एक Android डिवाइस सुरक्षित करें

एंड्रॉइड उद्योग-अग्रणी सुरक्षा सुविधाओं को शामिल करता है और एंड्रॉइड प्लेटफ़ॉर्म और पारिस्थितिकी तंत्र को सुरक्षित रखने के लिए डेवलपर्स और डिवाइस कार्यान्वयनकर्ताओं के साथ काम करता है। एंड्रॉइड प्लेटफ़ॉर्म पर और उसके आसपास निर्मित और क्लाउड सेवाओं द्वारा समर्थित ऐप्स और उपकरणों के एक सशक्त पारिस्थितिकी तंत्र को सक्षम करने के लिए एक मजबूत सुरक्षा मॉडल आवश्यक है। परिणामस्वरूप, अपने संपूर्ण विकास जीवनचक्र के दौरान, एंड्रॉइड एक कठोर सुरक्षा कार्यक्रम के अधीन रहा है।

एंड्रॉइड को खुला रखने के लिए डिज़ाइन किया गया है। एंड्रॉइड ऐप्स उपभोक्ताओं के लिए नवीनता और मूल्य लाने के लिए उन्नत हार्डवेयर और सॉफ़्टवेयर के साथ-साथ प्लेटफ़ॉर्म के माध्यम से प्रदर्शित स्थानीय और परोसे गए डेटा का उपयोग करते हैं। उस मूल्य का एहसास करने के लिए, प्लेटफ़ॉर्म एक ऐप वातावरण प्रदान करता है जो उपयोगकर्ताओं, डेटा, ऐप्स, डिवाइस और नेटवर्क की गोपनीयता, अखंडता और उपलब्धता की रक्षा करता है।

एक खुले मंच को सुरक्षित करने के लिए एक मजबूत सुरक्षा वास्तुकला और कठोर सुरक्षा कार्यक्रमों की आवश्यकता होती है। एंड्रॉइड को बहुस्तरीय सुरक्षा के साथ डिज़ाइन किया गया था जो कि प्लेटफ़ॉर्म के सभी उपयोगकर्ताओं की सुरक्षा करते हुए एक खुले प्लेटफ़ॉर्म का समर्थन करने के लिए पर्याप्त लचीला है। सुरक्षा समस्याओं की रिपोर्टिंग और अद्यतन प्रक्रिया के बारे में जानकारी के लिए, सुरक्षा अद्यतन और संसाधन देखें।

एंड्रॉइड डेवलपर्स के लिए डिज़ाइन किया गया है। डेवलपर्स पर बोझ कम करने के लिए सुरक्षा नियंत्रण डिज़ाइन किए गए थे। सुरक्षा-प्रेमी डेवलपर्स आसानी से लचीले सुरक्षा नियंत्रणों के साथ काम कर सकते हैं और उन पर भरोसा कर सकते हैं। सुरक्षा से कम परिचित डेवलपर्स सुरक्षित डिफ़ॉल्ट द्वारा सुरक्षित हैं।

निर्माण के लिए एक स्थिर मंच प्रदान करने के अलावा, एंड्रॉइड कई तरीकों से डेवलपर्स को अतिरिक्त सहायता देता है। एंड्रॉइड सुरक्षा टीम ऐप्स में संभावित कमजोरियों की तलाश करती है और उन समस्याओं को ठीक करने के तरीके सुझाती है। Google Play वाले उपकरणों के लिए, Play Services OpenSSL जैसे महत्वपूर्ण सॉफ़्टवेयर लाइब्रेरीज़ के लिए सुरक्षा अपडेट प्रदान करती है, जिसका उपयोग ऐप संचार को सुरक्षित करने के लिए किया जाता है। एंड्रॉइड सुरक्षा ने एसएसएल ( नोगोटोफ़ेल ) के परीक्षण के लिए एक टूल जारी किया है जो डेवलपर्स को उनके द्वारा विकसित किए जा रहे किसी भी प्लेटफ़ॉर्म पर संभावित सुरक्षा समस्याओं का पता लगाने में मदद करता है।

एंड्रॉइड सुरक्षा के लिए अंतर्निहित हार्डवेयर समर्थन का भी लाभ उठाता है। उदाहरण के लिए, एआरएम ट्रस्टज़ोन तकनीक का उपयोग क्रिप्टोग्राफ़िक कुंजियों के साथ-साथ बूट अखंडता के सत्यापन के लिए सुरक्षित भंडारण प्रदान करने के लिए किया जाता है। [DICE](https://pigweed.googlesource.com/open-dice/+/refs/heads/main/docs/android.md) का उपयोग एंड्रॉइड को बूट करने से पहले लोड किए गए फर्मवेयर को मापने के लिए किया जाता है। यह दूरस्थ सत्यापन को सक्षम बनाता है कि फर्मवेयर ज्ञात, महत्वपूर्ण कमजोरियों से प्रभावित नहीं है जिसका उपयोग डेवलपर्स और उपयोगकर्ताओं दोनों को नुकसान पहुंचाने के लिए किया जा सकता है।

