ตั้งแต่ปี 2026 เป็นต้นไป เราจะเผยแพร่ซอร์สโค้ดไปยัง AOSP ในไตรมาสที่ 2 และ 4 เพื่อให้สอดคล้องกับโมเดลการพัฒนาที่เสถียรของ Trunk และรับประกันความเสถียรของแพลตฟอร์มสำหรับระบบนิเวศ เราขอแนะนำให้ใช้ android-latest-release แทน aosp-main ในการสร้างและมีส่วนร่วมใน AOSP android-latest-release สาขาไฟล์ Manifest จะอ้างอิงถึงรุ่นล่าสุดที่พุชไปยัง AOSP เสมอ ดูข้อมูลเพิ่มเติมได้ที่การเปลี่ยนแปลงใน AOSP

การอัปเดตและแหล่งข้อมูลด้านความปลอดภัย

ทีมรักษาความปลอดภัยของ Android มีหน้าที่รับผิดชอบในการจัดการช่องโหว่ด้านความปลอดภัยที่ค้นพบใน แพลตฟอร์ม Android และแอปหลักของ Android หลายแอปที่มาพร้อมกับอุปกรณ์ Android

ทีมรักษาความปลอดภัยของ Android พบช่องโหว่ด้านความปลอดภัยผ่านการวิจัยภายในและยัง ตอบกลับข้อบกพร่องที่บุคคลที่สามรายงานด้วย แหล่งที่มาของข้อบกพร่องภายนอก ได้แก่ ปัญหาที่รายงานผ่านแบบฟอร์มช่องโหว่ งานวิจัยทางวิชาการที่เผยแพร่และยังไม่เผยแพร่ ผู้ดูแลโปรเจ็กต์โอเพนซอร์สต้นทาง การแจ้งเตือนจากพาร์ทเนอร์ผู้ผลิตอุปกรณ์ และปัญหาที่เปิดเผยต่อสาธารณะซึ่งโพสต์ใน บล็อกหรือโซเชียลมีเดีย

รายงานปัญหาด้านความปลอดภัย

นักพัฒนาแอป ผู้ใช้ Android หรือนักวิจัยด้านความปลอดภัยทุกคนสามารถแจ้งให้ทีมรักษาความปลอดภัยของ Android ทราบเกี่ยวกับ ปัญหาด้านความปลอดภัยที่อาจเกิดขึ้นผ่านแบบฟอร์มช่องโหว่ ได้

ข้อบกพร่องที่ทำเครื่องหมายว่าเป็นปัญหาด้านความปลอดภัยจะไม่ปรากฏต่อภายนอก แต่ในที่สุดอาจปรากฏ หลังจากประเมินหรือแก้ไขปัญหาแล้ว หากคุณวางแผนที่จะส่งแพตช์หรือ การทดสอบชุดเครื่องมือทดสอบความเข้ากันได้ (CTS) เพื่อแก้ไขปัญหาด้านความปลอดภัย โปรดแนบแพตช์หรือการทดสอบดังกล่าวไปกับรายงานข้อบกพร่อง และรอการตอบกลับก่อนอัปโหลดโค้ดไปยัง AOSP

คัดแยกข้อบกพร่อง

งานแรกในการจัดการช่องโหว่ด้านความปลอดภัยคือการระบุความรุนแรงของข้อบกพร่องและ คอมโพเนนต์ของ Android ที่ได้รับผลกระทบ ความรุนแรงจะเป็นตัวกำหนดลำดับความสำคัญของปัญหา และคอมโพเนนต์จะเป็นตัวกำหนดผู้ที่แก้ไขข้อบกพร่อง ผู้ที่จะได้รับการแจ้งเตือน และวิธีที่การแก้ไขจะได้รับการติดตั้งใช้งาน แก่ผู้ใช้

ประเภทบริบท

ตารางนี้ครอบคลุมคำจำกัดความของบริบทด้านความปลอดภัยของฮาร์ดแวร์และซอฟต์แวร์ บริบทสามารถ กำหนดได้ตามความละเอียดอ่อนของข้อมูลที่มักจะประมวลผลหรือพื้นที่ที่ทำงาน บริบทความปลอดภัยบางอย่างอาจใช้ไม่ได้กับบางระบบ ตารางนี้จัดเรียงจากสิทธิ์น้อยที่สุดไปมากที่สุด

