Android版Chrome升级安全防护：高级保护功能全面加强

Android版Chrome集成高级保护功能，全面提升安全防护

Google Chrome安全团队近日宣布，将**高级保护（Advanced Protection）功能集成至Android版Chrome，为记者、民选官员及公众人物等高风险用户提供更强大的安全防护。此次更新作为Android高级保护计划（Advanced Protection Program）**的一部分，为Chrome引入了三项关键安全增强措施：HTTPS-First模式、全面站点隔离（Site Isolation）及JavaScript攻击面缩减。

核心安全增强功能

1. 强制使用安全连接（HTTPS-First模式）

高级保护默认启用HTTPS-First模式，确保所有连接（包括公共及私有网络）均使用加密的HTTPS协议。此举有效降低数据拦截或通过不安全HTTP注入恶意内容的风险。尽管纯文本HTTP在Android版Chrome中的页面加载占比不足1%，但仍是针对性攻击的关键利用途径，如2023年埃及大选期间发生的攻击事件。

• 适用于所有用户：Chrome已逐步扩展HTTPS-First模式的应用范围，包括：
  • 针对公共网站发出警告（排除本地网络如192.168.0.1）。
  • 自Chrome 127（2024年6月）起在**无痕模式（Incognito Mode）**中自动强制执行。
  • 自Chrome 133（2025年1月）起，防止对常访问网站的HTTPS降级为HTTP。

企业可通过HTTPSOnlyMode及HTTPAllowlist策略进行配置。

2. 移动端全面站点隔离

站点隔离（Site Isolation）功能此前仅限于桌面版Chrome，现已扩展至内存4GB以上的Android设备，并通过高级保护启用。该功能将每个网站隔离至独立的操作系统级进程，防止恶意网站访问其他标签页的数据或利用漏洞发起攻击。在未启用高级保护的情况下，Android版Chrome仅对已登录或提交表单的网站进行隔离，以节省内存。

3. 缩减JavaScript攻击面

高级保护默认禁用V8高级JavaScript优化器，该优化器虽能提升性能，但历史上约**50%**的V8漏洞均源于此。此举以牺牲部分网站性能为代价，换取更高的安全性。

• 企业控制：通过DefaultJavaScriptOptimizerSetting策略，企业可禁用优化器并将可信SaaS供应商加入白名单。
• 用户控制：自Chrome 133起，用户可在**站点设置（Site Setting）**中按网站自行切换优化器开关。

影响与建议

针对高风险用户

高级保护专为面临针对性威胁的个人（如记者或公职人员）设计。为最大化安全防护：

• 为Google账户启用高级保护计划，并采用防钓鱼多因素认证（MFA）。
• 在Android 16+设备上安装Chrome 137+，并激活高级保护。
• 保持设备及浏览器更新，以应对新兴威胁。

针对企业用户

企业可通过**Chrome企业策略（Chrome Enterprise policies）**利用这些功能：

• 在托管设备上强制执行HTTPS-First模式。
• 在符合条件的Android设备上启用全面站点隔离。
• 禁用JavaScript优化器，同时将关键应用加入白名单。

针对网站运营者

部署HTTPS以避免安全警告，并确保数据机密性。使用**HSTS头（HTTP Strict Transport Security）**防止协议降级攻击。

总结

Google将高级保护集成至Android版Chrome，体现了基于风险的安全模型，在性能与防护间取得平衡。尽管默认Chrome设置已足够安全，但这些增强功能为高风险个人及管理敏感数据的企业提供了关键防护。随着威胁不断演变，Chrome持续提升浏览器安全标准，同时确保用户体验不受影响。

高级保护功能适用于搭载Android 16+且运行Chrome 137及以上版本的设备。