Android डिवाइस को सुरक्षित रखना

Android में सुरक्षा से जुड़ी इंडस्ट्री की बेहतरीन सुविधाएं शामिल हैं. साथ ही, Android प्लैटफ़ॉर्म और नेटवर्क को सुरक्षित रखने के लिए, यह डेवलपर और डिवाइस इंप्लीमेंटर के साथ मिलकर काम करता है. Android प्लैटफ़ॉर्म पर और उसके आस-पास बने ऐप्लिकेशन और डिवाइसों के बेहतर नेटवर्क को चालू करने के लिए, बेहतर सुरक्षा मॉडल होना ज़रूरी है. साथ ही, यह भी ज़रूरी है कि इन ऐप्लिकेशन और डिवाइसों को क्लाउड सेवाओं की मदद मिलती हो. इसलिए, डेवलपमेंट के पूरे लाइफ़साइकल के दौरान, Android को सुरक्षा से जुड़े सख्त प्रोग्राम के तहत रखा गया है.

Android को ओपन सोर्स के तौर पर डिज़ाइन किया गया है. Android ऐप्लिकेशन, बेहतर हार्डवेयर और सॉफ़्टवेयर के साथ-साथ स्थानीय और डिलीवर किए गए डेटा का इस्तेमाल करते हैं. इस डेटा को प्लैटफ़ॉर्म के ज़रिए दिखाया जाता है, ताकि उपभोक्ताओं को नए तरीके और फ़ायदे मिल सकें. इस वैल्यू को हासिल करने के लिए, प्लैटफ़ॉर्म एक ऐसा ऐप्लिकेशन एनवायरमेंट उपलब्ध कराता है जो उपयोगकर्ताओं, डेटा, ऐप्लिकेशन, डिवाइस, और नेटवर्क की गोपनीयता, पूरी सुरक्षा, और उपलब्धता को सुरक्षित रखता है.

किसी ओपन प्लैटफ़ॉर्म को सुरक्षित रखने के लिए, सुरक्षा के बेहतर आर्किटेक्चर और सख्त सुरक्षा प्रोग्राम की ज़रूरत होती है. Android को कई लेयर वाली सुरक्षा के साथ डिज़ाइन किया गया है. यह सुरक्षा, प्लैटफ़ॉर्म के सभी उपयोगकर्ताओं को सुरक्षित रखने के साथ-साथ, ओपन प्लैटफ़ॉर्म के साथ काम करने के लिए भी ज़रूरी है. सुरक्षा से जुड़ी समस्याओं की शिकायत करने और अपडेट करने की प्रोसेस के बारे में जानने के लिए, सुरक्षा से जुड़े अपडेट और संसाधन देखें.

Android को डेवलपर के लिए डिज़ाइन किया गया है. सिक्योरिटी कंट्रोल को डेवलपर पर पड़ने वाले बोझ को कम करने के लिए डिज़ाइन किया गया था. सुरक्षा के बारे में अच्छी जानकारी रखने वाले डेवलपर, आसानी से सुरक्षा कंट्रोल का इस्तेमाल कर सकते हैं और उन पर भरोसा कर सकते हैं. जिन डेवलपर को सुरक्षा के बारे में कम जानकारी है उन्हें डिफ़ॉल्ट रूप से सुरक्षित सुविधाओं का फ़ायदा मिलता है.

Android, ऐप्लिकेशन बनाने के लिए एक बेहतर प्लैटफ़ॉर्म उपलब्ध कराता है. साथ ही, यह डेवलपर को कई तरीकों से अतिरिक्त सहायता भी देता है. Android की सुरक्षा टीम, ऐप्लिकेशन में संभावित जोखिम की आशंकाओं का पता लगाती है और उन समस्याओं को ठीक करने के तरीके सुझाती है. Google Play वाले डिवाइसों के लिए, Play services, ज़रूरी सॉफ़्टवेयर लाइब्रेरी के लिए सुरक्षा से जुड़े अपडेट डिलीवर करता है. जैसे, OpenSSL, जिसका इस्तेमाल ऐप्लिकेशन के कम्यूनिकेशन को सुरक्षित रखने के लिए किया जाता है. Android सुरक्षा ने एसएसएल की जांच करने के लिए एक टूल (nogotofail) रिलीज़ किया है. इसकी मदद से, डेवलपर को उस प्लैटफ़ॉर्म पर सुरक्षा से जुड़ी संभावित समस्याओं का पता चलता है जिस पर वे ऐप्लिकेशन डेवलप कर रहे हैं.

