Local blog for Japanese speaking developers
Android Q の新しいセキュリティ機能
2019年6月11日火曜日
この記事は Rene Mayrhofer, Xiaowen Xin (Android Security & Privacy Team) による Android Developers Blog の記事 "
What’s New in Android Q Security
" を元に翻訳・加筆したものです。詳しくは元記事をご覧ください。
新しいバージョンの Android を開発するたび、Google が最も重視してきたのがセキュリティの強化です。こうしたセキュリティへの真摯な取り組みが、ここ数年の Android エコシステムの急成長につながっています。2018 年も例外ではありませんでした。
2018 年の第 4 四半期にセキュリティ アップデートを受け取ったデバイスは、前年同期比で 84% 増加しました。2018 年中に、Android プラットフォームに重大な影響を及ぼすセキュリティ上の脆弱性が、セキュリティ アップデートや対応策なしで公表されることはありませんでした。また、
有害な可能性があるアプリ
がインストールされたデバイスの割合も対前年比で 20% 減少しました。透明性確保の観点から、こうしたデータは
Android Security & Privacy 2018 Year In Review
で公表しています。
そして、今回の Android Q のリリースにおいても、さらなるセキュリティの強化をご期待いただいているものと思います。
本日の Google I/O では、Android Q に統合された新しいセキュリティ機能についての発表を行いました。これらについては、今後時間をかけて詳しく解説することにしていますが、まず今回はセキュリティが強化された領域について簡単にご紹介します。
暗号化
ストレージの暗号化は最も基本的(かつ効果的)なセキュリティ技術の 1 つですが、現行の暗号化規格では暗号化アクセラレーション ハードウェアが必須となっています。この要件を満たしていない多くのデバイスでは、ストレージ暗号化を使用することができません。そこで Android Q のリリースにあたって、Adiantum に変更を加えることにしました。2 月に発表した
Adiantum
は、専用のハードウェアがなくても効率的に動作するよう設計されており、スマートウォッチからインターネット接続可能な医療機器まで、あらゆるデバイスで使用できる暗号化規格です。
暗号化を重視する Google の姿勢は Android Q でも変わりません。新たに発売される Android Q 対応デバイスについては、すべてのデバイスで例外なくユーザーデータの暗号化を必須としました。スマートフォンやタブレットだけでなく、テレビや車載デバイスも対象です。これにより、次世代のデバイスの安全性がさらに高まり、今後初めてインターネットを利用する新興国ユーザーにも安心を提供できます。
Android Q では、ストレージの暗号化に加え、デフォルトで TLS 1.3 をサポートします。TLS 1.3 は、IETF が TLS を大幅に改訂して 2018 年 8 月に正式リリースしたプロトコルです。これまでより高速で、安全性とプライバシーが強化されています。TLS 1.3 では、多くの場合少ないラウンドトリップでハンドシェイクでき、セッションの接続時間を最大 40% 短縮できます。セキュリティの面では、脆弱な暗号化アルゴリズム、安全性の低い機能、あまり使われなくなった機能のサポートを廃止しました。TLS 1.3 のハンドシェイクは新たに設計されたもので、TLS 1.2 の脆弱性が修正されています。プロトコルがより明瞭になり、エラーが発生しにくく、鍵の不正使用が困難になっています。最後にプライバシー面では、TLS 1.3 ではより多くのハンドシェイクを暗号化することで、通信当事者のプライバシーの保護が強化されています。
プラットフォームの強化
Android では、多重防御戦略を採用し、個別の実装バグがセキュリティ システムを迂回するのを防いでいます。プロセスの分離、攻撃表面の縮小、アーキテクチャの分解、エクスプロイトの軽減などの対策をとることで、脆弱性を悪用するのを困難または不可能にしたり、攻撃者が目的を果たすのに必要な脆弱性の数を増やしたりできます。
Android Q では、メディア、Bluetooth、カーネルなどのセキュリティが不可欠な部分にこれらの戦略を適用しました。こうした改善点については、
別のブログ投稿
で詳しく解説していますが、以下に要点をまとめます。
ソフトウェア コーデック用に制限されたサンドボックス。
サニタイザーの本番使用の拡大により、信頼できないコンテンツを処理するコンポーネント内のあらゆる種類の脆弱性を軽減。
バックエッジの制御フローの整合性(CFI)を提供し、LLVM の CFI によるフロントエッジの保護を補完するシャドー コール スタック。
実行専用メモリ(XOM)の使用により、アドレス空間配置のランダム化(ASLR)をリークから保護
ヒープ関連のさまざまな脆弱性の悪用を困難にするため、Scudo 強化アロケータを導入。
認証
Android Pie で導入された BiometricPrompt API を使用すると、顔、指紋、虹彩などによる生体認証をアプリ内で簡単に利用できます。導入以来、数多くのアプリでこの API が使用されています。Android Q では、その基底のフレームワークを更新し、顔認証と指紋認証のサポートを強化しました。また、API の用途を拡張し、明示的な認証や暗黙的な認証にも利用できるようにしました。
