skema Tanda Tangan APK baru (v3) yang memungkinkan mereka untuk merotasi kunci tanda tangan mereka.

Android P juga akan mendukung DNS melalui TLS, yang berarti lebih sedikit peluang bagi ISP dan operator Anda untuk mengumpulkan data Anda saat menggunakan layanan DNS seperti Google 8.8.8.8 atau Cloudflare (lebih ramah privasi) 1.1.1.1.

Seperti yang baru-baru ini kami pelajari, Android P juga akan membatasi aplikasi dari pemantauan aktivitas jaringan pengguna tanpa menggunakan API VPNService dan tanpa persetujuan eksplisit dari pengguna.

P lain tidak akan lagi membiarkan aplikasi secara diam-diam menggunakan mikrofon atau kamera dan pengguna akan diperlihatkan pemberitahuan ketika aplikasi melakukannya di latar belakang. Ini adalah salah satu fitur yang seharusnya ada di sana sejak hari pertama, atau setidaknya seharusnya sudah lebih awal.

Secara keseluruhan, Android P tampaknya datang dengan peningkatan keamanan yang signifikan, tetapi masih harus dilihat jika Apple, yang membanggakan diri pada keamanan dan sikap privasi, akan satu-up Google dengan versi iOS berikutnya.

Share this post