谷歌称Android 14中改进隐私和安全

谷歌本周宣布推出第一个 Android 14 开发者预览版，并分享了平台更新将带来的一些安全和隐私改进的细节。

Android 14 预计将于秋季某个时候登陆设备，它带来了新功能和 API，以及可能影响应用程序的行为变化。开发人员预览版的目的是帮助应用程序开发人员了解这些更改并测试他们的应用程序是否存在兼容性问题。

平台更新将带来的安全增强功能之一与运行时接收器有关，并建立在 Android 13 中引入的更改的基础上，当时谷歌指示开发人员指定其应用程序注册的广播接收器是否应该对设备上的其他应用程序可见。

在 Android 13 之前，任何应用程序都可以向不受签名权限保护的动态注册接收器发送不受保护的广播。

为了帮助保护应用程序免受安全漏洞的影响，“针对 Android 14 并使用上下文注册接收器的应用程序和服务需要指定一个标志，以指示接收器是否应该导出到设备上的所有其他应用程序，”谷歌说。

Android 14还试图通过限制应用程序在内部发送未指定包的意图来保护应用程序免受可能拦截意图的恶意软件的侵害。

此外，应用程序现在可以仅向导出的组件发送隐式意图，并且“必须使用显式意图传递给未导出的组件，或者将组件标记为已导出”，这家互联网巨头解释道。

为防止恶意使用动态代码加载 (DCL)，为 Android 14 构建的应用程序必须将动态加载的文件标记为只读。根据谷歌的说法，开发人员应该避免动态加载代码，因为这会使应用程序面临代码注入或代码篡改的风险。

由于部分恶意软件版本使用的 API 级别为 22（以避免 Android 6.0 引入的运行时权限模型），因此 Android 14 也会阻止安装针对 API 级别低于 23 的应用程序。但是，targetSdkVersion 低于 23 的应用程序将保持安装状态。

Android 14 还附带了Credential Manager，这是一种新的 Jetpack API，支持多种登录方法，包括联合登录解决方案和密钥，以及经典的用户名和密码对。

Credential Manager 目前处于 alpha 阶段，允许用户创建密钥并将其保存在 Google 密码管理器中，以便在 Android 和 Chrome 中跨设备进行无密码身份验证。

>>>等级保护<<< 开启等级保护之路：GB 17859网络安全等级保护上位标准 回看等级保护：重要政策规范性文件43号文（上） 网络安全等级保护实施指南培训PPT 网络安全等级保护安全物理环境测评培训PPT 网络安全等级保护：等级保护测评过程要求PPT 网络安全等级保护：安全管理中心测评PPT 网络安全等级保护：安全管理制度测评PPT 网络安全等级保护：定级指南与定级工作PPT 网络安全等级保护：云计算安全扩展测评PPT 网络安全等级保护：工业控制安全扩展测评PPT 网络安全等级保护：移动互联安全扩展测评PPT 网络安全等级保护：第三级网络安全设计技术要求整理汇总 网络安全等级保护：等级测评中的渗透测试应该如何做 网络安全等级保护：等级保护测评过程及各方责任 网络安全等级保护：政务计算机终端核心配置规范思维导图 网络安全等级保护：什么是等级保护？ 网络安全等级保护：信息技术服务过程一般要求 网络安全等级保护：浅谈物理位置选择测评项 网络安全等级保护：如何各方共同参与做好定级与备案工作 网络安全等级保护：网络安全等级保护实施思维导图 网络安全等级保护：27号文确立等级保护为基本制度 网络安全等级保护：等级保护测评过程及各方责任 网络安全等级保护：密钥生存周期及检查思维导图 网络安全等级保护：等级保护中的密码技术 网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图 网络安全等级保护：应急响应计划规范思维导图 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载 闲话等级保护：什么是网络安全等级保护工作的内涵？ 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求 闲话等级保护：测评师能力要求思维导图 闲话等级保护：应急响应计划规范思维导图 闲话等级保护：浅谈应急响应与保障 闲话等级保护：如何做好网络总体安全规划 闲话等级保护：如何做好网络安全设计与实施 闲话等级保护：要做好网络安全运行与维护 闲话等级保护：人员离岗管理的参考实践 信息安全服务与信息系统生命周期的对应关系 >>>工控安全<<< 工业控制系统安全：信息安全防护指南 工业控制系统安全：工控系统信息安全分级规范思维导图 工业控制系统安全：DCS防护要求思维导图 工业控制系统安全：DCS管理要求思维导图 工业控制系统安全：DCS评估指南思维导图 工业控制系统安全：DCS风险与脆弱性检测要求思维导图 工业控制安全：工业控制系统风险评估实施指南思维导图 工业控制系统安全：安全检查指南思维导图（内附下载链接） >>>数据安全<<< 数据治理和数据安全 数据安全风险评估清单 成功执行数据安全风险评估的3个步骤 美国关键信息基础设施数据泄露的成本 备份：网络和数据安全的最后一道防线 数据安全：数据安全能力成熟度模型 数据安全知识：什么是数据保护以及数据保护为何重要？ 信息安全技术：健康医疗数据安全指南思维导图 金融数据安全：数据安全分级指南思维导图 金融数据安全：数据生命周期安全规范思维导图 >>>供应链安全<<< 美国政府为客户发布软件供应链安全指南 OpenSSF 采用微软内置的供应链安全框架 供应链安全指南：了解组织为何应关注供应链网络安全 供应链安全指南：确定组织中的关键参与者和评估风险 供应链安全指南：了解关心的内容并确定其优先级 供应链安全指南：为方法创建关键组件 供应链安全指南：将方法整合到现有供应商合同中 供应链安全指南：将方法应用于新的供应商关系 供应链安全指南：建立基础，持续改进。 思维导图：ICT供应链安全风险管理指南思维导图 英国的供应链网络安全评估 >>>其他<<< 网络安全十大安全漏洞 安全从组织内部人员开始 VMware 发布9.8分高危漏洞补丁 影响2022 年网络安全的五个故事 2023年的4大网络风险以及如何应对 网络安全知识：物流业的网络安全 网络安全知识：什么是AAA（认证、授权和记账）？ 全球数十家网络安全公司宣布裁员 CISO会成为优秀的管理层成员的价值和意义 网络安全裁员对网络安全招聘的影响 分析显示：98% 的公司的供应链关系已被破 网络安全预算逐年增加违规问题不降反增 300多页网络安全知识小册子2023版下载

原文始发于微信公众号（祺印说信安）：谷歌称Android 14中改进隐私和安全