एंड्रॉइड ऐप डेवलपर्स के लिए अधिक जानकारी डेवलपर.android.com पर पाई जा सकती है।

Android उपयोगकर्ताओं के लिए डिज़ाइन किया गया है। उपयोगकर्ताओं को प्रत्येक ऐप द्वारा अनुरोधित अनुमतियों की दृश्यता और उन अनुमतियों पर नियंत्रण प्रदान किया जाता है। इस डिज़ाइन में यह अपेक्षा शामिल है कि हमलावर सामान्य हमले करने का प्रयास करेंगे, जैसे डिवाइस उपयोगकर्ताओं को मैलवेयर इंस्टॉल करने के लिए मनाने के लिए सोशल इंजीनियरिंग हमले, और एंड्रॉइड पर तीसरे पक्ष के ऐप्स पर हमले। एंड्रॉइड को इन हमलों की संभावना को कम करने और सफल होने की स्थिति में हमले के प्रभाव को सीमित करने के लिए डिज़ाइन किया गया था। डिवाइस उपयोगकर्ता के हाथ में आने के बाद एंड्रॉइड सुरक्षा में प्रगति जारी रहती है। एंड्रॉइड किसी भी एंड्रॉइड डिवाइस के लिए पैच प्रदान करने के लिए भागीदारों और जनता के साथ काम करता है जो सुरक्षा अपडेट प्राप्त करना जारी रखता है।

अंतिम उपयोगकर्ताओं के लिए अधिक जानकारी नेक्सस सहायता केंद्र , पिक्सेल सहायता केंद्र , या आपके डिवाइस निर्माता के सहायता केंद्र में पाई जा सकती है।

यह पृष्ठ एंड्रॉइड सुरक्षा कार्यक्रम के लक्ष्यों को रेखांकित करता है, एंड्रॉइड सुरक्षा वास्तुकला के बुनियादी सिद्धांतों का वर्णन करता है, और सिस्टम आर्किटेक्ट और सुरक्षा विश्लेषकों के लिए सबसे प्रासंगिक प्रश्नों के उत्तर देता है। यह एंड्रॉइड के मुख्य प्लेटफ़ॉर्म की सुरक्षा सुविधाओं पर ध्यान केंद्रित करता है और उन सुरक्षा मुद्दों पर चर्चा नहीं करता है जो विशिष्ट ऐप्स के लिए अद्वितीय हैं, जैसे कि ब्राउज़र या एसएमएस ऐप से संबंधित।

पृष्ठभूमि

एंड्रॉइड मोबाइल उपकरणों के लिए एक ओपन सोर्स प्लेटफॉर्म और ऐप वातावरण प्रदान करता है।

नीचे दिए गए अनुभाग और पृष्ठ एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा सुविधाओं का वर्णन करते हैं। चित्र 1 एंड्रॉइड सॉफ़्टवेयर स्टैक के विभिन्न स्तरों के सुरक्षा घटकों और विचारों को दर्शाता है। प्रत्येक घटक मानता है कि नीचे दिए गए घटक ठीक से सुरक्षित हैं। रूट के रूप में चलने वाले एंड्रॉइड ओएस कोड की थोड़ी मात्रा को छोड़कर, लिनक्स कर्नेल के ऊपर के सभी कोड एप्लिकेशन सैंडबॉक्स द्वारा प्रतिबंधित हैं।

चित्र 1: एंड्रॉइड सॉफ़्टवेयर स्टैक

चित्र 1. एंड्रॉइड सॉफ़्टवेयर स्टैक

मुख्य एंड्रॉइड प्लेटफ़ॉर्म बिल्डिंग ब्लॉक हैं:

  • डिवाइस हार्डवेयर: एंड्रॉइड मोबाइल फोन, टैबलेट, घड़ियां, ऑटोमोबाइल, स्मार्ट टीवी, ओटीटी गेमिंग बॉक्स और सेट-टॉप-बॉक्स सहित हार्डवेयर कॉन्फ़िगरेशन की एक विस्तृत श्रृंखला पर चलता है। एंड्रॉइड प्रोसेसर-अज्ञेयवादी है, लेकिन यह कुछ हार्डवेयर-विशिष्ट सुरक्षा क्षमताओं जैसे ARM eXecute-Never का लाभ उठाता है।
  • एंड्रॉइड ऑपरेटिंग सिस्टम: कोर ऑपरेटिंग सिस्टम लिनक्स कर्नेल के शीर्ष पर बनाया गया है। सभी डिवाइस संसाधन, जैसे कैमरा फ़ंक्शन, जीपीएस डेटा, ब्लूटूथ फ़ंक्शन, टेलीफोनी फ़ंक्शन और नेटवर्क कनेक्शन, ऑपरेटिंग सिस्टम के माध्यम से एक्सेस किए जाते हैं।
  • एंड्रॉइड एप्लिकेशन रनटाइम: एंड्रॉइड ऐप्स अक्सर जावा प्रोग्रामिंग भाषा में लिखे जाते हैं और एंड्रॉइड रनटाइम (एआरटी) में चलते हैं। हालाँकि, मुख्य एंड्रॉइड सेवाओं और ऐप्स सहित कई ऐप्स, मूल ऐप्स हैं या उनमें देशी लाइब्रेरी शामिल हैं। एआरटी और नेटिव ऐप दोनों एप्लिकेशन सैंडबॉक्स के भीतर मौजूद एक ही सुरक्षा वातावरण में चलते हैं। ऐप्स को फ़ाइल सिस्टम का एक समर्पित हिस्सा मिलता है जिसमें वे डेटाबेस और कच्ची फ़ाइलों सहित निजी डेटा लिख ​​सकते हैं।

