Android N安全功能详解：为恶意程序开启“困难模式

在上个月召开的I/O大会上Google透露了关于Android N的诸多新功能，时隔1个月外媒SoftPedia撰文对于Google在Android系统安全方面的部署和新功能进行了较为全面的介绍。首先且最为重要的是，Verified Boot（验证启动）现已严苛执行。在Android 6.0 Marshmallow中当启动代码被篡改的时候就会向用户发出提醒，而在Android N上将会拒绝开机。

在Android系统加密方面的大量调整：

硬件支持的秘钥同样被要求强制执行。此前Google为开发者提供相关的选项来选择在TrustZone（Android内核的安全区）储存加密秘钥。不过自Android N开始，TrustZone成为了能够储存加密秘钥的唯一区域。

为了阻止开发者使用糟糕的加密方式从而容易被暴力破解，也反对Android系统的开发者使用Crypto提供商。此外你可能也已经从其他新闻报道或者科技博文中看到在Android N系统中，Google将会授予用户对文件夹进行数据加密的权限。

在此之前，Google为用户提供了全盘加密功能，但是有用户报告存在性能方面的问题 ，所以为何防止因为加密耗时太长、解密和验证没有必要的垃圾文件，Google现在允许用户只对需要保护的文件夹进行数据加密。

围绕着加密，Google还对现有的Network API进行升级简化开发者管理和处理HTTPS。去年在Android Marshmallow中，如果他们并未使用加密Google允许开发者自动阻止第三方SDK。而在今年Google新增了过滤系统能够允许开发者定制筛选哪些URL链接能够使用明文的HTTP请求，而HTTPS域名则必须阻止或者无法建立连接。此外Network API能够在所有设备上统一CA Store，在所有用户安装凭证的网站不再默认认为是“受信任的”。

Android N获得长达11年悠久历史的Linux沙盒功能

Google同时还宣布Android N将会引入“困难模式”的Mediaserver组件。对于“困难模式”，Google此前透露就是将Mediaserver分割称更小的沙盒组件。沙盒功能很早就被引入，在Android N中Google从Linux Kernel中移植了“seccomp”的沙盒功能，是Android OS诞生之初并未涵盖的Linux Kernel分支。

Android N将会允许在后台安装系统更新，当用户下次启动设备的时候就自动进行部署。此外，Android N中新添了名为“Android 安全补丁级别”的全新指示器，能够显示最新安全补丁的日期，所以你能够轻松的知道是否应该进行升级了。

Google同时强化了指纹识别机制，为开发者提供了更多的精细控制选项来扩展授权模型，并引入了允许开发者确认设备健康的新功能并能够知道某些人是否尝试篡改系统的核心代码。

Android N向恶意程序、银行木马宣战

为进一步和恶意程序的斗争，Google将会对Devices Admin APIs的访问进行限制。Apps无法通过编程方式来更改现有密码，且所有设备的admin应用都能够被卸载，从而更轻松简单的移除带admin权限的恶意程序。

Google计划通过对SYSTEM_ALERT_WINDOW功能的改进来限制更改用户密码，能够限制应用覆盖其他应用的或者系统日志的能力。