इस अनुभाग में Android उपकरणों से नेटवर्क संचार की सुरक्षा सुनिश्चित करने के लिए अनुशंसाएँ शामिल हैं।
श्रवण सॉकेट को सुरक्षित करना
श्रवण सॉकेट का उपयोग सावधानी से करें। आम तौर पर उपकरणों पर कोई खुला श्रवण सॉकेट नहीं होना चाहिए क्योंकि ये दूरस्थ हमलावर को डिवाइस तक पहुंच प्राप्त करने के लिए एक वेक्टर प्रदान करते हैं।
- एंड्रॉइड डिवाइसों को उनके द्वारा उजागर किए जाने वाले इंटरनेट लिसनिंग सॉकेट की संख्या को कम करना चाहिए, विशेष रूप से बूट पर या डिफ़ॉल्ट रूप से। डिफ़ॉल्ट रूप से बूट पर कोई भी सॉकेट इंटरनेट पर नहीं सुनना चाहिए।
- सिस्टम विशिष्ट पहचानकर्ता (यूआईडी) के स्वामित्व वाली रूट प्रक्रियाओं और प्रक्रियाओं को किसी भी श्रवण सॉकेट को उजागर नहीं करना चाहिए।
- ओटीए अपडेट के बिना सुनने वाले सॉकेट को अक्षम किया जाना चाहिए। इसे सर्वर या उपयोगकर्ता-डिवाइस कॉन्फ़िगरेशन परिवर्तन का उपयोग करके निष्पादित किया जा सकता है।
- स्थानीय आईपीसी-उपयोग करने वाले सॉकेट के लिए, ऐप्स को एक समूह तक सीमित पहुंच के साथ UNIX डोमेन सॉकेट का उपयोग करना होगा। आईपीसी के लिए एक फ़ाइल डिस्क्रिप्टर बनाएं और इसे एक विशिष्ट UNIX समूह के लिए +RW बनाएं। कोई भी क्लाइंट ऐप्स उस UNIX समूह में होना चाहिए।
- एकाधिक प्रोसेसर वाले कुछ डिवाइस (उदाहरण के लिए, ऐप प्रोसेसर से अलग एक रेडियो/मॉडेम) प्रोसेसर के बीच संचार करने के लिए नेटवर्क सॉकेट का उपयोग करते हैं। ऐसे उदाहरणों में, अंतर-प्रोसेसर संचार के लिए उपयोग किए जाने वाले नेटवर्क सॉकेट को डिवाइस पर अनधिकृत ऐप्स द्वारा पहुंच को रोकने के लिए एक अलग नेटवर्क इंटरफ़ेस का उपयोग करना चाहिए (यानी डिवाइस पर अन्य ऐप्स द्वारा पहुंच को रोकने के लिए iptables का उपयोग करें)।
- श्रवण पोर्ट को संभालने वाले डेमॉन को विकृत डेटा के विरुद्ध मजबूत होना चाहिए। आपको किसी अनधिकृत क्लाइंट और, जहां संभव हो, अधिकृत क्लाइंट का उपयोग करके पोर्ट के विरुद्ध फ़ज़-परीक्षण करना चाहिए। क्रैश पर अनुवर्ती कार्रवाई के लिए बग फ़ाइल करें।
एंड्रॉइड संगतता परीक्षण सूट (सीटीएस) में ऐसे परीक्षण शामिल हैं जो खुले श्रवण बंदरगाहों की उपस्थिति की जांच करते हैं।
एडीबी अक्षम करें
एंड्रॉइड डिबग ब्रिज (एडीबी) एक मूल्यवान विकास और डिबगिंग टूल है, लेकिन इसे नियंत्रित, सुरक्षित वातावरण में उपयोग के लिए डिज़ाइन किया गया है और इसे सामान्य उपयोग के लिए सक्षम नहीं किया जाना चाहिए।
- सुनिश्चित करें कि ADB डिफ़ॉल्ट रूप से अक्षम है।
- सुनिश्चित करें कि एडीबी को कनेक्शन स्वीकार करने से पहले उपयोगकर्ता को इसे चालू करने की आवश्यकता है।