明示的な認証フローでは、指で指紋認証センサーに触れるなど、ユーザーが何らかの操作を実行する必要があります。顔や虹彩で認証する場合は、認証を実行するためにボタンを押すなどの追加操作が必要になります。明示的な認証はデフォルトの認証フローであり、支払いなどの高価値取引にはこちらを使用する必要があります。
暗黙的な認証フローでは、ユーザーが追加の操作を実行する必要がありません。ログインや自動入力など、簡単に元に戻せる処理を手軽かつスムーズに行うために使用します。
BiometricPrompt のもう 1 つの便利な点は、デバイスが生体認証をサポートしているかどうかを、BiometricPrompt を呼び出す前にチェックできるようになったことです。この機能は、ログインページやアプリ内の設定メニューに、「生体認証ログインを有効にする」などのアイテムを表示したい場合に便利です。これに対応するため、新たに
BiometricManager
クラスが追加されています。このクラスの
canAuthenticate()
メソッドを呼び出すことで、デバイスが生体認証をサポートしていて、ユーザーが登録しているかどうかを識別できます。
次のステップ
Android Q の次のステップとして考えているのは、モバイルアプリに電子 ID 機能を追加し、スマートフォンを運転免許証のような身分証明書として使用できるようにすることです。このようなアプリはセキュリティ要件が多く、スマートフォン上のクライアント アプリ、読み取り / 認証デバイス、発行局のバックエンド システム(ライセンスの発行、更新、取り消しに使用)を統合する必要があります。
これを実現するには、暗号化や
ISO
の標準化についての専門性が必要となるため、Android セキュリティ / プライバシー チームが中心になって取り組んでいるところです。今後、Android デバイス向けハードウェア抽象化レイヤ(HAL)の API やリファレンス実装を提供し、電子 ID 機能と同様にセキュリティやプライバシーが特に重視されるアプリ用にビルディング ブロックを提供したいと考えています。電子 ID 機能のサポートについては、近日中に改めて最新情報をお届けする予定です。
Posted by
Yuichi Araki - Developer Relations Team
ラベル
.app
1
.dev
1
#11WeeksOfAndroid
13
#11WeeksOfAndroid Android TV
1
#Android11
3
#DevFest16
1
#DevFest17
1
#DevFest18
1
#DevFest19
1
#DevFest20
1
#DevFest21
1
#hack4jp
3
11 weeks of Android
2
A MESSAGE FROM OUR CEO
1
A/B Testing
1
A4A
4
Accelerator
5
Accessibility
1
accuracy
1
Actions on Google
16
Activation Atlas
1
Addy Osmani
1
ADK
2
AdMob
32
Ads
71
Ads API
92
ads query language
2
ads scripts
2
Advanced Protection Program
3
AdWords API
24
adwords scripts
2
Agency
1
AI
14
AIY
3
AIY Vision Kit
2
ALPN
1
AMP
120
AMP Cache
9
AMP Camp
2
AMP CSS
1
AMP Extension
1
AMP Fest
1
AMP for Email
4
AMP Optimizer
1
AMP Packager
1
AMP Playground
1
AMP Plugin
1
AMP SSR
1
AMP Story
4
AMP Toolbox
1
amp-bind
1
amp.dev
1
AMPHTML Ads
1
Analytics
9
Andorid
12
Android
396
Android 10
1
Android 11
20
Android 11 Compatibility
1
Android 11 final release
1
Android 11 meetups
1
Android 9
1
android api
1
Android App Bundle
1
Android App Development
23
Android Architecture
1
Android Architecture Components
1
Android Auto
1
Android Design Support Library
1
Android Developer
14
Android Developer Story
4
Android Developers
13
Android Enterprise
6
Android for cars
2
Android Go
1
Android Jetpack
6
Android N
18
Android O
14
Android Open Source Project
1
Android P
7
Android Pay
1
android privacy
1
Android Q
13
Android Ready SE Alliance
1
android security
4
Android Security Year in Review
1
Android StrongBox
1
Android Studio
47
Android Studio 4.1
1
Android Support Library