ประเภทบริบท	คำจำกัดความของประเภท
บริบทที่จำกัด	สภาพแวดล้อมการดำเนินการที่จำกัดซึ่งมีเพียงสิทธิ์ขั้นต่ำที่สุด เท่านั้น เช่น แอปที่เชื่อถือได้ซึ่งประมวลผลข้อมูลที่ไม่น่าเชื่อถือภายในสภาพแวดล้อมแซนด์บ็อกซ์
บริบทที่ไม่มีสิทธิ์	สภาพแวดล้อมการดำเนินการทั่วไปที่โค้ดที่ไม่มีสิทธิ์คาดหวัง เช่น แอป Android ที่ทำงานในโดเมน SELinux ที่มีแอตทริบิวต์ `untrusted_app_all`
บริบทที่มีสิทธิ์	สภาพแวดล้อมการดำเนินการที่มีสิทธิ์ซึ่งอาจมีสิทธิ์เข้าถึงสิทธิ์ที่สูงขึ้น แฮนเดิล PII ของผู้ใช้หลายคน และ/หรือรักษาความสมบูรณ์ของระบบ เช่น แอป Android ที่มีความสามารถซึ่ง SELinux `untrusted_app` ไม่อนุญาต หรือมีสิทธิ์เข้าถึง `privileged\|signature`
เคอร์เนลของระบบปฏิบัติการ	ฟังก์ชันการทำงานที่ เป็นส่วนหนึ่งของเคอร์เนล ทำงานในบริบท CPU เดียวกันกับเคอร์เนล (เช่น ไดรเวอร์อุปกรณ์) มีสิทธิ์เข้าถึงหน่วยความจำเคอร์เนลโดยตรง (เช่น คอมโพเนนต์ฮาร์ดแวร์ในอุปกรณ์) มีความสามารถในการโหลดสคริปต์ลงในคอมโพเนนต์เคอร์เนล (เช่น eBPF) เป็นหนึ่งในบริการของผู้ใช้เพียงไม่กี่รายการที่ถือว่าเทียบเท่าเคอร์เนล (เช่น `apexd`, `bpfloader`, `init`, `ueventd` และ `vold`)
ฐานฮาร์ดแวร์ที่เชื่อถือได้ (THB)	คอมโพเนนต์ฮาร์ดแวร์แบบแยก โดยทั่วไปจะอยู่ใน SoC ซึ่งมีฟังก์ชันการทำงานที่สำคัญ ต่อ Use Case หลักของอุปกรณ์ (เช่น แถบความถี่พื้นฐานของเครือข่ายมือถือ, DSP, GPU และโปรเซสเซอร์ ML )
Bootloader Chain	คอมโพเนนต์ที่กำหนดค่าอุปกรณ์เมื่อบูต จากนั้นส่งการควบคุมไปยังระบบปฏิบัติการ Android
สภาพแวดล้อมการดำเนินการที่เชื่อถือได้ (TEE)	คอมโพเนนต์ที่ออกแบบมาเพื่อป้องกันแม้แต่เคอร์เนลของระบบปฏิบัติการที่เป็นอันตราย (เช่น TrustZone และไฮเปอร์ไวเซอร์ เช่น pKVM ซึ่งปกป้องเครื่องเสมือนจากเคอร์เนลของระบบปฏิบัติการ )
Secure Enclave / องค์ประกอบความปลอดภัย (SE)	คอมโพเนนต์ฮาร์ดแวร์ที่ไม่บังคับซึ่งออกแบบมาเพื่อป้องกันจากคอมโพเนนต์อื่นๆ ทั้งหมดใน อุปกรณ์และจากการโจมตีทางกายภาพ ตามที่กำหนดไว้ใน ข้อมูลเบื้องต้นเกี่ยวกับองค์ประกอบที่ปลอดภัย ซึ่งรวมถึงชิป Titan-M ที่มีอยู่ในอุปกรณ์ Android บางรุ่น

ความรุนแรง

โดยทั่วไปแล้ว ความรุนแรงของข้อบกพร่องจะแสดงถึงอันตรายที่อาจเกิดขึ้นหากมีการใช้ประโยชน์จากข้อบกพร่อง ได้สำเร็จ ใช้เกณฑ์ต่อไปนี้เพื่อกำหนดความรุนแรง