एंड्रॉइड ऐप्स कोर एंड्रॉइड ऑपरेटिंग सिस्टम का विस्तार करते हैं। ऐप्स के लिए दो प्राथमिक स्रोत हैं:

  • प्रीइंस्टॉल्ड ऐप्स: एंड्रॉइड में फ़ोन, ईमेल, कैलेंडर, वेब ब्राउज़र और संपर्कों सहित प्रीइंस्टॉल्ड ऐप्स का एक सेट शामिल होता है। ये उपयोगकर्ता ऐप्स के रूप में कार्य करते हैं और वे प्रमुख डिवाइस क्षमताएं प्रदान करते हैं जिन्हें अन्य ऐप्स द्वारा एक्सेस किया जा सकता है। प्रीइंस्टॉल्ड ऐप्स ओपन सोर्स एंड्रॉइड प्लेटफ़ॉर्म का हिस्सा हो सकते हैं, या उन्हें किसी विशिष्ट डिवाइस के लिए डिवाइस निर्माता द्वारा विकसित किया जा सकता है।
  • उपयोगकर्ता द्वारा इंस्टॉल किए गए ऐप्स: एंड्रॉइड एक खुला विकास वातावरण प्रदान करता है जो किसी भी तृतीय-पक्ष ऐप का समर्थन करता है। Google Play उपयोगकर्ताओं को सैकड़ों-हजारों ऐप्स प्रदान करता है।

गूगल सुरक्षा सेवाएँ

Google क्लाउड-आधारित सेवाओं का एक सेट प्रदान करता है जो Google मोबाइल सेवाओं के साथ संगत Android उपकरणों के लिए उपलब्ध है। हालाँकि ये सेवाएँ एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) का हिस्सा नहीं हैं, लेकिन ये कई एंड्रॉइड डिवाइसों पर शामिल हैं। इनमें से कुछ सेवाओं के बारे में अधिक जानकारी के लिए, Android Security की 2018 वर्ष की समीक्षा देखें।

प्राथमिक Google सुरक्षा सेवाएँ हैं:

  • Google Play: Google Play सेवाओं का एक संग्रह है जो उपयोगकर्ताओं को अपने Android डिवाइस या वेब से ऐप्स खोजने, इंस्टॉल करने और खरीदने की अनुमति देता है। Google Play डेवलपर्स के लिए Android उपयोगकर्ताओं और संभावित ग्राहकों तक पहुंचना आसान बनाता है। Google Play सामुदायिक समीक्षा, ऐप लाइसेंस सत्यापन , ऐप सुरक्षा स्कैनिंग और अन्य सुरक्षा सेवाएँ भी प्रदान करता है।
  • एंड्रॉइड अपडेट: एंड्रॉइड अपडेट सेवा चयनित एंड्रॉइड डिवाइसों को नई क्षमताएं और सुरक्षा अपडेट प्रदान करती है, जिसमें वेब या ओवर द एयर (ओटीए) के माध्यम से अपडेट शामिल हैं।
  • ऐप सेवाएँ: फ़्रेमवर्क जो एंड्रॉइड ऐप्स को क्लाउड क्षमताओं का उपयोग करने की अनुमति देते हैं जैसे ( बैक अप ) ऐप डेटा और सेटिंग्स और पुश मैसेजिंग के लिए क्लाउड-टू-डिवाइस मैसेजिंग ( C2DM )।
  • ऐप्स सत्यापित करें: हानिकारक ऐप्स के इंस्टॉलेशन को चेतावनी दें या स्वचालित रूप से ब्लॉक करें, और डिवाइस पर ऐप्स को लगातार स्कैन करें, हानिकारक ऐप्स के बारे में चेतावनी दें या हटा दें।
  • सेफ्टीनेट: Google ट्रैकिंग में सहायता करने, ज्ञात सुरक्षा खतरों को कम करने और नए सुरक्षा खतरों की पहचान करने के लिए एक गोपनीयता संरक्षण घुसपैठ का पता लगाने वाली प्रणाली।
  • सेफ्टीनेट सत्यापन: डिवाइस सीटीएस संगत है या नहीं यह निर्धारित करने के लिए तृतीय-पक्ष एपीआई। सत्यापन ऐप सर्वर के साथ संचार करने वाले एंड्रॉइड ऐप की भी पहचान कर सकता है।
  • एंड्रॉइड डिवाइस मैनेजर: खोए या चोरी हुए डिवाइस का पता लगाने के लिए एक वेब ऐप और एंड्रॉइड ऐप