6
Android Things
15
Android Tools
2
Android TV
11
Android Vitals
4
Android Wear
29
android11
6
androidmarket
3
androidstudio
1
AndroidX
6
Angular
2
Angular 2
2
AngularJS
2
Anthos
2
AoG
1
aosp
1
API
26
APIExpert
45
apk
2
APM
1
app
3
App Action
1
App Bundle
2
app check
1
app engine
24
App Indexing
7
App Invites
6
App Maker
2
App modernization
1
AppCompat
2
Apps Flutter eBay
1
Apps Script
12
AppSheet
1
aprilfool
4
AR
2
Architecture Components
7
ARCore
1
ArtTech
1
asset-based extensions
2
assets
1
Associate Android Developer Certificate
1
Attribution Reporting
1
Audio
7
Auth Code
1
Authentication
9
AuthSub
2
Autofill
5
AutoML
1
Autotrack
2
award
1
Awareness API
1
basemap
1
basic-card
1
Beacons
6
bento
2
BERT
1
Best Practices
1
beta
3
Better Ads Standards
3
BigQuery
10
Billing
1
Biometrics
1
BLE
4
Blink
1
Blockly
1
blogger
1
BodyPix
1
Brillo
1
Brotli
2
Budou
1
Buildbetterapps
2
C++
1
Calendar
3
call ads
1
campaign
2
Campus
1
Canvas
1
Cardboard
4
Career
1
Case Study
3
CCPA
1
CDS 2020
3
CDS Recap 2020
3
Certificate
3
changestatus
1
chrome
231
chrome 98
1
Chrome Apps
1
Chrome Custom Tab
4
Chrome Dev Summit
5
chrome extension
14
Chrome for Android
2
Chrome for iOS
3
Chrome OS
10
Chrome Tech Talk Night
4
chrome90
1
Chromebook
4
Chromecast
7
chromewebstore
9
Chromium
7
CLI
1
ClientLogin
3
Closure Compiler
1
Cloud
26
Cloud AI Platform
2
Cloud Firestore
5
Cloud Functions
9
Cloud IoT Device SDK
1
cloud messaging
1
Cloud ML Summit
1
Cloud Next
9
Cloud OnAir
4
Cloud OnBoard
4
Cloud PubSub
1
Cloud Run
1
Cloud Storage
1
Cloud Study Jams
3
Cloud Summit
1
Cloud Test Lab
2
Cloudflare
1
CNN
1
Coalition for Better Ads
2
CocoaPods
1
code review
1
codejam
5
codelab
5
Codepen
1
Colaboratory
1
Common Criteria
1
Community
5
compatibility
1
Compose
1
compute engine
3
consent
1
Contests
1
Context
1
controls
1
Conversation API
1
conversations
2
conversion
1
Cookie
10
Coral
3
core web vitals
1
COVID-19
2
Crash Reporting
2
Crashlytics
3
Custom Element
1
Custom Model
1
CWV
2
dark theme
1
Dart
2
DataCenter
1
datacloudsummit
1
Daydream
4
deck.gl
2
Deep Learning
4
Delegation
1
Demo Party
1
Design Patterns
1
Design Sprint
3
DesignBytes
1
Designer
1
DevArt
3
DevBytes
6
Developer
15
Developer Console
4
Developer Library
1
Developer Preview
6
Developer Relations
3
Developer Review
1
Developer Student Club
1
DEVELOPERS
1
Developers Story
4
DevFest
11
DevFestX
3
DevOps
1
devtools
4
Dialogflow
1
Differential privacy
2
Digital Asset Links
1
Digital Goods API
1
DirectShare
