Una actualización sobre la adopción de Android TLS


Publicado por Bram Bonné, ingeniero de application sénior, Android System Stability y Chad Brubaker, ingeniero de software program de private, Android System Safety

Ilustración de banner con varios dispositivos y controlador de juegos

Android se compromete a mantener seguros a los usuarios, sus dispositivos y sus datos. Una de las formas en que mantenemos los datos seguros es protegiendo el tráfico de purple que ingresa o sale de un dispositivo Android con Transport Layer Stability (TLS).

Android 7 (nivel de API 24) introducido el Configuración de seguridad de pink en 2016, permitiendo a los desarrolladores de aplicaciones configurar la política de seguridad de pink para su aplicación a través de un archivo de configuración declarativo. Para garantizar que las aplicaciones sean seguras, las aplicaciones destinadas a Android 9 (nivel de API 28) o superior tienen automáticamente un política configurado de forma predeterminada que evita el tráfico sin cifrar para cada dominio.

Hoy, nos complace anunciar que el 80% de las aplicaciones de Android están encriptando el tráfico de forma predeterminada. El porcentaje es aún mayor para las aplicaciones dirigidas a Android 9 y superiores, con el 90% de ellas encriptando el tráfico de forma predeterminada.

Porcentaje de aplicaciones que bloquean texto sin formato de forma predeterminada.

Porcentaje de aplicaciones que bloquean texto sin formato de forma predeterminada.

Desde el 1 de noviembre de 2019, Todas las aplicaciones (actualizaciones y todas las aplicaciones nuevas en Google Perform) deben apuntar al menos a Android 9. Como resultado, esperamos que estos números continúen mejorando. El tráfico de crimson de estas aplicaciones es seguro de forma predeterminada y cualquier uso de conexiones no cifradas es el resultado de una elección explícita del desarrollador.

Los últimos lanzamientos de Android Studio y Google Participate in informe previo al lanzamiento advierte a los desarrolladores cuando su aplicación incluye una configuración de seguridad de crimson potencialmente insegura (por ejemplo, cuando permiten el tráfico no cifrado para todos los dominios o cuando aceptan certificados proporcionados por el usuario fuera del modo de depuración). Esto fomenta la adopción de HTTPS en todo el ecosistema de Android y garantiza que los desarrolladores conozcan su configuración de seguridad.

Ejemplo de una advertencia que se muestra a los desarrolladores en Android Studio.

Ejemplo de una advertencia que se muestra a los desarrolladores en Android Studio.

Ejemplo de una advertencia que se muestra a los desarrolladores como parte del informe previo al lanzamiento.

Ejemplo de una advertencia que se muestra a los desarrolladores como parte de informe previo al lanzamiento.

¿Qué puedo hacer para asegurar mi aplicación?

Para las aplicaciones dirigidas a Android 9 y top-quality, el valor predeterminado predeterminado es cifrar todo el tráfico de crimson en tránsito y confiar solo en los certificados emitidos por una autoridad en el conjunto estándar de CA de Android sin requerir ninguna configuración adicional. Las aplicaciones pueden proporcionar una excepción a esto solo al incluir un archivo de configuración de seguridad de pink separado con excepciones cuidadosamente seleccionadas.

Si su aplicación necesita permitir el tráfico a ciertos dominios, puede hacerlo incluyendo un archivo de configuración de seguridad de red que solo incluya estas excepciones a la política de seguridad predeterminada. Tenga en cuenta que debe tener cuidado con los datos recibidos a través de conexiones inseguras, ya que podrían haber sido manipulados en tránsito.


    
    
        insecure.instance.com
        insecure.cdn.example.com
    

Si su aplicación necesita poder aceptar certificados especificados por el usuario para fines de prueba (por ejemplo, conectarse a un servidor area durante la prueba), asegúrese de ajustar su elemento dentro de un elemento. Esto garantiza que las conexiones en la versión de producción de su aplicación sean seguras.


    
        
            
        
    

¿Qué puedo hacer para asegurar mi biblioteca?

Si su biblioteca crea conexiones seguras / inseguras directamente, asegúrese de que respeta la configuración de texto sin cifrar de la aplicación marcando isCleartextTrafficPermitted antes de abriendo cualquier conexión de texto claro.

Android bibliotecas de redes incorporadas y otras bibliotecas HTTP populares como OkHttp o Voleo tienen soporte de configuración de seguridad de purple incorporado.

Equipos de Giles Hogben, Nwokedi Idika, Android System Stability, Android Studio y Pre-Launch Report



Enlace a la noticia primary