การจัดประเภท	ผลที่ตามมาของการใช้ประโยชน์ที่สำเร็จ
วิกฤต	การดำเนินการโค้ดโดยไม่มีกฎเกณฑ์ใน TEE หรือ SE การข้ามกลไกซอฟต์แวร์ที่ออกแบบมาเพื่อป้องกันไม่ให้ซอฟต์แวร์หรือฮาร์ดแวร์ที่เกี่ยวข้องกับความปลอดภัย ทำงานผิดปกติ (เช่น การป้องกันความร้อน) การเข้าถึงระยะไกลไปยังข้อมูลเข้าสู่ระบบที่ละเอียดอ่อนซึ่งใช้สำหรับการตรวจสอบสิทธิ์บริการระยะไกล (เช่น รหัสผ่านของบัญชี หรือโทเค็นสำหรับผู้ถือ) การดำเนินการกับโค้ดโดยพลการจากระยะไกลภายในบริบทของเบสแบนด์เซลลูลาร์โดยไม่ต้องมีการโต้ตอบจากผู้ใช้ (เช่น การใช้ประโยชน์จากข้อบกพร่องในบริการวิทยุเซลลูลาร์) การดำเนินการโค้ดที่กำหนดเองจากระยะไกลในบริบทที่ได้รับสิทธิ์ ห่วงโซ่ Bootloader, THB หรือ เคอร์เนลของระบบปฏิบัติการ การข้ามข้อกำหนดการโต้ตอบของผู้ใช้ในการติดตั้งแพ็กเกจหรือลักษณะการทำงานที่เทียบเท่าจากระยะไกล การข้ามข้อกำหนดการโต้ตอบของผู้ใช้จากระยะไกลสำหรับการตั้งค่าหลักของนักพัฒนาแอป ความปลอดภัย หรือความเป็นส่วนตัว การปฏิเสธการให้บริการแบบถาวรจากระยะไกล (ถาวร ต้องแฟลชระบบปฏิบัติการทั้งหมดใหม่ หรือรีเซ็ตเป็นค่าเริ่มต้น) การข้ามการเปิดเครื่องที่ปลอดภัยจากระยะไกล การเข้าถึงข้อมูลที่ SE รักษาความปลอดภัยโดยไม่ได้รับอนุญาต รวมถึงการเข้าถึงที่เปิดใช้โดยคีย์ที่ไม่รัดกุมใน SE
สูง	การข้ามฟีเจอร์ความปลอดภัยหลักโดยสมบูรณ์ (เช่น SELinux, FBE หรือ `seccomp`) การข้ามการป้องกันแบบหลายชั้นหรือเทคโนโลยีการลดช่องโหว่ในห่วงโซ่ของโปรแกรมโหลดระบบปฏิบัติการ, TEE หรือ SE การข้ามการป้องกันระบบปฏิบัติการโดยทั่วไปซึ่งจะเปิดเผยเนื้อหาในหน่วยความจำหรือไฟล์ ในขอบเขตของแอป ผู้ใช้ หรือโปรไฟล์ การโจมตี SE ที่ส่งผลให้มีการดาวน์เกรดเป็นการติดตั้งใช้งานที่มีความปลอดภัยน้อยกว่า เปลี่ยนจากเฟิร์มแวร์แบบ Bare Metal ที่ถูกบุกรุกซึ่งเข้าถึงได้จากระยะไกล (เช่น เบสแบนด์ หน่วยประมวลผลการสื่อสาร (CP)) ไปยังเคอร์เนลของหน่วยประมวลผลแอปพลิเคชัน (AP) หรือข้าม กลไกที่ออกแบบมาเพื่อแยกเฟิร์มแวร์แบบ Bare Metal ออกจากเคอร์เนลของ AP การข้ามการป้องกันอุปกรณ์ การป้องกันการรีเซ็ตเป็นค่าเริ่มต้น (ใน Android 15 ขึ้นไป) หรือ ข้อจำกัดของผู้ให้บริการ การข้ามข้อกำหนดการโต้ตอบของผู้ใช้ที่ TEE รักษาความปลอดภัย ช่องโหว่ด้านการเข้ารหัสที่อนุญาตให้โจมตีโปรโตคอลแบบต้นทางถึงปลายทาง รวมถึงการโจมตี Transport Layer Security (TLS) และบลูทูธ (BT) การเข้าถึงในเครื่องสำหรับข้อมูลเข้าสู่ระบบที่ละเอียดอ่อนซึ่งใช้สำหรับการตรวจสอบสิทธิ์บริการระยะไกล (เช่น รหัสผ่านบัญชีหรือโทเค็น Bearer) การเรียกใช้โค้ดโดยพลการในเครื่องในบริบทที่มีสิทธิ์พิเศษ เชนของ Bootloader, THB หรือ เคอร์เนลของระบบปฏิบัติการ การข้ามการเปิดเครื่องที่ปลอดภัยในเครื่อง การข้ามหน้าจอล็อก การข้ามข้อกำหนดการโต้ตอบของผู้ใช้ในเครื่องสำหรับการตั้งค่าหลักของนักพัฒนาแอป ความปลอดภัย หรือความเป็นส่วนตัว การข้ามข้อกำหนดการโต้ตอบของผู้ใช้ในเครื่องเมื่อติดตั้งแพ็กเกจหรือพฤติกรรมที่เทียบเท่า การปฏิเสธการให้บริการแบบต่อเนื่องในเครื่อง (ถาวร ต้องแฟลชระบบปฏิบัติการทั้งหมดใหม่ หรือรีเซ็ตเป็นค่าเริ่มต้น) การเข้าถึงข้อมูลที่ได้รับการปกป้องจากระยะไกล (เช่น