1
Discover
1
DNS-over-HTTPS
4
Domain
1
Doodle
1
DoubleClick
4
Doze モード
1
drive
2
DSA
1
DSC
1
DX
1
Dynamic Links
3
EarlGrey
1
Easter Egg
1
ECMAScript 2015
1
Eddystone
4
Edge
1
egypt
1
encoder
1
Encryption
1
English
2
Envoy
1
error
1
ES2015
1
ES2016
1
ES6
2
ES7
1
Event
6
events
1
extensions
1
Featured
25
Feed
2
feed-based extensions
3
feeds
1
FIDO
6
filter
1
final release
1
Firebase
120
Firebase Admin SDK
6
Firebase Analytics
10
Firebase Auth
4
Firebase Cloud Messaging
10
Firebase Crashlytics
2
Firebase Database
5
firebase for games
1
Firebase Libraries
1
Firebase Notifications
1
Firebase Performance
3
Firebase Remote Config
6
firebase summit
1
Flash
1
FLEDGE
1
FLoC
2
Flutter
6
Flutter App Development
1
font
3
fraud
1
G Suite
19
game
43
Game Developers Conference 2018
1
Game Developers Conference 2019
1
Game Development
1
gaming
1
gaql
8
Gboard
2
gc_datacloud
1
GCCN
1
GCP
17
GCPUG
1
GDC
1
GDD11JP
56
GDD2010JP
23
GDE
2
GDG
21
GDG Cloud
1
Geo
55
Gingerbread
1
GLIDE
5
Gmail
6
Gmail API
3
Go
1
Go Checksum Database
1
golang
5
goo.gl
1
Google
8
Google account
1
Google Analytics
4
Google API
1
Google Apps
14
Google Apps Script
4
Google Assistant
13
Google Assistant SDK
2
Google Binary Transparency
1
Google Cast
8
Google Chat
2
Google Cloud
37
Google Cloud Day
6
google cloud innovators
1
Google Cloud INSIDE Digital
2
Google Cloud INSIDE Games & Apps
9
Google Cloud INSIDE Media
1
Google Cloud INSIDE Retail
3
Google Cloud Messaging
11
Google Cloud Platform
16
Google Code-in
1
Google Dev Library
1
Google Developer Experts
2
Google Developers Academy
1
Google Developers live
5
Google Developers Summit
2
Google Drive
6
Google Earth
1
Google Fit
2
Google for Games
2
Google for Mobile
2
Google for Startups
7
Google for Work
1
Google I/O
19
Google Identity Services
5
Google Impact Challenge
1
Google Maps
69
Google Maps Platform
63
Google ML Summit
2
Google Open Source Peer Bonus
1
Google Pay
5
Google Photo
1
Google Play
148
Google Play App Safety
1
Google Play Billing
1
Google Play Console
15
Google Play developer distribution agreement
1
Google Play Developer Policies
2
Google Play Game Services
10
Google Play Instant
1
Google Play Services
23
Google Play Store
1
Google Play アプリ署名
1
Google Plus
14
Google Search
8
Google Sheets API
3
Google Sign-In
16
Google Slides API
5
Google Summer of Code
1
Google Tag Manager
1
Google Tensor
1
Google Trust Services
3
Google マップ
4
google_ads_api_v6
1
Google+
2
Googleapps
10
GoogleCloud
4
GoogleCloudDay
5
