Android P, phiên bản tiếp theo của hệ điều hành trên di động của Google sẽ sớm có sẵn cho các nhà phát triển, sẽ mặc định các kết nối HTTPS cho tất cả các ứng dụng. Dave Burke, Phó phòng Kỹ thuật của Android đã công bố một số thay đổi mà chúng tôi có thể mong đợi trong Android P, bao gồm bảo mật kết nối tốt hơn.
Là một phần của nỗ lực lớn hơn để chuyển tất cả lưu lượng truy cập mạng từ cleartext (HTTP không mã hóa sang TLS), chúng tôi cũng thay đổi mặc định cho Cấu hình Bảo mật Mạng để chặn tất cả lưu lượng truy cập thông thường. Bây giờ bạn sẽ cần thực hiện các kết nối qua TLS, trừ khi bạn đã chọn tham gia rõ ràng cho các tên miền cụ thể.
Thay đổi này sẽ áp dụng cho mỗi ứng dụng được cung cấp trên Android P. Có một số giải pháp cụ thể cho các ứng dụng hoặc người dùng có thể yêu cầu kết nối HTTP. Một kê khai cụ thể sẽ cần phải được đưa ra trong bản kê khai của ứng dụng nếu bắt buộc bất kỳ kết nối HTTP nào. Người dùng sẽ có thể kiểm soát điều này qua tệp Cấu hình Bảo mật Mạng của Android P.
Ngoài ra, người dùng sẽ có thể cho phép hoặc cấm các kết nối HTTP trên mỗi tên miền, hoặc ở cấp độ ứng dụng. Điều này tương tự như tính năng Bảo mật ứng dụng trong ứng dụng của Apple . Apple đã thực hiện ATS mặc định từ năm 2015 và yêu cầu ứng dụng phải thêm tệp cấu hình tùy chỉnh để thực hiện kết nối HTTP. Apple cũng đã tăng cường ATS chỉ bằng cách hỗ trợ TLS 1.2 và trở đi, ngoài sự bí mật chuyển tiếp.
Mệnh giá cho Khóa học
Vào tháng 7, Google sẽ phát hành bản cập nhật Chrome cho phép cấm các kết nối HTTP trong trình duyệt của nó. Như chúng tôi đã đề cập, HTTPS sẽ trở thành mặc định mới khi Google và phần còn lại của trình duyệt bắt đầu phát hành cảnh báo về các trang web HTTP “không an toàn” vào mùa hè này.
Với ý nghĩ đó, điều đó chỉ có ý nghĩa rằng Google cũng sẽ tăng áp lực lên nền tảng di động của mình, đặc biệt khi xem xét rằng ngày càng có nhiều người sử dụng thiết bị di động hơn máy tính để bàn. Và xem xét phần lớn các ứng dụng trên các nền tảng di động này đang tạo ra các kết nối, điều đó chỉ có ý nghĩa rằng Google sẽ muốn các kết nối được thực hiện an toàn.
Ngoài việc yêu cầu các ứng dụng tạo các kết nối mật mã theo mặc định, Google cũng sẽ tăng cường các biện pháp bảo vệ khác với Android P. Như hạn chế quyền truy cập của các ứng dụng đối với các tính năng khác như máy ảnh, micrô, v.v … của điện thoại
Để đảm bảo bảo mật tốt hơn, Android P hạn chế quyền truy cập vào mic, máy ảnh và tất cả các cảm biến SensorManager từ các ứng dụng không hoạt động. Mặc dù UID của ứng dụng của bạn không hoạt động, mic báo cáo âm thanh và cảm biến không có sản phẩm nào ngừng các sự kiện báo cáo. Máy ảnh được ứng dụng của bạn sử dụng bị ngắt kết nối và sẽ tạo ra lỗi nếu ứng dụng cố gắng sử dụng chúng. Trong hầu hết các trường hợp, những hạn chế này không nên giới thiệu các vấn đề mới cho các ứng dụng hiện tại, nhưng chúng tôi khuyên bạn nên xóa những yêu cầu này khỏi các ứng dụng của bạn.
Android P dự kiến sẽ được phát hành trong quý ba năm 2018, nhưng bạn có thể mong đợi thêm thông tin về bản phát hành sắp tới vào tháng tới tại Google I / O.
(Theo thestoressl)