ข้อมูลที่จำกัดเฉพาะบริบทที่มีสิทธิ์) การดำเนินการกับโค้ดโดยไม่มีกฎเกณฑ์จากระยะไกลในบริบทที่ไม่มีสิทธิ์ การปฏิเสธการให้บริการจากระยะไกลสำหรับบริการมือถือหรือ Wi-Fi ที่ยังคงอยู่จนกว่าผู้ใช้จะดำเนินการ ซึ่งทริกเกอร์โดยไม่มีการโต้ตอบของผู้ใช้ (เช่น บริการสัญญาณโทรศัพท์มือถือขัดข้องเนื่องจากแพ็กเก็ตที่ผิดรูปแบบซึ่งระบบไม่สามารถกู้คืนได้โดยอัตโนมัติ และต้องรีสตาร์ทด้วยตนเองหรือรีบูตอุปกรณ์) การข้ามข้อกำหนดในการโต้ตอบของผู้ใช้จากระยะไกล (การเข้าถึงฟังก์ชันการทำงานหรือข้อมูลที่ ควรต้องมีการเริ่มต้นหรือการให้สิทธิ์จากผู้ใช้) การป้องกันการเข้าถึงบริการช่วยเหลือฉุกเฉินแบบเจาะจง การส่งข้อมูลที่ละเอียดอ่อนผ่านโปรโตคอลเครือข่ายที่ไม่ปลอดภัย (เช่น HTTP และบลูทูธที่ไม่ได้เข้ารหัส) เมื่อผู้ขอคาดหวังว่าจะมีการส่งข้อมูลอย่างปลอดภัย โปรดทราบ ว่าการดำเนินการนี้ไม่มีผลกับการเข้ารหัส Wi-Fi (เช่น WEP) การเข้าถึงข้อมูลที่ TEE รักษาความปลอดภัยโดยไม่ได้รับอนุญาต รวมถึงการเข้าถึงที่เปิดใช้โดยคีย์ที่ไม่รัดกุม ใน TEE
ปานกลาง	การข้ามการป้องกันหลายชั้นหรือเทคโนโลยีการลดช่องโหว่ในบริบทที่ได้รับสิทธิ์ THB หรือเคอร์เนลของระบบปฏิบัติการ การข้ามการป้องกันระบบปฏิบัติการทั่วไปที่เปิดเผยสถานะกระบวนการหรือ ข้อมูลเมตาในขอบเขตของแอป ผู้ใช้ หรือโปรไฟล์ การข้ามการเข้ารหัสหรือการตรวจสอบสิทธิ์ Wi-Fi ช่องโหว่ด้านการเข้ารหัสในองค์ประกอบการเข้ารหัสมาตรฐานที่อนุญาตให้มีการรั่วไหลของ ข้อความธรรมดา (ไม่ใช่องค์ประกอบที่ใช้ใน TLS) การเข้าถึงข้อมูลที่ได้รับการปกป้องในเครื่อง (กล่าวคือ ข้อมูลที่จำกัดไว้เฉพาะบริบทที่มีสิทธิ์) การดำเนินการโค้ดโดยไม่มีกฎเกณฑ์ในเครื่องในบริบทที่ไม่มีสิทธิ์ การข้ามข้อกำหนดในการโต้ตอบของผู้ใช้ในเครื่อง (การเข้าถึงฟังก์ชันการทำงานหรือข้อมูลที่ปกติแล้วจะต้องมีการเริ่มต้นโดยผู้ใช้หรือการให้สิทธิ์จากผู้ใช้) การเข้าถึงข้อมูลที่ไม่มีการป้องกันจากระยะไกล (กล่าวคือ ข้อมูลที่ปกติแล้วแอปที่ติดตั้งในเครื่อง เข้าถึงได้) การดำเนินการกับโค้ดโดยไม่มีกฎเกณฑ์จากระยะไกลในบริบทที่จำกัด การปฏิเสธการให้บริการอุปกรณ์ชั่วคราวจากระยะไกล (ค้างหรือรีบูตจากระยะไกล)
ต่ำ	การข้ามการป้องกันหลายชั้นระดับผู้ใช้หรือเทคโนโลยีการลดความเสี่ยงจากการโจมตีในบริบทที่ไม่มีสิทธิ์ การข้ามระดับการป้องกัน ปกติ สิทธิ์ ช่องโหว่ด้านการเข้ารหัสในการใช้งานที่ไม่เป็นไปตามมาตรฐาน การข้ามฟีเจอร์การปรับเปลี่ยนในแบบของคุณในอุปกรณ์โดยทั่วไป เช่น Voice Match หรือ Face Match เอกสารที่ไม่ถูกต้องซึ่งอาจนำไปสู่ช่องโหว่ด้านความปลอดภัย การดำเนินการโค้ดโดยไม่มีกฎเกณฑ์ในเครื่องในบริบทที่มีข้อจำกัด ข้อความที่ระบบกำหนดซึ่งมีคำอธิบายที่ทำให้เข้าใจผิดซึ่งสร้างความคาดหวังด้านความปลอดภัยที่ไม่ถูกต้อง
ผลกระทบด้านความปลอดภัยที่น้อยมาก (NSI)	ช่องโหว่ที่มีการลดผลกระทบโดยตัวแก้ไขการให้คะแนนอย่างน้อย 1 รายการหรือการเปลี่ยนแปลงสถาปัตยกรรมเฉพาะเวอร์ชัน ซึ่งทำให้ความรุนแรงที่แท้จริงต่ำกว่าระดับต่ำ แม้ว่าปัญหาโค้ดพื้นฐานอาจยังคงอยู่ ช่องโหว่ที่ต้องใช้ระบบไฟล์ที่ผิดรูปแบบ หากระบบไฟล์นั้นนำมาใช้/เข้ารหัสก่อนใช้งานเสมอ การปฏิเสธการให้บริการชั่วคราวในพื้นที่ เช่น กรณีที่แก้ไขได้โดยการรีบูตอุปกรณ์หรือถอนการติดตั้ง แอปที่ทริกเกอร์