GoogleCloudInside
1
googlecloudlearn
1
googlecloudnext
2
GoogleGames
1
GoogleI/O
30
GoogleLabs
1
GooglePlay
3
GoogleTV
1
GPS
1
Gradle
1
Growth Academy
1
gRPC
2
GTUG
5
GWT
2
hack4jp
2
hackathon
7
handson
1
Hangouts Chat
3
Hosting
3
hotel
1
HTML5
17
HTML5Rocks
1
HTTP/2
5
HTTPS
16
I/O Extended
5
ID Token
1
Identity
17
Identity Toolkit
1
IGF2010
4
IGF2020
2
Ignite
4
IME
12
Indie Game
7
Indie Games Festival
7
Indie Games Festival 2018
2
Indie Games Festival 2019
12
Indie Games Festival 2020
7
Inevitable ja Night
30
innovators hive
2
Insights
1
Instagram
1
Instant Apps
6
intern
2
Invites
1
IO19
3
iOS
22
IoT
7
IPv6
1
Issue Tracker
2
IWD
1
Japanese
6
Japanese Developer
1
Japanese Input
1
java
1
JavaScript
13
Jetpack
5
Jetpack Compose
4
Journeys
1
K-12
1
Key Transparency
1
Knowledge Graph
1
Kotlin
25
Kotlin Android Extensions
1
Kotlin Beginners
3
Kotlin Vocabulary
2
Kubernetes
3
l10n
8
latest
18
latest news
1
launch
1
LaunchPad
2
lifull
1
Lighthouse
1
LINE
1
Local AI
1
Location
1
Lollipop
10
Machine Learning
29
MAD Skills
2
MADSkills
2
Maker Faire Tokyo
1
maps compose
1
Maps JavaScript API
3
maps transportation
1
Marshmallow
10
Material
1
Material Design
31
MDL
1
MDN
1
Messaging
1
metrics
1
MIDI
2
migration
1
mikan
1
Mixed Contents
4
ML
1
ML Kit
12
mlops
1
Mobile
15
Mobile Bootcamp
4
mobile optimized maps
1
Mobile Sites certification
1
Mobile Vision
4
mod_pagespeed
1
Model Maker
1
monetization
2
monetize
3
Mozc
15
Music
1
NativeDriver
2
NativeScript
1
Navigation
1
NBU
1
ndk
3
Nearby
5
News
1
Next Extended
1
Next Tokyo
3
Nexus
2
Nexus S
1
NFC
1
Node.js
3
notifications
2
Noto CJK
1
Now in Android
13
NPAPI
2
NPN
1
oauth
17
officehour
1
One Tap
1
online security
1
open source
6
OpenAI
1
opencensus
1
opencloudsummit
1
OpenGL
4
OpenID
3
OpenID Connect
4
OpenSocial
1
opensource
18
OpenTitan
1
Optimization
1
OSV
1
Page Experience
1
Password Manager
4
Payment
8
Payment Handler API
1
Payment Request API
2
PDF
1
PEM
33
people
2
People API
3
Performance
16
Performance budget
1
Performance Monitoring
1
performance report
1
permissions
1
personalization
1
PersonFinder
1
phone
1
Physical Web
3
Pi
1
Pixel
3
Place Picker
1
placements
1
places SDK
1
Platform Stability
1
Play Billing
2
Play Billing Library
2
Play Console
2
Player Analytics
4
Playtime 2017
1
Policy
8
policy compliance
2
policy violations
2
Polymer
7
pricing
1
privacy
15
Privacy Sandbox
22
Progressive Web Apps
14
project hosting
1
Promise
2
Promo code
1
Protocol Buffers
1
PRPL
1
publicdata
1
Push API
