يحتوي هذا القسم على توصيات لضمان أمان اتصالات الشبكة من أجهزة Android.
تأمين مآخذ الاستماع
استخدم مآخذ الاستماع بحذر. بشكل عام، يجب ألا يكون هناك أي مآخذ استماع مفتوحة على الأجهزة، حيث أنها توفر ناقلًا للمهاجم البعيد للوصول إلى الجهاز.
- يجب على أجهزة Android تقليل عدد مآخذ الاستماع إلى الإنترنت التي تكشفها، خاصة عند التشغيل أو بشكل افتراضي. يجب ألا يستمع أي مقبس على الإنترنت عند التمهيد افتراضيًا.
- يجب ألا تكشف العمليات الجذرية والعمليات المملوكة للمعرف الفريد للنظام (UID) عن أي مآخذ استماع.
- يجب أن تكون مآخذ الاستماع قابلة للتعطيل دون تحديث عبر الهواء. يمكن إجراء ذلك باستخدام تغيير تكوين الخادم أو جهاز المستخدم.
- بالنسبة للمقابس المحلية التي تستخدم IPC، يجب أن تستخدم التطبيقات مأخذ توصيل مجال UNIX مع وصول محدود لمجموعة. قم بإنشاء واصف ملف لـ IPC واجعله +RW لمجموعة UNIX محددة. يجب أن تكون أي تطبيقات عميل ضمن مجموعة UNIX تلك.
- تستخدم بعض الأجهزة التي تحتوي على معالجات متعددة (على سبيل المثال، راديو/مودم منفصل عن معالج التطبيق) مآخذ الشبكة للتواصل بين المعالجات. في مثل هذه الحالات، يجب أن يستخدم مقبس الشبكة المستخدم للاتصال بين المعالجات واجهة شبكة معزولة لمنع الوصول بواسطة التطبيقات غير المصرح بها على الجهاز (أي استخدم iptables لمنع الوصول بواسطة التطبيقات الأخرى على الجهاز).
- يجب أن تكون البرامج الشيطانية التي تتعامل مع منافذ الاستماع قوية ضد البيانات المشوهة. يجب عليك إجراء اختبار التشويش على المنفذ باستخدام عميل غير مصرح به، وعميل معتمد حيثما أمكن ذلك. أخطاء الملف لمتابعة الأعطال.
تتضمن مجموعة اختبار توافق Android (CTS) اختبارات تتحقق من وجود منافذ استماع مفتوحة.
تعطيل بنك التنمية الآسيوي
يعد Android Debug Bridge (ADB) أداة قيمة للتطوير وتصحيح الأخطاء، ولكنه مصمم للاستخدام في بيئة آمنة وخاضعة للرقابة ويجب عدم تمكينه للاستخدام العام.
- تأكد من تعطيل ADB بشكل افتراضي.
- تأكد من أن ADB يطلب من المستخدم تشغيله قبل قبول الاتصالات.