ตัวปรับแต่งความรุนแรง

แม้ว่าความรุนแรงของช่องโหว่ด้านความปลอดภัยมักจะระบุได้ง่าย แต่การจัดประเภทอาจเปลี่ยนแปลง ตามสถานการณ์

เหตุผล	เอฟเฟ็กต์
ต้องเรียกใช้ในบริบทที่มีสิทธิ์เพื่อดำเนินการโจมตี (ใช้ไม่ได้กับ TEE, SE และไฮเปอร์ไวเซอร์ เช่น pKVM)	ความรุนแรง -1
รายละเอียดเฉพาะของช่องโหว่จะจำกัดผลกระทบของปัญหา	ความรุนแรง -1
การข้ามการตรวจสอบสิทธิ์ด้วยข้อมูลไบโอเมตริกที่ต้องใช้ข้อมูลไบโอเมตริกจากเจ้าของอุปกรณ์โดยตรง	ความรุนแรง -1
การกำหนดค่าคอมไพเลอร์หรือแพลตฟอร์มช่วยลดช่องโหว่ในซอร์สโค้ด	ความรุนแรงปานกลางหากช่องโหว่พื้นฐานมีความรุนแรงปานกลางหรือสูงกว่า
ต้องมีการเข้าถึงภายในอุปกรณ์โดยตรง และยังคงทำได้แม้ว่าอุปกรณ์จะปิดอยู่หรือ ยังไม่ได้ปลดล็อกตั้งแต่เปิดเครื่อง	ความรุนแรง -1
ต้องมีการเข้าถึงภายในอุปกรณ์โดยตรงขณะที่อุปกรณ์เปิดอยู่และเคยปลดล็อกมาก่อน แล้ว	-2 ความรุนแรง
การโจมตีในเครื่องที่ต้องปลดล็อกห่วงโซ่ Bootloader	ไม่สูงกว่าต่ำ
การโจมตีในเครื่องที่ต้องใช้โหมดนักพัฒนาซอฟต์แวร์หรือการตั้งค่าโหมดนักพัฒนาซอฟต์แวร์แบบถาวรที่ เปิดใช้อยู่ในอุปกรณ์ (และไม่ใช่ข้อบกพร่องในโหมดนักพัฒนาซอฟต์แวร์เอง)	ไม่สูงกว่าต่ำ
หากไม่มีโดเมน SELinux ที่ดำเนินการภายใต้ SEPolicy ที่ Google จัดหาให้	ผลกระทบด้านความปลอดภัยเล็กน้อย

ในพื้นที่ เทียบกับใกล้เคียง เทียบกับระยะไกล

เวกเตอร์การโจมตีจากระยะไกลบ่งชี้ว่าสามารถใช้ประโยชน์จากข้อบกพร่องได้โดยไม่ต้องติดตั้งแอปหรือ ไม่ต้องเข้าถึงอุปกรณ์จริง ซึ่งรวมถึงข้อบกพร่องที่อาจเกิดขึ้นจากการท่องเว็บ อ่านอีเมล รับข้อความ SMS หรือเชื่อมต่อกับเครือข่ายที่ไม่น่าเชื่อถือ