Android, सुरक्षा के लिए डिवाइस में पहले से मौजूद हार्डवेयर की सुविधा का भी इस्तेमाल करता है. उदाहरण के लिए, एआरएम TrustZone टेक्नोलॉजी का इस्तेमाल, क्रिप्टोग्राफ़िक पासकोड के लिए सुरक्षित स्टोरेज देने के साथ-साथ, बूट इंटिग्रिटी की पुष्टि करने के लिए किया जाता है. DICE का इस्तेमाल, Android को बूट करने से पहले लोड किए गए फ़र्मवेयर को मेज़र करने के लिए किया जाता है. इससे, रिमोट से पुष्टि की जा सकती है कि फ़र्मवेयर पर, पहले से पता चली हुई गंभीर कमजोरियों का असर नहीं पड़ा है. इन कमजोरियों का इस्तेमाल करके, डेवलपर और उपयोगकर्ताओं, दोनों को नुकसान पहुंचाया जा सकता है.

Android ऐप्लिकेशन डेवलपर के लिए ज़्यादा जानकारी, developer.android.com पर मिल सकती है.

Android को उपयोगकर्ताओं के लिए डिज़ाइन किया गया है. उपयोगकर्ताओं को यह जानकारी दिखती है कि हर ऐप्लिकेशन ने किन अनुमतियों का अनुरोध किया है. साथ ही, वे इन अनुमतियों को कंट्रोल भी कर सकते हैं. इस डिज़ाइन में यह उम्मीद की जाती है कि हमलावर आम तौर पर होने वाले हमले करने की कोशिश करेंगे. जैसे, डिवाइस के उपयोगकर्ताओं को मैलवेयर इंस्टॉल करने के लिए, सोशल इंजीनियरिंग का इस्तेमाल करके किया जाने वाला हमला. इसके अलावा, Android पर तीसरे पक्ष के ऐप्लिकेशन पर किए जाने वाले हमले भी शामिल हैं. Android को इस तरह डिज़ाइन किया गया है कि इन हमलों की संभावना कम हो और हमले के सफल होने पर, उसके असर को कम किया जा सके. डिवाइस के उपयोगकर्ता के हाथों में आने के बाद भी, Android की सुरक्षा बेहतर होती रहती है. Android, पार्टनर और आम लोगों के साथ मिलकर काम करता है, ताकि उन सभी Android डिवाइसों के लिए पैच उपलब्ध कराए जा सकें जिन्हें सुरक्षा से जुड़े अपडेट मिलते रहते हैं.

असली उपयोगकर्ताओं के लिए ज़्यादा जानकारी, Nexus सहायता केंद्र, Pixel सहायता केंद्र या डिवाइस बनाने वाली कंपनी के सहायता केंद्र पर मिल सकती है.

इस पेज पर, Android सुरक्षा प्रोग्राम के लक्ष्यों के बारे में बताया गया है. साथ ही, Android सुरक्षा आर्किटेक्चर के बुनियादी सिद्धांतों के बारे में जानकारी दी गई है. साथ ही, सिस्टम आर्किटेक्ट और सुरक्षा विश्लेषकों के लिए सबसे ज़रूरी सवालों के जवाब भी दिए गए हैं. यह Android के मुख्य प्लैटफ़ॉर्म की सुरक्षा सुविधाओं पर फ़ोकस करता है. इसमें, किसी खास ऐप्लिकेशन से जुड़ी सुरक्षा से जुड़ी समस्याओं के बारे में नहीं बताया जाता. जैसे, ब्राउज़र या एसएमएस ऐप्लिकेशन से जुड़ी समस्याएं.

बैकग्राउंड

Android, मोबाइल डिवाइसों के लिए ओपन सोर्स प्लैटफ़ॉर्म और ऐप्लिकेशन एनवायरमेंट उपलब्ध कराता है.