सुरक्षा कार्यक्रम सिंहावलोकन

Android सुरक्षा कार्यक्रम के प्रमुख घटकों में शामिल हैं:

  • डिज़ाइन समीक्षा: एंड्रॉइड सुरक्षा प्रक्रिया एक समृद्ध और कॉन्फ़िगर करने योग्य सुरक्षा मॉडल और डिज़ाइन के निर्माण के साथ विकास जीवनचक्र में शुरू होती है। प्लेटफ़ॉर्म की प्रत्येक प्रमुख विशेषता की समीक्षा इंजीनियरिंग और सुरक्षा संसाधनों द्वारा की जाती है, जिसमें उचित सुरक्षा नियंत्रण सिस्टम के आर्किटेक्चर में एकीकृत होते हैं।
  • प्रवेश परीक्षण और कोड समीक्षा: प्लेटफ़ॉर्म के विकास के दौरान, एंड्रॉइड-निर्मित और ओपन सोर्स घटक जोरदार सुरक्षा समीक्षाओं के अधीन हैं। ये समीक्षाएँ Android सुरक्षा टीम, Google की सूचना सुरक्षा इंजीनियरिंग टीम और स्वतंत्र सुरक्षा सलाहकारों द्वारा की जाती हैं। इन समीक्षाओं का लक्ष्य प्रमुख रिलीज़ से पहले कमजोरियों और संभावित कमजोरियों की पहचान करना और रिलीज़ होने पर बाहरी सुरक्षा विशेषज्ञों द्वारा किए जाने वाले विश्लेषण के प्रकारों का अनुकरण करना है।
  • खुला स्रोत और सामुदायिक समीक्षा: एओएसपी किसी भी इच्छुक पक्ष द्वारा व्यापक सुरक्षा समीक्षा को सक्षम बनाता है। एंड्रॉइड ओपन सोर्स प्रौद्योगिकियों का भी उपयोग करता है जिनकी महत्वपूर्ण बाहरी सुरक्षा समीक्षा हुई है, जैसे कि लिनक्स कर्नेल। Google Play उपयोगकर्ताओं और कंपनियों को विशिष्ट ऐप्स के बारे में सीधे उपयोगकर्ताओं को जानकारी प्रदान करने के लिए एक मंच प्रदान करता है।
  • घटना प्रतिक्रिया: इन सावधानियों के साथ भी, शिपिंग के बाद सुरक्षा समस्याएं हो सकती हैं, यही कारण है कि एंड्रॉइड प्रोजेक्ट ने एक व्यापक सुरक्षा प्रतिक्रिया प्रक्रिया बनाई है। पूर्णकालिक एंड्रॉइड सुरक्षा टीम के सदस्य संभावित कमजोरियों की चर्चा के लिए एंड्रॉइड-विशिष्ट और सामान्य सुरक्षा समुदाय की निगरानी करते हैं और एंड्रॉइड बग डेटाबेस पर दायर सुरक्षा बग की समीक्षा करते हैं। वैध मुद्दों की खोज पर, एंड्रॉइड टीम के पास एक प्रतिक्रिया प्रक्रिया है जो कमजोरियों को तेजी से कम करने में सक्षम बनाती है ताकि यह सुनिश्चित किया जा सके कि सभी एंड्रॉइड उपयोगकर्ताओं के लिए संभावित जोखिम कम हो। इन क्लाउड-समर्थित प्रतिक्रियाओं में एंड्रॉइड प्लेटफ़ॉर्म को अपडेट करना (एओएसपी अपडेट), Google Play से ऐप्स हटाना और फ़ील्ड में डिवाइस से ऐप्स हटाना शामिल हो सकता है।
  • मासिक सुरक्षा अपडेट: एंड्रॉइड सुरक्षा टीम Google एंड्रॉइड डिवाइस और हमारे सभी डिवाइस विनिर्माण भागीदारों को मासिक अपडेट प्रदान करती है।

प्लेटफ़ॉर्म सुरक्षा वास्तुकला

एंड्रॉइड पारंपरिक ऑपरेटिंग सिस्टम सुरक्षा नियंत्रणों को पुन: उपयोग करके मोबाइल प्लेटफ़ॉर्म के लिए सबसे सुरक्षित और उपयोगी ऑपरेटिंग सिस्टम बनना चाहता है:

  • ऐप और उपयोगकर्ता डेटा को सुरक्षित रखें
  • सिस्टम संसाधनों को सुरक्षित रखें (नेटवर्क सहित)
  • सिस्टम, अन्य ऐप्स और उपयोगकर्ता से ऐप अलगाव प्रदान करें

इन उद्देश्यों को प्राप्त करने के लिए, Android ये प्रमुख सुरक्षा सुविधाएँ प्रदान करता है:

  • लिनक्स कर्नेल के माध्यम से ओएस स्तर पर मजबूत सुरक्षा
  • सभी ऐप्स के लिए अनिवार्य ऐप सैंडबॉक्स
  • सुरक्षित अंतरप्रक्रिया संचार
  • ऐप साइनिंग
  • ऐप-परिभाषित और उपयोगकर्ता द्वारा दी गई अनुमतियाँ
,