เวกเตอร์การโจมตีที่อยู่ใกล้เคียงจะถือว่าเป็นการโจมตีจากระยะไกล ซึ่งรวมถึงข้อบกพร่องที่ผู้โจมตีที่อยู่ใกล้อุปกรณ์เป้าหมายเท่านั้นที่สามารถใช้ประโยชน์ได้ เช่น ข้อบกพร่องที่ต้องส่งแพ็กเก็ต Wi-Fi หรือบลูทูธที่ผิดรูปแบบ เราถือว่าการโจมตีที่ใช้แถบความถี่กว้างยิ่งยวด (UWB) และ NFC เป็นการโจมตีที่อยู่ใกล้เคียงและเป็นการโจมตีจากระยะไกล

การโจมตีในเครื่องกำหนดให้ผู้โจมตีต้องมีสิทธิ์เข้าถึงเหยื่อก่อน ในตัวอย่างซอฟต์แวร์เท่านั้นที่สมมติขึ้น การดำเนินการนี้อาจเกิดขึ้นผ่านแอปที่เป็นอันตรายซึ่งเหยื่อติดตั้ง หรือInstant App ที่เหยื่อ ยินยอมให้เรียกใช้

อุปกรณ์ที่จับคู่สำเร็จ (เช่น อุปกรณ์บลูทูธที่ใช้ร่วมกัน) จะถือว่าเป็นอุปกรณ์ในเครื่อง เรา แยกความแตกต่างระหว่างอุปกรณ์ที่จับคู่แล้วกับอุปกรณ์ที่เข้าร่วมขั้นตอนการจับคู่

ข้อบกพร่องที่ลดความสามารถของผู้ใช้ในการระบุอุปกรณ์อื่นที่จับคู่ด้วย (เช่น การตรวจสอบสิทธิ์) ถือเป็นข้อบกพร่องที่อยู่ใกล้เคียงและจึงเป็นข้อบกพร่องระยะไกล
ข้อบกพร่องที่เกิดขึ้นระหว่างโฟลว์การจับคู่แต่ก่อนที่จะมีการสร้างความยินยอมของผู้ใช้ (เช่น การให้สิทธิ์) จะถือว่าอยู่ใกล้และอยู่ระยะไกล
ข้อบกพร่องที่เกิดขึ้นหลังจากได้รับความยินยอมจากผู้ใช้จะถือว่าเป็นข้อบกพร่องในเครื่อง แม้ว่า การจับคู่จะไม่สำเร็จในท้ายที่สุดก็ตาม

เวกเตอร์การโจมตีทางกายภาพถือเป็นเวกเตอร์ในพื้นที่ ซึ่งรวมถึงข้อบกพร่องที่ผู้โจมตีจะใช้ประโยชน์ได้ก็ต่อเมื่อ มีสิทธิ์เข้าถึงอุปกรณ์โดยตรง เช่น ข้อบกพร่องในหน้าจอล็อกหรือข้อบกพร่อง ที่ต้องเสียบสาย USB เนื่องจากอุปกรณ์มักจะปลดล็อกอยู่ขณะเสียบ USB การโจมตีที่ต้องใช้การเชื่อมต่อ USB จึงมีความรุนแรงเท่ากันไม่ว่าอุปกรณ์จะต้องปลดล็อกหรือไม่ก็ตาม

การรักษาความปลอดภัยของเครือข่าย

Android ถือว่าเครือข่ายทั้งหมดเป็นเครือข่ายที่ไม่น่าไว้วางใจและอาจมีการโจมตีหรือสอดแนม การรับส่งข้อมูล แม้ว่าการรักษาความปลอดภัยระดับลิงก์ (เช่น การเข้ารหัส Wi-Fi) จะรักษาความปลอดภัยในการสื่อสาร ระหว่างอุปกรณ์กับจุดเข้าถึงที่อุปกรณ์เชื่อมต่ออยู่ แต่ก็ไม่ได้ช่วยรักษาความปลอดภัย ให้กับลิงก์ที่เหลือในเชนระหว่างอุปกรณ์กับเซิร์ฟเวอร์ที่อุปกรณ์สื่อสารด้วย

ในทางตรงกันข้าม โดยปกติแล้ว HTTPS จะปกป้องการสื่อสารทั้งหมดตั้งแต่ต้นจนจบ โดยจะเข้ารหัสข้อมูล ที่แหล่งที่มา จากนั้นจะถอดรหัสและยืนยันข้อมูลเมื่อถึงปลายทางสุดท้ายเท่านั้น ด้วยเหตุนี้ ช่องโหว่ที่ทำให้ความปลอดภัยของเครือข่ายชั้นลิงก์ลดลงจึงได้รับการจัดระดับความรุนแรงน้อยกว่าช่องโหว่ใน HTTPS/TLS เนื่องจากการเข้ารหัส Wi-Fi เพียงอย่างเดียวไม่เพียงพอสำหรับการสื่อสารส่วนใหญ่บนอินเทอร์เน็ต

