Android開發者要注意了,現在Google要在最新的Android P上,預設封鎖所有未加密的App網路連線,因此無論是Android裝置接受或是發送的流量,未來都不能明碼傳輸,而Android Nougat和Oreo不受影響。

Google在Android P開發人員預覽版中就預告了這項政策。因為考量所有的網路環境都有潛在敵意,因此應該以加密來處理所有網路連結,Android資深軟體安全工程師Chad Brubaker表示,移動裝置受到的威脅尤其嚴重,因為使用者常在咖啡店或是車站等不同的公共場所連接網路。

Chad Brubaker強調,無論傳輸的資料內容是什麼,都應該要加密,因為沒有加密的網路連結可能受到注入攻擊,增加客戶端已存的程式碼漏洞造受攻擊的可能性。

Android P上所有的App都需要使用TLS加密,而對於普遍認為加密將導致連線速度變慢的誤解,Chad Brubaker特別提到,並不會。至於App對少數老舊伺服器的連線,非得使用明碼傳輸的應用,開發者需要改變App的網路安全設定,以允許這些連線。

Google一路在Android的發展,逐步的增加對明碼傳輸的限制,以避免意料之外的未加密連線,所造成的安全風險。在Android Marshmallow中加入了usesCleartextTraffic清單屬性,Android Nougat中的網路安全配置則擴充了該屬性,能讓App在未加密的情況下不傳輸資料,不過在Android Nougat和Oreo都還是允許明碼傳輸的。


Advertisement

更多 iThome相關內容