एंड्रॉइड उद्योग-अग्रणी सुरक्षा सुविधाओं को शामिल करता है और एंड्रॉइड प्लेटफ़ॉर्म और पारिस्थितिकी तंत्र को सुरक्षित रखने के लिए डेवलपर्स और डिवाइस कार्यान्वयनकर्ताओं के साथ काम करता है। एंड्रॉइड प्लेटफ़ॉर्म पर और उसके आसपास निर्मित और क्लाउड सेवाओं द्वारा समर्थित ऐप्स और उपकरणों के एक सशक्त पारिस्थितिकी तंत्र को सक्षम करने के लिए एक मजबूत सुरक्षा मॉडल आवश्यक है। परिणामस्वरूप, अपने संपूर्ण विकास जीवनचक्र के दौरान, एंड्रॉइड एक कठोर सुरक्षा कार्यक्रम के अधीन रहा है।

एंड्रॉइड को खुला रखने के लिए डिज़ाइन किया गया है। एंड्रॉइड ऐप्स उपभोक्ताओं के लिए नवीनता और मूल्य लाने के लिए उन्नत हार्डवेयर और सॉफ़्टवेयर के साथ-साथ प्लेटफ़ॉर्म के माध्यम से प्रदर्शित स्थानीय और परोसे गए डेटा का उपयोग करते हैं। उस मूल्य का एहसास करने के लिए, प्लेटफ़ॉर्म एक ऐप वातावरण प्रदान करता है जो उपयोगकर्ताओं, डेटा, ऐप्स, डिवाइस और नेटवर्क की गोपनीयता, अखंडता और उपलब्धता की रक्षा करता है।

एक खुले मंच को सुरक्षित करने के लिए एक मजबूत सुरक्षा वास्तुकला और कठोर सुरक्षा कार्यक्रमों की आवश्यकता होती है। एंड्रॉइड को बहुस्तरीय सुरक्षा के साथ डिज़ाइन किया गया था जो कि प्लेटफ़ॉर्म के सभी उपयोगकर्ताओं की सुरक्षा करते हुए एक खुले प्लेटफ़ॉर्म का समर्थन करने के लिए पर्याप्त लचीला है। सुरक्षा समस्याओं की रिपोर्टिंग और अद्यतन प्रक्रिया के बारे में जानकारी के लिए, सुरक्षा अद्यतन और संसाधन देखें।

एंड्रॉइड डेवलपर्स के लिए डिज़ाइन किया गया है। डेवलपर्स पर बोझ कम करने के लिए सुरक्षा नियंत्रण डिज़ाइन किए गए थे। सुरक्षा-प्रेमी डेवलपर्स आसानी से लचीले सुरक्षा नियंत्रणों के साथ काम कर सकते हैं और उन पर भरोसा कर सकते हैं। सुरक्षा से कम परिचित डेवलपर्स सुरक्षित डिफ़ॉल्ट द्वारा सुरक्षित हैं।

निर्माण के लिए एक स्थिर मंच प्रदान करने के अलावा, एंड्रॉइड कई तरीकों से डेवलपर्स को अतिरिक्त सहायता देता है। एंड्रॉइड सुरक्षा टीम ऐप्स में संभावित कमजोरियों की तलाश करती है और उन समस्याओं को ठीक करने के तरीके सुझाती है। Google Play वाले उपकरणों के लिए, Play Services OpenSSL जैसे महत्वपूर्ण सॉफ़्टवेयर लाइब्रेरीज़ के लिए सुरक्षा अपडेट प्रदान करती है, जिसका उपयोग ऐप संचार को सुरक्षित करने के लिए किया जाता है। एंड्रॉइड सुरक्षा ने एसएसएल ( नोगोटोफ़ेल ) के परीक्षण के लिए एक टूल जारी किया है जो डेवलपर्स को उनके द्वारा विकसित किए जा रहे किसी भी प्लेटफ़ॉर्म पर संभावित सुरक्षा समस्याओं का पता लगाने में मदद करता है।

एंड्रॉइड सुरक्षा के लिए अंतर्निहित हार्डवेयर समर्थन का भी लाभ उठाता है। उदाहरण के लिए, एआरएम ट्रस्टज़ोन तकनीक का उपयोग क्रिप्टोग्राफ़िक कुंजियों के साथ-साथ बूट अखंडता के सत्यापन के लिए सुरक्षित भंडारण प्रदान करने के लिए किया जाता है। [DICE](https://pigweed.googlesource.com/open-dice/+/refs/heads/main/docs/android.md) का उपयोग एंड्रॉइड को बूट करने से पहले लोड किए गए फर्मवेयर को मापने के लिए किया जाता है। यह दूरस्थ सत्यापन को सक्षम बनाता है कि फर्मवेयर ज्ञात, महत्वपूर्ण कमजोरियों से प्रभावित नहीं है जिसका उपयोग डेवलपर्स और उपयोगकर्ताओं दोनों को नुकसान पहुंचाने के लिए किया जा सकता है।