การตรวจสอบสิทธิ์ด้วยข้อมูลไบโอเมตริก

การตรวจสอบสิทธิ์ด้วยข้อมูลไบโอเมตริกเป็นเรื่องที่ท้าทาย และแม้แต่ระบบที่ดีที่สุดก็อาจถูกหลอกได้ด้วยการจับคู่ที่ใกล้เคียง (ดูบล็อกของนักพัฒนาแอป Android: การปรับปรุงหน้าจอล็อกและการตรวจสอบสิทธิ์ใน Android 11) การจัดระดับความรุนแรงเหล่านี้จะแยกความแตกต่างระหว่างการโจมตี 2 ประเภท และมีจุดประสงค์เพื่อ สะท้อนความเสี่ยงที่แท้จริงต่อผู้ใช้ปลายทาง

การโจมตีประเภทแรกช่วยให้ข้ามการตรวจสอบสิทธิ์ด้วยไบโอเมตริกในลักษณะที่ใช้ได้ทั่วไป โดยไม่ต้องมีข้อมูลไบโอเมตริกคุณภาพสูงจากเจ้าของ ตัวอย่างเช่น หากผู้โจมตีสามารถวางหมากฝรั่งบนเซ็นเซอร์ลายนิ้วมือ และเซ็นเซอร์อนุญาตให้เข้าถึงอุปกรณ์ตามคราบที่เหลืออยู่บนเซ็นเซอร์ นั่นคือการโจมตีอย่างง่ายที่อาจเกิดขึ้นกับอุปกรณ์ที่เสี่ยงทุกเครื่อง โดยไม่จำเป็นต้องมีความรู้เกี่ยวกับเจ้าของอุปกรณ์ เนื่องจากสามารถนำไปใช้ได้ทั่วไปและอาจส่งผลกระทบต่อผู้ใช้จำนวนมากขึ้น การโจมตีนี้จึงได้รับการจัดระดับความรุนแรงเต็มรูปแบบ (เช่น สูง สำหรับการข้ามหน้าจอล็อก)

การโจมตีอีกประเภทหนึ่งมักเกี่ยวข้องกับเครื่องมือโจมตีด้วยการนำเสนอ (การสวมรอย) โดยอิงตามเจ้าของอุปกรณ์ บางครั้งข้อมูลไบโอเมตริกนี้อาจหาได้ง่าย (เช่น หากรูปโปรไฟล์ของบุคคลในโซเชียลมีเดียเพียงพอที่จะหลอกการตรวจสอบสิทธิ์แบบไบโอเมตริกได้ การข้ามไบโอเมตริกจะได้รับการจัดประเภทความรุนแรงเต็มรูปแบบ) แต่หากผู้โจมตีจำเป็นต้อง ได้ข้อมูลไบโอเมตริกจากเจ้าของอุปกรณ์โดยตรง (เช่น การสแกนใบหน้าด้วยอินฟราเรด) นั่นก็เป็นอุปสรรคที่สำคัญมากพอที่จะจำกัดจำนวนผู้ที่ได้รับผลกระทบ จากการโจมตี จึงมีตัวปรับ -1

SYSTEM_ALERT_WINDOW และการล่อลวงให้แตะ

ดูข้อมูลเกี่ยวกับนโยบายของเราที่เกี่ยวข้องกับ SYSTEM_ALERT_WINDOW และการลักลอบแตะได้ในส่วน "ช่องโหว่ SYSTEM_ALERT_WINDOW ของการลักลอบแตะ/การซ้อนทับบนหน้าจอที่ไม่สำคัญต่อความปลอดภัย" ของ ข้อบกพร่องที่ไม่มีผลกระทบต่อความปลอดภัย ใน BugHunter University

ความปลอดภัยแบบหลายคนหนึ่งเครื่องใน Android Automotive OS

Android Automotive OS ใช้รูปแบบความปลอดภัยแบบหลายผู้ใช้ ซึ่งแตกต่างจากอุปกรณ์รูปแบบอื่นๆ ผู้ใช้ Android แต่ละรายมีไว้สำหรับบุคคลจริงที่แตกต่างกัน เช่น คุณอาจมอบหมายผู้ใช้ชั่วคราวที่เป็นแขกรับเชิญให้เพื่อนที่ยืมรถจากเจ้าของรถได้ เพื่อรองรับกรณีการใช้งานเช่นนี้ ผู้ใช้จะมีสิทธิ์เข้าถึงคอมโพเนนต์ที่จำเป็นต่อการใช้รถยนต์โดยค่าเริ่มต้น เช่น การตั้งค่า Wi-Fi และเครือข่ายมือถือ