यहां दिए गए सेक्शन और पेजों में, Android प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं के बारे में बताया गया है. पहली इमेज में, Android सॉफ़्टवेयर स्टैक के अलग-अलग लेवल के सिक्योरिटी कॉम्पोनेंट और उनसे जुड़ी बातों के बारे में बताया गया है. हर कॉम्पोनेंट यह मानता है कि नीचे दिए गए कॉम्पोनेंट सही तरीके से सुरक्षित हैं. Android OS के कुछ कोड को रूट के तौर पर चलाया जाता है. इसके अलावा, Linux कर्नेल के ऊपर मौजूद सभी कोड पर ऐप्लिकेशन सैंडबॉक्स की पाबंदी होती है.

पहली इमेज. Android सॉफ़्टवेयर स्टैक

Android प्लैटफ़ॉर्म के मुख्य बिल्डिंग ब्लॉक ये हैं:

• डिवाइस का हार्डवेयर: Android, कई तरह के हार्डवेयर कॉन्फ़िगरेशन पर काम करता है. इनमें मोबाइल फ़ोन, टैबलेट, स्मार्टवॉच, वाहन, स्मार्ट टीवी, ओटीटी गेमिंग बॉक्स, और सेट-टॉप बॉक्स शामिल हैं. Android, प्रोसेसर पर निर्भर नहीं है. हालांकि, यह हार्डवेयर से जुड़ी कुछ सुरक्षा सुविधाओं का फ़ायदा लेता है. जैसे, ARM eXecute-Never.
• Android ऑपरेटिंग सिस्टम: मुख्य ऑपरेटिंग सिस्टम, Linux kernel पर बनाया गया है. डिवाइस के सभी संसाधन, जैसे कि कैमरे के फ़ंक्शन, जीपीएस डेटा, ब्लूटूथ फ़ंक्शन, टेलीफ़ोन सेवा के फ़ंक्शन, और नेटवर्क कनेक्शन को ऑपरेटिंग सिस्टम के ज़रिए ऐक्सेस किया जाता है.
• Android ऐप्लिकेशन रनटाइम: Android ऐप्लिकेशन अक्सर Java प्रोग्रामिंग भाषा में लिखे जाते हैं और Android रनटाइम (ART) में चलते हैं. हालांकि, कई ऐप्लिकेशन, नेटिव ऐप्लिकेशन होते हैं या इनमें नेटिव लाइब्रेरी शामिल होती हैं. इनमें Android की मुख्य सेवाएं और ऐप्लिकेशन भी शामिल हैं. ART और नेटिव ऐप्लिकेशन, दोनों एक ही सुरक्षा एनवायरमेंट में चलते हैं. यह एनवायरमेंट, ऐप्लिकेशन सैंडबॉक्स में होता है. ऐप्लिकेशन को फ़ाइल सिस्टम का एक खास हिस्सा मिलता है, जिसमें वे डेटाबेस और रॉ फ़ाइलों के साथ-साथ निजी डेटा सेव कर सकते हैं.

Android ऐप्लिकेशन, Android ऑपरेटिंग सिस्टम की मुख्य सुविधाओं को बेहतर बनाते हैं. ऐप्लिकेशन के लिए दो मुख्य सोर्स होते हैं:

• पहले से इंस्टॉल किए गए ऐप्लिकेशन: Android में पहले से इंस्टॉल किए गए ऐप्लिकेशन का एक सेट शामिल होता है. इसमें फ़ोन, ईमेल, कैलेंडर, वेब ब्राउज़र, और संपर्क सूची जैसे ऐप्लिकेशन शामिल होते हैं. ये उपयोगकर्ता ऐप्लिकेशन के तौर पर काम करते हैं और ये डिवाइस की ऐसी मुख्य सुविधाएं उपलब्ध कराते हैं जिन्हें दूसरे ऐप्लिकेशन ऐक्सेस कर सकते हैं. पहले से इंस्टॉल किए गए ऐप्लिकेशन, ओपन सोर्स Android प्लैटफ़ॉर्म का हिस्सा हो सकते हैं. इसके अलावा, हो सकता है कि डिवाइस बनाने वाली कंपनी ने किसी खास डिवाइस के लिए उन्हें डेवलप किया हो.
• उपयोगकर्ता के इंस्टॉल किए गए ऐप्लिकेशन: Android, तीसरे पक्ष के किसी भी ऐप्लिकेशन के साथ काम करने वाला एक ओपन डेवलपमेंट एनवायरमेंट उपलब्ध कराता है. Google Play पर, उपयोगकर्ताओं को लाखों ऐप्लिकेशन मिलते हैं.