एंड्रॉइड ऐप डेवलपर्स के लिए अधिक जानकारी डेवलपर.android.com पर पाई जा सकती है।

Android उपयोगकर्ताओं के लिए डिज़ाइन किया गया है। उपयोगकर्ताओं को प्रत्येक ऐप द्वारा अनुरोधित अनुमतियों की दृश्यता और उन अनुमतियों पर नियंत्रण प्रदान किया जाता है। इस डिज़ाइन में यह अपेक्षा शामिल है कि हमलावर सामान्य हमले करने का प्रयास करेंगे, जैसे डिवाइस उपयोगकर्ताओं को मैलवेयर इंस्टॉल करने के लिए मनाने के लिए सोशल इंजीनियरिंग हमले, और एंड्रॉइड पर तीसरे पक्ष के ऐप्स पर हमले। एंड्रॉइड को इन हमलों की संभावना को कम करने और सफल होने की स्थिति में हमले के प्रभाव को सीमित करने के लिए डिज़ाइन किया गया था। डिवाइस उपयोगकर्ता के हाथ में आने के बाद एंड्रॉइड सुरक्षा में प्रगति जारी रहती है। एंड्रॉइड किसी भी एंड्रॉइड डिवाइस के लिए पैच प्रदान करने के लिए भागीदारों और जनता के साथ काम करता है जो सुरक्षा अपडेट प्राप्त करना जारी रखता है।

अंतिम उपयोगकर्ताओं के लिए अधिक जानकारी नेक्सस सहायता केंद्र , पिक्सेल सहायता केंद्र , या आपके डिवाइस निर्माता के सहायता केंद्र में पाई जा सकती है।

यह पृष्ठ एंड्रॉइड सुरक्षा कार्यक्रम के लक्ष्यों को रेखांकित करता है, एंड्रॉइड सुरक्षा वास्तुकला के बुनियादी सिद्धांतों का वर्णन करता है, और सिस्टम आर्किटेक्ट और सुरक्षा विश्लेषकों के लिए सबसे प्रासंगिक प्रश्नों के उत्तर देता है। यह एंड्रॉइड के मुख्य प्लेटफ़ॉर्म की सुरक्षा सुविधाओं पर ध्यान केंद्रित करता है और उन सुरक्षा मुद्दों पर चर्चा नहीं करता है जो विशिष्ट ऐप्स के लिए अद्वितीय हैं, जैसे कि ब्राउज़र या एसएमएस ऐप से संबंधित।

पृष्ठभूमि

एंड्रॉइड मोबाइल उपकरणों के लिए एक ओपन सोर्स प्लेटफॉर्म और ऐप वातावरण प्रदान करता है।

नीचे दिए गए अनुभाग और पृष्ठ एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा सुविधाओं का वर्णन करते हैं। चित्र 1 एंड्रॉइड सॉफ़्टवेयर स्टैक के विभिन्न स्तरों के सुरक्षा घटकों और विचारों को दर्शाता है। प्रत्येक घटक मानता है कि नीचे दिए गए घटक ठीक से सुरक्षित हैं। रूट के रूप में चलने वाले एंड्रॉइड ओएस कोड की थोड़ी मात्रा को छोड़कर, लिनक्स कर्नेल के ऊपर के सभी कोड एप्लिकेशन सैंडबॉक्स द्वारा प्रतिबंधित हैं।

चित्र 1: एंड्रॉइड सॉफ़्टवेयर स्टैक

चित्र 1. एंड्रॉइड सॉफ़्टवेयर स्टैक

मुख्य एंड्रॉइड प्लेटफ़ॉर्म बिल्डिंग ब्लॉक हैं:

  • डिवाइस हार्डवेयर: एंड्रॉइड मोबाइल फोन, टैबलेट, घड़ियां, ऑटोमोबाइल, स्मार्ट टीवी, ओटीटी गेमिंग बॉक्स और सेट-टॉप-बॉक्स सहित हार्डवेयर कॉन्फ़िगरेशन की एक विस्तृत श्रृंखला पर चलता है। एंड्रॉइड प्रोसेसर-अज्ञेयवादी है, लेकिन यह कुछ हार्डवेयर-विशिष्ट सुरक्षा क्षमताओं जैसे ARM eXecute-Never का लाभ उठाता है।
  • एंड्रॉइड ऑपरेटिंग सिस्टम: कोर ऑपरेटिंग सिस्टम लिनक्स कर्नेल के शीर्ष पर बनाया गया है। सभी डिवाइस संसाधन, जैसे कैमरा फ़ंक्शन, जीपीएस डेटा, ब्लूटूथ फ़ंक्शन, टेलीफोनी फ़ंक्शन और नेटवर्क कनेक्शन, ऑपरेटिंग सिस्टम के माध्यम से एक्सेस किए जाते हैं।
  • एंड्रॉइड एप्लिकेशन रनटाइम: एंड्रॉइड ऐप्स अक्सर जावा प्रोग्रामिंग भाषा में लिखे जाते हैं और एंड्रॉइड रनटाइम (एआरटी) में चलते हैं। हालाँकि, मुख्य एंड्रॉइड सेवाओं और ऐप्स सहित कई ऐप्स, मूल ऐप्स हैं या उनमें देशी लाइब्रेरी शामिल हैं। एआरटी और नेटिव ऐप दोनों एप्लिकेशन सैंडबॉक्स के भीतर मौजूद एक ही सुरक्षा वातावरण में चलते हैं। ऐप्स को फ़ाइल सिस्टम का एक समर्पित हिस्सा मिलता है जिसमें वे डेटाबेस और कच्ची फ़ाइलों सहित निजी डेटा लिख ​​सकते हैं।

