В новой версии ОС Android, получившей название Android P, все входящие и исходящие соединения будут осуществляться через протокол TLS (Transport Layer Security) — об этом компания сообщила во вторник на официальной странице блога разработчиков ОС.

TLS препятствует несанкционированному доступу и прослушиванию пакетов при обмене данными в клиент-серверных приложениях. При этом TLS не допускает понижения версии протокола защиты и ослабления алгоритма шифрования.

Впервые о намерении запретить программам обмениваться легко читаемыми данными компания заявила во время презентации версии Android P для разработчиков 7 марта. Анонсируя нововведения в политике безопасности, представители Google заявили, что приложения, которые уже используют TLS, продолжат работать без изменений, тогда как прочим придется перейти на новый протокол.

«Android считает все сети потенциально опасными, поэтому шифрование трафика должно применяться всегда, — утверждает старший инженер отдела безопасности компании Чед Брубейкер (Chad Brubaker). — Мобильные устройства особенно уязвимы, поскольку они регулярно подключаются к множеству различных сетей, например к Wi-Fi в кофейне».

Ранее Google уже предпринимала шаги, направленные на повышение безопасности соединений. В Android Marshmallow был добавлен атрибут манифеста android:usesCleartextTraffic, а в версии Nougat появилась функция «Конфигурация цифровой безопасности». Тем не менее незащищенные соединения продолжали использоваться, обеспечивая работу приложений со старыми серверами. Будущее обновление обяжет их полностью отказаться от передачи данных в виде простого текста и перейти к TLS-протоколу.

Чтобы обновить приложение для работы с TLS, разработчикам необходимо настроить исполнение протокола на сервере, а после заменить все URL в запросах программы и ответах сервера с http:// на https://. При создании сокета вместо SocketFactory необходимо использовать SSLSocketFactory. Разработчикам приложений, которые не могут применять TLS, нужно будет вручную разрешить открытый текст в настройках сетевой безопасности.

Категории: Кибероборона