Sempre que o Android recebe uma atualização, há mudanças que não podemos ver. Há muita coisa acontecendo por trás da tela inicial e é preciso um exército de desenvolvedores para manter um software tão complexo quanto o Android em execução. Com Android Oreo, algumas mudanças importantes estão em segundo plano que reforçam a segurança e a privacidade do usuário.
Como usuários, estamos mais preocupados com o que podemos ver ou fazer; coisas como estar atento ao instalar aplicativos aleatórios ou não abrir anexos de e-mail de pessoas que não conhecemos. Mas o trabalho pesado continua nos bastidores e trabalhar para impedir que qualquer conteúdo malicioso que possamos encontrar ganhe uma posição é uma prioridade. O Oreo tem uma longa lista de mudanças e recursos nessa frente.
- O Android Oreo não oferece mais suporte a SSLv3 (Secure Sockets Layer versão 3.0). O SSLv3 está desatualizado e provou ser inseguro e, ao mesmo tempo, Recomendação do IETF (Força-Tarefa de Engenharia da Internet; um grupo que define uma espécie de padrão para comunicação na Internet) foi completamente desmantelado em favor de um novo método de segurança de comunicação, TLS (Transport Layer Security) 1.2.
Além disso, quando você tenta se conectar a um servidor que não está usando TLS 1.2 corretamente, o Android Oreo não tentará mais voltar para uma versão anterior como solução alternativa. Seu telefone executando Oreo simplesmente não se conecta a servidores da Web inseguros, e isso é incrível.
- O Android 8.0 aplica um Filtro de computação segura a todas as aplicações. A lista de maneiras pelas quais um aplicativo pode se comunicar diretamente com o kernel foi reduzida. Estes têm sido tradicionalmente um método popular para tentar uma exploração do kernel para obter privilégios de nível administrativo. É mais difícil do que nunca para qualquer tipo de malware obter root.
- Os objetos WebView agora são executados no modo multiprocesso. Todos os aplicativos que obtêm conteúdo da Web agora mostram esse conteúdo em sua própria caixa de proteção isolada, onde não há acesso a nenhum dado do aplicativo. Um site que tenta roubar suas informações não encontrará informações para roubar!
- Os aplicativos em execução não podem mais assumir outro os aplicativos estão em um local genérico e precisarão solicitar ao próprio sistema que transmita os dados para seu diretório de origem real. Não saber onde encontrar um aplicativo significa que é muito mais difícil explorar quaisquer vulnerabilidades nele.
- O Android Oreo agora lida com seus dados de identificação exclusivos de maneira diferente. Antes do Android 8.0, um ID Android exclusivo era gerado quando um dispositivo era configurado pela primeira vez. Esse ID era constante e os desenvolvedores podiam usá-lo para verificar um usuário ao recuperar dados da nuvem. Com Oreo, um ID baseado na chave de assinatura dos desenvolvedores de aplicativos (uma ferramenta usada para verificar se um aplicativo é original e não foi adulterado com) nosso Android Advertising ID (uma função do Play Services e algo que podemos apagar ou desativar) e o dispositivo real EU IA. Cada instância do Android ID agora é diferente e isolada do aplicativo que o gerou.
Isso aumenta a aposta na privacidade do usuário, pois um desenvolvedor não pode rastrear usuários de um aplicativo com outro aplicativo ou compartilhar dados do usuário com base no ID com outros aplicativos.
Isso se aplica á cada aplicativo, não apenas aplicativos direcionados ao Android O. Mas há uma ressalva: os aplicativos instalados antes de uma atualização do sistema Android O ainda usarão o ID antigo. Você precisará desinstalá-los e reinstalá-los se quiser usar uma maneira única e segura de verificar sua identidade.
- O sistema de "fontes desconhecidas" de instalação de aplicativos de fora do Google Play foi completamente reformulado.
Mais: Veja por que o sideload de aplicativos é mais seguro com o Android Oreo
O Google também faz outras coisas para ajudar a reduzir ameaças de malware e segurança. Recentemente, vimos o Google Play Protect como uma nova marca para dispositivos de varejo cobertos pelo serviço de verificação de aplicativos habilitado para aprendizado de máquina do Google e patches mensais para exploits de segurança ajudam a atualizar o próprio Android contra novos problemas de segurança.
Ainda devemos estar atentos ao que instalamos, mas é bom saber que a equipe de segurança do Android nos protege.