एंड्रॉइड ऐप्स कोर एंड्रॉइड ऑपरेटिंग सिस्टम का विस्तार करते हैं। ऐप्स के लिए दो प्राथमिक स्रोत हैं:

  • प्रीइंस्टॉल्ड ऐप्स: एंड्रॉइड में फ़ोन, ईमेल, कैलेंडर, वेब ब्राउज़र और संपर्कों सहित प्रीइंस्टॉल्ड ऐप्स का एक सेट शामिल होता है। ये उपयोगकर्ता ऐप्स के रूप में कार्य करते हैं और वे प्रमुख डिवाइस क्षमताएं प्रदान करते हैं जिन्हें अन्य ऐप्स द्वारा एक्सेस किया जा सकता है। प्रीइंस्टॉल्ड ऐप्स ओपन सोर्स एंड्रॉइड प्लेटफ़ॉर्म का हिस्सा हो सकते हैं, या उन्हें किसी विशिष्ट डिवाइस के लिए डिवाइस निर्माता द्वारा विकसित किया जा सकता है।
  • उपयोगकर्ता द्वारा इंस्टॉल किए गए ऐप्स: एंड्रॉइड एक खुला विकास वातावरण प्रदान करता है जो किसी भी तृतीय-पक्ष ऐप का समर्थन करता है। Google Play उपयोगकर्ताओं को सैकड़ों-हजारों ऐप्स प्रदान करता है।

गूगल सुरक्षा सेवाएँ

Google क्लाउड-आधारित सेवाओं का एक सेट प्रदान करता है जो Google मोबाइल सेवाओं के साथ संगत Android उपकरणों के लिए उपलब्ध है। हालाँकि ये सेवाएँ एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) का हिस्सा नहीं हैं, लेकिन ये कई एंड्रॉइड डिवाइसों पर शामिल हैं। इनमें से कुछ सेवाओं के बारे में अधिक जानकारी के लिए, Android Security की 2018 वर्ष की समीक्षा देखें।

प्राथमिक Google सुरक्षा सेवाएँ हैं:

  • Google Play: Google Play सेवाओं का एक संग्रह है जो उपयोगकर्ताओं को अपने Android डिवाइस या वेब से ऐप्स खोजने, इंस्टॉल करने और खरीदने की अनुमति देता है। Google Play डेवलपर्स के लिए Android उपयोगकर्ताओं और संभावित ग्राहकों तक पहुंचना आसान बनाता है। Google Play सामुदायिक समीक्षा, ऐप लाइसेंस सत्यापन , ऐप सुरक्षा स्कैनिंग और अन्य सुरक्षा सेवाएँ भी प्रदान करता है।
  • एंड्रॉइड अपडेट: एंड्रॉइड अपडेट सेवा चयनित एंड्रॉइड डिवाइसों को नई क्षमताएं और सुरक्षा अपडेट प्रदान करती है, जिसमें वेब या ओवर द एयर (ओटीए) के माध्यम से अपडेट शामिल हैं।
  • ऐप सेवाएँ: फ़्रेमवर्क जो एंड्रॉइड ऐप्स को क्लाउड क्षमताओं का उपयोग करने की अनुमति देते हैं जैसे ( बैक अप ) ऐप डेटा और सेटिंग्स और पुश मैसेजिंग के लिए क्लाउड-टू-डिवाइस मैसेजिंग ( C2DM )।
  • ऐप्स सत्यापित करें: हानिकारक ऐप्स के इंस्टॉलेशन को चेतावनी दें या स्वचालित रूप से ब्लॉक करें, और डिवाइस पर ऐप्स को लगातार स्कैन करें, हानिकारक ऐप्स के बारे में चेतावनी दें या हटा दें।
  • सेफ्टीनेट: Google ट्रैकिंग में सहायता करने, ज्ञात सुरक्षा खतरों को कम करने और नए सुरक्षा खतरों की पहचान करने के लिए एक गोपनीयता संरक्षण घुसपैठ का पता लगाने वाली प्रणाली।
  • सेफ्टीनेट सत्यापन: डिवाइस सीटीएस संगत है या नहीं यह निर्धारित करने के लिए तृतीय-पक्ष एपीआई। सत्यापन ऐप सर्वर के साथ संचार करने वाले एंड्रॉइड ऐप की भी पहचान कर सकता है।
  • एंड्रॉइड डिवाइस मैनेजर: खोए या चोरी हुए डिवाइस का पता लगाने के लिए एक वेब ऐप और एंड्रॉइड ऐप

