Google 致力于为黑人社区推动种族平等。查看具体举措
इस पेज का अनुवाद Cloud Translation API से किया गया है.
Switch to English

सुरक्षा अद्यतन और संसाधन

एंड्रॉइड प्लेटफ़ॉर्म में खोजे गए एंड्रॉइड प्लेटफ़ॉर्म पर खोजे गए कई मुख्य एंड्रॉइड ऐप में सुरक्षा सुरक्षा कमजोरियों के प्रबंधन के लिए एंड्रॉइड सुरक्षा टीम जिम्मेदार है।

एंड्रॉइड सुरक्षा टीम आंतरिक अनुसंधान के माध्यम से सुरक्षा कमजोरियों का पता लगाती है और तीसरे पक्ष द्वारा रिपोर्ट किए गए बगों का भी जवाब देती है। बाहरी बग के स्रोतों में एंड्रॉइड सिक्योरिटी इश्यू टेम्प्लेट के माध्यम से रिपोर्ट किए गए मुद्दे , प्रकाशित और पूर्वप्रकाशित अकादमिक शोध, अपस्ट्रीम ओपन सोर्स प्रोजेक्ट मेंटेनर, हमारे डिवाइस निर्माता साझेदारों से सूचनाएं और ब्लॉग या सोशल मीडिया पर पोस्ट किए गए सार्वजनिक रूप से प्रकट किए गए मुद्दे शामिल हैं।

सुरक्षा के मुद्दों की रिपोर्टिंग

कोई भी डेवलपर, Android उपयोगकर्ता या सुरक्षा शोधकर्ता सुरक्षा भेद्यता रिपोर्टिंग प्रपत्र के माध्यम से संभावित सुरक्षा समस्याओं की Android सुरक्षा टीम को सूचित कर सकता है

सुरक्षा मुद्दों के रूप में चिह्नित किए गए कीड़े बाहरी रूप से दिखाई नहीं देते हैं, लेकिन समस्या का मूल्यांकन या समाधान होने के बाद उन्हें अंततः दिखाई दे सकता है। यदि आप किसी सुरक्षा समस्या को हल करने के लिए पैच या कम्पैटिबिलिटी टेस्ट सूट (सीटीएस) टेस्ट सबमिट करने की योजना बनाते हैं, तो कृपया इसे बग रिपोर्ट में संलग्न करें और कोड को AOSP पर अपलोड करने से पहले प्रतिक्रिया की प्रतीक्षा करें।

ट्राइंग बग्स

सुरक्षा भेद्यता को संभालने का पहला काम बग की गंभीरता को पहचानना है और Android का कौन सा घटक प्रभावित होता है। गंभीरता यह निर्धारित करती है कि समस्या को कैसे प्राथमिकता दी जाती है, और घटक यह निर्धारित करता है कि बग को कौन ठीक करता है, किसे अधिसूचित किया जाता है, और कैसे फिक्स उपयोगकर्ताओं को तैनात किया जाता है।

प्रक्रिया के प्रकार

यह तालिका प्रक्रिया प्रकारों की परिभाषाओं को शामिल करती है। प्रक्रिया प्रकार को ऐप या प्रक्रिया के प्रकार या उस क्षेत्र से परिभाषित किया जा सकता है जिसमें यह चलता है। इस तालिका को कम से कम अधिकांश विशेषाधिकार प्राप्त करने का आदेश दिया गया है।

प्रक्रिया प्रकार प्रकार परिभाषा
विवश प्रक्रिया एक प्रक्रिया जो बहुत सीमित SELinux डोमेन में चलती है।
या
एक प्रक्रिया जो एक सामान्य ऐप की तुलना में काफी अधिक सीमित है।
अनपेक्षित प्रक्रिया एक आवेदन या प्रक्रिया जो SELinux डोमेन में untrusted_app_all विशेषता के साथ चलती है, या समान रूप से प्रतिबंधित है।
विशेषाधिकार प्राप्त प्रक्रिया क्षमताओं के साथ एक ऐप या प्रक्रिया जिसे SELinux untrusted_app डोमेन द्वारा निषिद्ध किया जाएगा।
या
महत्वपूर्ण विशेषाधिकार के साथ एक ऐप या प्रक्रिया जिसे तृतीय-पक्ष ऐप प्राप्त नहीं कर सकता है।
या
डिवाइस पर एक अंतर्निहित हार्डवेयर घटक जो विश्वसनीय कंप्यूटिंग बेस (टीसीबी) का हिस्सा नहीं है।
विश्वसनीय कंप्यूटिंग बेस (TCB) फ़ंक्शनलिटी जो कि कर्नेल का हिस्सा है, उसी CPU संदर्भ में चलता है जैसे कर्नेल (जैसे डिवाइस ड्राइवर), कर्नेल मेमोरी (जैसे डिवाइस पर हार्डवेयर घटक) तक सीधी पहुंच होती है, लिपियों को कर्नेल घटक में लोड करने की क्षमता होती है ( उदाहरण के लिए, eBPF), Baseband प्रोसेसर, या उपयोगकर्ता सेवाओं के एक मुट्ठी भर है कि गिरी समकक्ष माना जाता है में से एक है: apexd , bpfloader , init , ueventd , और vold
बूटलोडर एक घटक जो डिवाइस को बूट पर कॉन्फ़िगर करता है और फिर एंड्रॉइड ओएस पर नियंत्रण पास करता है।
विश्वसनीय निष्पादन पर्यावरण (TEE) एक घटक जिसे एक शत्रुतापूर्ण कर्नेल से भी संरक्षित किया जाता है (उदाहरण के लिए, ट्रस्टज़ोन और हाइपरवाइज़र)।
सुरक्षित तत्व (एसई) एक वैकल्पिक घटक जिसे डिवाइस पर अन्य सभी घटकों से और भौतिक हमले से सुरक्षित किया गया है, जैसा कि सुरक्षित तत्वों के परिचय में परिभाषित किया गया है।

