Android 14: разбор обновлений безопасности

Позавчера Google официально выпустила Android 14.

Внимание общественности, ожидаемо, привлекли косметические нововведения, но обновлениям безопасности было отведено несправедливо мало внимания. Редакция OL закрывает этот пробел — мы изучили официальные заметки обновлений и документацию, собрали для вас самое интересное и добавили разъяснений. Список получился занимательным.

📌 Повышена безопасность динамической загрузки кода Файлы динамической загрузки приложений теперь должны быть помечены как read-only — прощай запуск воспроизводимого кода без ведома пользователя.

📌 Запрет на установку приложений, нацеленных на SDK 23 SDK 23 соответствует версии Android 6.0 Marshmallow, а запрет подтолкнёт разработчиков использовать новые API и возможности безопасности, появившиеся в более поздних версиях Android.

📌 Скрытие имен пакетов мультимедиа, — то есть пакетов, которым принадлежат медиафайлы. Мера для защиты конфиденциальности владельцев этого контента. Теперь приложения не смогут получить имена пакетов без дополнительных привилегий.

📌** Предотвращение траверса пути ZIP** *Траверс пути позволяет получить доступ к файлам за пределами ZIP архива. В Android 14 на имена ZIP накладываются ограничения в целях защиты от эксплуатации этого типа уязвимости. *

📌 Требование согласия на захват экрана Теперь приложения должны запрашивать согласие пользователя перед каждой сессией захвата экрана

Есть ещё два нововведения, находящихся чуть глубже “под капотом”: ограничение неявных интентов (интенты используются для взаимодействия между приложениями, а ограничения помогут предотвратить нежелательную утечку данных), а также требование экспорта «приёмников» — компонентов приложений, реагирующих на системные события* (нововведение поможет контролировать доступ к *этим компонентам).

Ждём вендоров и обновляемся!

Свежее