Google की सुरक्षा सेवाएं

Google, क्लाउड-आधारित सेवाओं का एक सेट उपलब्ध कराता है. ये सेवाएं, Google Mobile Services के साथ काम करने वाले Android डिवाइसों पर उपलब्ध होती हैं. ये सेवाएं, Android Open Source Project (AOSP) का हिस्सा नहीं हैं. हालांकि, ये कई Android डिवाइसों पर उपलब्ध हैं. इनमें से कुछ सेवाओं के बारे में ज़्यादा जानने के लिए, Android Security की 2018 की समीक्षा देखें.

Google की मुख्य सुरक्षा सेवाएं ये हैं:

• Google Play: Google Play, सेवाओं का एक कलेक्शन है. इसकी मदद से, उपयोगकर्ता अपने Android डिवाइस या वेब से ऐप्लिकेशन खोज सकते हैं, इंस्टॉल कर सकते हैं, और खरीद सकते हैं. Google Play की मदद से, डेवलपर आसानी से Android उपयोगकर्ताओं और संभावित ग्राहकों तक पहुंच सकते हैं. Google Play, कम्यूनिटी की समीक्षा, ऐप्लिकेशन के लाइसेंस की पुष्टि, ऐप्लिकेशन की सुरक्षा से जुड़ी जांच, और सुरक्षा से जुड़ी अन्य सेवाएं भी उपलब्ध कराता है.
• Android अपडेट: Android अपडेट सेवा, चुनिंदा Android डिवाइसों पर नई सुविधाएं और सुरक्षा से जुड़े अपडेट उपलब्ध कराती है. इनमें वे अपडेट भी शामिल हैं जो वेब या ओवर द एयर (ओटीए) के ज़रिए मिलते हैं.
• ऐप्लिकेशन सेवाएं: ये फ़्रेमवर्क, Android ऐप्लिकेशन को क्लाउड की सुविधाओं का इस्तेमाल करने की अनुमति देते हैं. जैसे, ऐप्लिकेशन के डेटा और सेटिंग का (बैकअप लें) और पुश मैसेज के लिए क्लाउड-टू-डिवाइस मैसेजिंग (C2DM).
• ऐप्लिकेशन की पुष्टि करें: नुकसान पहुंचाने वाले ऐप्लिकेशन को इंस्टॉल करने से रोकने या इसके बारे में चेतावनी देने के लिए, डिवाइस पर ऐप्लिकेशन को लगातार स्कैन किया जाता है. साथ ही, नुकसान पहुंचाने वाले ऐप्लिकेशन के बारे में चेतावनी दी जाती है या उन्हें हटाया जाता है.
• SafetyNet: यह निजता बनाए रखने वाला, घुसपैठ का पता लगाने वाला सिस्टम है. इससे, Google को ट्रैकिंग में मदद मिलती है. साथ ही, इससे सुरक्षा से जुड़े जाने-पहचाने खतरों को कम करने और सुरक्षा से जुड़े नए खतरों की पहचान करने में मदद मिलती है.
• SafetyNet Attestation: तीसरे पक्ष का एपीआई, जिससे यह पता चलता है कि डिवाइस, सीटीएस के साथ काम करता है या नहीं. पुष्टि की मदद से, ऐप्लिकेशन सर्वर से कनेक्ट करने वाले Android ऐप्लिकेशन की पहचान भी की जा सकती है.
• Android डिवाइस मैनेजर: यह एक ऐसा वेब ऐप्लिकेशन और Android ऐप्लिकेशन है जिसकी मदद से, खोए हुए या चोरी हुए डिवाइस का पता लगाया जा सकता है.