1
Push Notification
6
PWA
4
Python
2
query builder
8
query validator
1
QUIC
2
quick builder
1
QWIKLABS
3
RAIL
1
raspberry pi
1
React
1
React Native
2
reactive programming
1
Realtime Database
9
Recap Live Japan 2019
3
reCaptcha
1
Redux
1
release
7
Remote Config
4
Remote Display API
1
Requirements
1
Resonance Audio
1
resource type
1
Rewarded Video Ads
2
rmf
2
RSS
1
Run on OS Login
1
Runtime Permission
1
Rust
1
Safe Browsing
3
safety
1
Sample Code
2
Santa Tracker
1
schedule
1
schema
2
schema.org
1
Scorecards
1
script
2
sdk
1
search central
1
secur
1
Secure Element
1
security
83
selfie
1
Service Worker
4
SHA-1
1
Sigstore
3
Site Isolation
1
sketchup
1
SLSA
1
smart displays
1
smart home
1
SmartLock for Passwords
5
social
4
Social Good
1
Social Media
1
software development
1
SPDY
3
speak2tweet
1
speaker
1
Spectre
2
Spreadsheet
3
ssc
1
SSR
1
stable release
1
startup
7
Storage
3
story
2
streetview
3
Study Jams
9
subscriptions
5
sunset
8
Swift
2
SwiftShader
1
Symantec
1
tag
1
tapple
1
Task
4
Team Drive
1
techtalk
13
TensorFlow
43
TensorFlow Federated
1
TensorFlow Lite
8
TensorFlow Object Detection API
1
TensorFlow Probability
2
TensorFlow.js
4
test
4
Test Lab
6
TF Certificate
2
TFX
1
The Fast and the Curious
10
Titan M2
1
Titan Security Key
1
TLS
1
Topics
1
ToS
1
trace
1
Transliteration
1
Transparency
1
Trust
1
Trusted Web Activity
1
Trusty OS
1
TrustZone
1
Twitter
1
UA-CH
1
Udacity
20
Unity
3
update
1
usecase
1
User Agent string
2
UX
5
v10
2
v3
1
v4
1
v5
1
v6.1
1
v7
2
V8
5
valuetrack
1
Verifiable Design
1
VP9
1
VR
11
Vulkan
2
Watch Face
2
wave
2
Wear OS
3
Weave
1
Web
36
Web Animations
1
Web Components
9
Web Manifest
1
Web Packaging
3
Web Stories
3
Web Story
3
Web Vitals
7
web.dev
1
WebAssembly
5
WebAuthn
1
WebGL
4
Webhook
1
WebM
1
WebMusic
5
WebRTC
1
WebView
1
Women in Gaming
1
Women Techmakers
1
Women Techmakers Scholars Program
1
WomenDeveloperAcademy
1
Wordpress
2
workmanager
1
WTM
7
Xcode
1
YouTube
18
YouTube API
1
インタビュー
1
コードサンプル
1
サプライ チェーン
1
プライバシー
1
機械学習
3
言論の自由
1
節電
3
定期購入
1
東日本大震災
9
日本語入力
41
ブログ アーカイブ
2022
5
4
3
2
1
2021
12
11
10
9
8
7
6
5
4
3
2
1
2020
12
11
10
9
8
7
6
5
4
3
2
1
2019
12
11
10
9
8
7
6
5
4
3
2
1
2018
12
11
10
9
8
7
6
5
4
3
2
1
2017
12
11
10
9
8
7
6
5
4
3
2
1
2016
12
11
10
9
8
7
6
5
4
3
2
1
2015
12
11
10
9
8
7
6
5
4
3
2
2014
12
11
10
9
8
7
6
5
4
3
2
1
2013
12
11
10
9
8
7
6
5
4
3
2
1
2012
12
11
10
9
8
7
6
5
4
3
2
1
2011
12
11
10
9
8
7
6
5
4
3
2
1
2010
12
11
Feed
Follow @googledevjp
"プロダクトに関するご意見は
プロダクトフォーラム
にお願いします"