Google在Android P上默认开启TLS

2018-04-1506:49:19 发表评论

谷歌表示,针对下一版Android(Android P)的应用程序默认需要使用加密连接。

Google在Android P上默认开启TLS

为确保用户数据和设备的安全,该公司正在保护传输层安全(TLS)的Android设备上的所有入站和出站数据。因此,默认情况下,Android P上的应用程序不再允许使用未加密的连接。

这是互联网巨头为防止Android用户受到更好保护而采取的最新措施,防止了Android(6.0)棉花糖意外未加密的连接。

该搜索公司还向Android(7.0)Nougat添加了网络安全配置功能,允许应用表明他们不打算在没有加密的情况下发送网络流量。

但是,Android Nougat和Oreo仍然允许使用明文连接,这是为了传统用途所必需的,例如与旧服务器建立连接。

谷歌表示,在目前可用的开发人员预览版的Android P中,TLS默认开启。已经为所有连接使用协议的应用程序不会受到更改的影响,但不应更新那些使用TLS来加密通信的应用程序。

Android安全性高级软件工程师Chad Brubaker在一篇博客文章中指出:“Android认为所有网络都可能具有敌意性,因此加密流量应该始终用于所有连接。

他还指出,移动设备存在风险,因为它们连接到不同的网络,包括公共Wi-Fi热点。

Brubaker说:“所有流量都应该加密,无论内容如何,​​因为任何未加密的连接都可以用于注入内容,增加潜在易受攻击的客户端代码的攻击面,或追踪用户。

要更新其应用程序以使用TLS,开发人员只需将协议实施到其服务器,然后将应用程序中的所有URL和服务器响应更改为HTTPS。在制作套接字时,开发人员应该使用SSLSocketFactory而不是SocketFactory,Brubaker指出。

对于仍然需要用于传统目的的明文连接的应用程序,应该对应用程序的网络安全配置进行更改以允许此类连接。

如果应用程序支持通过不安全连接从链接打开任意内容,则Brubaker建议,在启用任意主机时,应禁用与开发人员服务器的明文连接。

谷歌长期以来一直倡导采用基于HTTP的HTTPS,并在几年前开始将加密页面推到搜索结果列表的顶部。其他公司也在推动加密的互联网,包括Apple,GitHub,WordPress等。

CE安全网
CE安全网广告位招租

发表评论

您必须登录才能发表评论!