คอมโพเนนต์ที่ได้รับผลกระทบ

ทีมพัฒนาที่รับผิดชอบในการแก้ไขข้อบกพร่องจะขึ้นอยู่กับคอมโพเนนต์ที่มีข้อบกพร่อง ซึ่งอาจเป็นคอมโพเนนต์หลักของแพลตฟอร์ม Android, ไดรเวอร์เคอร์เนลที่จัดหาโดยผู้ผลิตอุปกรณ์ดั้งเดิม (OEM) หรือแอปที่โหลดไว้ล่วงหน้าแอปใดแอปหนึ่งในอุปกรณ์ Pixel

ทีมวิศวกร Android จะแก้ไขข้อบกพร่องในโค้ด AOSP ในที่เก็บข้อมูลภายในของเรา

นอกจากนี้ คอมโพเนนต์ยังเป็นปัจจัยที่กำหนดวิธีที่ผู้ใช้จะได้รับการอัปเดตด้วย ข้อบกพร่องในเฟรมเวิร์กหรือเคอร์เนล ต้องมีการอัปเดตเฟิร์มแวร์ผ่านอากาศ (OTA) ซึ่ง OEM แต่ละรายต้องเป็นผู้เผยแพร่ ข้อบกพร่องในแอปหรือ ไลบรารีที่เผยแพร่ใน Google Play (เช่น Gmail, บริการ Google Play หรือ WebView) อาจ ส่งถึงผู้ใช้ Android เป็นการอัปเดตจาก Google Play

แจ้งเตือนพาร์ทเนอร์

เมื่อแก้ไขช่องโหว่ด้านความปลอดภัยใน AOSP ในประกาศข่าวสารด้านความปลอดภัยของ Android แล้ว เราจะแจ้งให้พาร์ทเนอร์ Android ทราบรายละเอียดของปัญหาและจัดหาแพตช์ให้ รายการเวอร์ชันที่รองรับการย้อนพอร์ต จะเปลี่ยนแปลงไปตาม Android เวอร์ชันใหม่แต่ละเวอร์ชัน โปรดติดต่อผู้ผลิตอุปกรณ์เพื่อดูรายการ อุปกรณ์ที่รองรับ

เผยแพร่โค้ดไปยัง AOSP

หากข้อบกพร่องด้านความปลอดภัยอยู่ในคอมโพเนนต์ AOSP ระบบจะพุชการแก้ไขไปยัง AOSP หลังจากที่เผยแพร่ OTA ให้กับผู้ใช้ แล้ว

รับการอัปเดต Android

โดยทั่วไปแล้ว ระบบจะส่งการอัปเดตระบบ Android ไปยังอุปกรณ์ผ่านแพ็กเกจการอัปเดต OTA การอัปเดตเหล่านี้อาจมาจาก OEM ที่ผลิตอุปกรณ์หรือผู้ให้บริการที่ให้บริการแก่อุปกรณ์ การอัปเดตอุปกรณ์ Google Pixel มาจากทีม Google Pixel หลังจากผ่านกระบวนการทดสอบการยอมรับทางเทคนิค (TA) ของผู้ให้บริการ นอกจากนี้ Google ยังเผยแพร่อิมเมจจากโรงงานของ Pixel ที่ โหลดด้านข้างลงในอุปกรณ์ได้ด้วย

อัปเดตบริการของ Google

นอกเหนือจากการแก้ไขข้อบกพร่องด้านความปลอดภัยแล้ว ทีมรักษาความปลอดภัยของ Android ยังตรวจสอบข้อบกพร่องด้านความปลอดภัยเพื่อพิจารณาว่ามีวิธีอื่นๆ ในการปกป้องผู้ใช้หรือไม่ ตัวอย่างเช่น Google Play จะสแกนแอปทั้งหมด และนำแอปที่พยายามใช้ประโยชน์จากข้อบกพร่องด้านความปลอดภัยออก สำหรับแอปที่ติดตั้งจากภายนอก Google Play อุปกรณ์ที่มีบริการ Google Play อาจใช้ฟีเจอร์ ตรวจสอบแอปเพื่อเตือนผู้ใช้เกี่ยวกับแอปที่อาจเป็นอันตรายได้ด้วย

ทรัพยากรอื่นๆ

ข้อมูลสำหรับนักพัฒนาแอป Android https://developer.android.com

ข้อมูลความปลอดภัยมีอยู่ทั่วทั้งเว็บไซต์โอเพนซอร์สและเว็บไซต์นักพัฒนาแอปของ Android จุดเริ่มต้นที่ดี มีดังนี้

รายงาน

บางครั้งทีมรักษาความปลอดภัยของ Android ก็เผยแพร่รายงานหรือเอกสารไวท์เปเปอร์ ดูรายละเอียดเพิ่มเติมได้ที่รายงานความปลอดภัย