सुरक्षा कार्यक्रम सिंहावलोकन

Android सुरक्षा कार्यक्रम के प्रमुख घटकों में शामिल हैं:

  • डिज़ाइन समीक्षा: एंड्रॉइड सुरक्षा प्रक्रिया एक समृद्ध और कॉन्फ़िगर करने योग्य सुरक्षा मॉडल और डिज़ाइन के निर्माण के साथ विकास जीवनचक्र में शुरू होती है। प्लेटफ़ॉर्म की प्रत्येक प्रमुख विशेषता की समीक्षा इंजीनियरिंग और सुरक्षा संसाधनों द्वारा की जाती है, जिसमें उचित सुरक्षा नियंत्रण सिस्टम के आर्किटेक्चर में एकीकृत होते हैं।
  • प्रवेश परीक्षण और कोड समीक्षा: प्लेटफ़ॉर्म के विकास के दौरान, एंड्रॉइड-निर्मित और ओपन सोर्स घटक जोरदार सुरक्षा समीक्षाओं के अधीन हैं। ये समीक्षाएँ Android सुरक्षा टीम, Google की सूचना सुरक्षा इंजीनियरिंग टीम और स्वतंत्र सुरक्षा सलाहकारों द्वारा की जाती हैं। इन समीक्षाओं का लक्ष्य प्रमुख रिलीज़ से पहले कमजोरियों और संभावित कमजोरियों की पहचान करना और रिलीज़ होने पर बाहरी सुरक्षा विशेषज्ञों द्वारा किए जाने वाले विश्लेषण के प्रकारों का अनुकरण करना है।
  • खुला स्रोत और सामुदायिक समीक्षा: एओएसपी किसी भी इच्छुक पक्ष द्वारा व्यापक सुरक्षा समीक्षा को सक्षम बनाता है। एंड्रॉइड ओपन सोर्स प्रौद्योगिकियों का भी उपयोग करता है जिनकी महत्वपूर्ण बाहरी सुरक्षा समीक्षा हुई है, जैसे कि लिनक्स कर्नेल। Google Play उपयोगकर्ताओं और कंपनियों को विशिष्ट ऐप्स के बारे में सीधे उपयोगकर्ताओं को जानकारी प्रदान करने के लिए एक मंच प्रदान करता है।
  • घटना प्रतिक्रिया: इन सावधानियों के साथ भी, शिपिंग के बाद सुरक्षा समस्याएं हो सकती हैं, यही कारण है कि एंड्रॉइड प्रोजेक्ट ने एक व्यापक सुरक्षा प्रतिक्रिया प्रक्रिया बनाई है। पूर्णकालिक एंड्रॉइड सुरक्षा टीम के सदस्य संभावित कमजोरियों की चर्चा के लिए एंड्रॉइड-विशिष्ट और सामान्य सुरक्षा समुदाय की निगरानी करते हैं और एंड्रॉइड बग डेटाबेस पर दायर सुरक्षा बग की समीक्षा करते हैं। वैध मुद्दों की खोज पर, एंड्रॉइड टीम के पास एक प्रतिक्रिया प्रक्रिया है जो कमजोरियों को तेजी से कम करने में सक्षम बनाती है ताकि यह सुनिश्चित किया जा सके कि सभी एंड्रॉइड उपयोगकर्ताओं के लिए संभावित जोखिम कम हो। इन क्लाउड-समर्थित प्रतिक्रियाओं में एंड्रॉइड प्लेटफ़ॉर्म को अपडेट करना (एओएसपी अपडेट), Google Play से ऐप्स हटाना और फ़ील्ड में डिवाइस से ऐप्स हटाना शामिल हो सकता है।
  • मासिक सुरक्षा अपडेट: एंड्रॉइड सुरक्षा टीम Google एंड्रॉइड डिवाइस और हमारे सभी डिवाइस विनिर्माण भागीदारों को मासिक अपडेट प्रदान करती है।

प्लेटफ़ॉर्म सुरक्षा वास्तुकला

एंड्रॉइड पारंपरिक ऑपरेटिंग सिस्टम सुरक्षा नियंत्रणों को पुन: उपयोग करके मोबाइल प्लेटफ़ॉर्म के लिए सबसे सुरक्षित और उपयोगी ऑपरेटिंग सिस्टम बनना चाहता है:

  • ऐप और उपयोगकर्ता डेटा को सुरक्षित रखें
  • सिस्टम संसाधनों को सुरक्षित रखें (नेटवर्क सहित)
  • सिस्टम, अन्य ऐप्स और उपयोगकर्ता से ऐप अलगाव प्रदान करें

इन उद्देश्यों को प्राप्त करने के लिए, Android ये प्रमुख सुरक्षा सुविधाएँ प्रदान करता है:

  • लिनक्स कर्नेल के माध्यम से ओएस स्तर पर मजबूत सुरक्षा
  • सभी ऐप्स के लिए अनिवार्य ऐप सैंडबॉक्स
  • सुरक्षित अंतरप्रक्रिया संचार
  • ऐप साइनिंग
  • ऐप-परिभाषित और उपयोगकर्ता द्वारा दी गई अनुमतियाँ