सुरक्षा प्रोग्राम की खास जानकारी

Android Security Program के मुख्य कॉम्पोनेंट में ये शामिल हैं:

• डिज़ाइन की समीक्षा: Android की सुरक्षा प्रोसेस, डेवलपमेंट लाइफ़साइकल के शुरुआती चरण में ही शुरू हो जाती है. इसके लिए, बेहतर और कॉन्फ़िगर किए जा सकने वाले सुरक्षा मॉडल और डिज़ाइन बनाए जाते हैं. प्लैटफ़ॉर्म की हर मुख्य सुविधा की समीक्षा, इंजीनियरिंग और सुरक्षा संसाधनों की मदद से की जाती है. साथ ही, सिस्टम के आर्किटेक्चर में सुरक्षा से जुड़े सही कंट्रोल इंटिग्रेट किए जाते हैं.
• जोखिम की संभावना का पता लगाने वाला टेस्ट और कोड की समीक्षा: प्लैटफ़ॉर्म के डेवलपमेंट के दौरान, Android के बनाए गए और ओपन सोर्स कॉम्पोनेंट की सुरक्षा की समीक्षा बारीकी से की जाती है. इन समीक्षाओं को Android की सुरक्षा टीम, Google की सूचना सुरक्षा इंजीनियरिंग टीम, और सुरक्षा से जुड़े स्वतंत्र सलाहकार करते हैं. इन समीक्षाओं का मकसद, मुख्य रिलीज़ से पहले ही कमज़ोरियों और संभावित खतरों की पहचान करना है. साथ ही, रिलीज़ होने के बाद, बाहरी सुरक्षा विशेषज्ञों के विश्लेषण के तरीके को सिम्युलेट करना है.
• ओपन सोर्स और कम्यूनिटी की समीक्षा: AOSP के लिए, कोई भी व्यक्ति या संगठन, सुरक्षा से जुड़ी व्यापक समीक्षा कर सकता है. Android, ऐसी ओपन सोर्स टेक्नोलॉजी का भी इस्तेमाल करता है जिनकी सुरक्षा की समीक्षा बाहरी विशेषज्ञों ने की है. जैसे, Linux kernel. Google Play, उपयोगकर्ताओं और कंपनियों के लिए एक फ़ोरम उपलब्ध कराता है. इस फ़ोरम की मदद से, उपयोगकर्ताओं को सीधे तौर पर खास ऐप्लिकेशन के बारे में जानकारी दी जा सकती है.
• सुरक्षा से जुड़ी समस्याओं को हल करना: इन सावधानियों के बावजूद, डिवाइस शिप होने के बाद भी सुरक्षा से जुड़ी समस्याएं हो सकती हैं. इसलिए, Android प्रोजेक्ट ने सुरक्षा से जुड़ी समस्याओं को हल करने के लिए एक पूरी प्रोसेस बनाई है. Android की सुरक्षा से जुड़ी पूरी तरह से काम करने वाली टीम के सदस्य, Android और सामान्य सुरक्षा कम्यूनिटी को मॉनिटर करते हैं. इससे, संभावित कमजोरियों के बारे में चर्चा की जा सकती है. साथ ही, Android के बग डेटाबेस में दर्ज सुरक्षा से जुड़े बग की समीक्षा की जा सकती है. किसी भी तरह की असल समस्या का पता चलने पर, Android टीम एक रिस्पॉन्स प्रोसेस अपनाती है. इससे, कमज़ोरियों को तुरंत ठीक किया जा सकता है. इससे यह पक्का किया जा सकता है कि Android के सभी उपयोगकर्ताओं को कम से कम जोखिम हो. क्लाउड की मदद से मिलने वाले इन जवाबों में, Android प्लैटफ़ॉर्म (AOSP अपडेट) को अपडेट करना, Google Play से ऐप्लिकेशन हटाना, और फ़ील्ड में मौजूद डिवाइसों से ऐप्लिकेशन हटाना शामिल हो सकता है.
• सुरक्षा से जुड़े हर महीने मिलने वाले अपडेट: Android की सुरक्षा टीम, Google के Android डिवाइसों और डिवाइस बनाने वाले सभी पार्टनर को हर महीने अपडेट उपलब्ध कराती है.