तीव्रता

एक बग की गंभीरता आमतौर पर संभावित नुकसान को दर्शाती है जो बग का सफलतापूर्वक दोहन करने पर हो सकती है। गंभीरता को निर्धारित करने के लिए निम्नलिखित मानदंडों का उपयोग करें।

रेटिंग सफल शोषण का परिणाम है
नाजुक
  • एसई द्वारा सुरक्षित डेटा तक अनधिकृत पहुंच
  • टीईई या एसई में मनमाना कोड निष्पादन
  • एक विशेषाधिकार प्राप्त प्रक्रिया, बूटलोडर, या टीसीबी में दूरस्थ मनमाना कोड निष्पादन
  • सेवा के दूरस्थ स्थायी इनकार (डिवाइस की अक्षमता: पूरी तरह से स्थायी या पूरे ऑपरेटिंग सिस्टम या फैक्टरी रीसेट को फिर से भरने की आवश्यकता)
  • पैकेज स्थापना या समकक्ष व्यवहार पर उपयोगकर्ता इंटरैक्शन आवश्यकताओं का रिमोट बाईपास
  • किसी भी डेवलपर, सुरक्षा, या गोपनीयता सेटिंग्स के लिए उपयोगकर्ता इंटरैक्शन आवश्यकताओं का रिमोट बाईपास
  • रिमोट सुरक्षित बूट बाईपास
  • महत्वपूर्ण हार्डवेयर घटकों को खराबी (उदाहरण के लिए, थर्मल सुरक्षा) को रोकने के लिए डिज़ाइन किए गए सुरक्षा तंत्रों का बायपास
उच्च
  • स्थानीय सुरक्षित बूट बाईपास
  • एक मुख्य सुरक्षा सुविधा का पूर्ण बायपास (जैसे SELinux, FDE, या seccomp)
  • एक अनपेक्षित प्रक्रिया में दूरस्थ मनमाना कोड निष्पादन
  • एक विशेषाधिकार प्राप्त प्रक्रिया, बूट लोडर, या टीसीबी में स्थानीय मनमाना कोड निष्पादन
  • TEE द्वारा सुरक्षित डेटा तक अनधिकृत पहुँच
  • एसई के खिलाफ हमले जिसके परिणामस्वरूप कम सुरक्षित कार्यान्वयन के लिए अपग्रेड किया जाता है
  • पैकेज स्थापना या समकक्ष व्यवहार पर उपयोगकर्ता इंटरैक्शन आवश्यकताओं के स्थानीय बाईपास
  • संरक्षित डेटा तक पहुंच (डेटा जो एक विशेषाधिकार प्राप्त प्रक्रिया तक सीमित है)
  • स्थानीय स्थायी सेवा से इनकार (डिवाइस की अक्षमता: स्थायी या पूरे ऑपरेटिंग सिस्टम या फैक्ट्री रीसेट को फिर से भरने की आवश्यकता)
  • उपयोगकर्ता सहभागिता आवश्यकताओं का रिमोट बाईपास (कार्यक्षमता या डेटा तक पहुंच जो सामान्य रूप से उपयोगकर्ता दीक्षा या उपयोगकर्ता की अनुमति की आवश्यकता होती है)
  • असुरक्षित नेटवर्क प्रोटोकॉल पर संवेदनशील जानकारी प्रसारित करना (उदाहरण के लिए, HTTP और अनएन्क्रिप्टेड ब्लूटूथ) जब अनुरोधकर्ता एक सुरक्षित ट्रांसमिशन की उम्मीद करता है (ध्यान दें कि यह वाई-फाई एन्क्रिप्शन पर लागू नहीं होता है, जैसे WEP)
  • बूटलोडर, टीईई, या एसई में गहराई या शोषण शमन प्रौद्योगिकी में बचाव के लिए एक सामान्य बाईपास
  • ऑपरेटिंग सिस्टम सुरक्षा के लिए एक सामान्य बाईपास जो ऐप डेटा या उपयोगकर्ता प्रोफाइल को एक दूसरे से अलग करता है
  • किसी भी डेवलपर, सुरक्षा या गोपनीयता सेटिंग्स के लिए उपयोगकर्ता इंटरैक्शन आवश्यकताओं का स्थानीय बाईपास
  • ऑन-पाथ हमलों के लिए अनुमति देता है कि मानक परिवहन परत सुरक्षा (TLS) में क्रिप्टोग्राफ़िक भेद्यता
  • लॉकस्क्रीन बाईपास
  • डिवाइस प्रोटेक्शन / फैक्ट्री रिसेट प्रोटेक्शन / कैरियर प्रतिबंधों का बायपास
  • आपातकालीन सेवाओं तक पहुंच की लक्षित रोकथाम
  • TEE द्वारा सुरक्षित की गई उपयोगकर्ता इंटरैक्शन आवश्यकताओं का बाईपास
मध्यम
  • एक विवश प्रक्रिया में दूरस्थ मनमाना कोड निष्पादन
  • दूरस्थ अस्थायी उपकरण सेवा से वंचित (रिमोट हैंग या रिबूट)
  • एक अनियंत्रित प्रक्रिया में स्थानीय मनमाना कोड निष्पादन
  • एक विशेषाधिकार प्राप्त प्रक्रिया या टीसीबी में गहराई या शोषण शमन प्रौद्योगिकी में बचाव के लिए एक सामान्य बाईपास
  • एक विवश प्रक्रिया पर प्रतिबंधों का बायपास
  • असुरक्षित डेटा का रिमोट एक्सेस (आमतौर पर किसी भी स्थानीय रूप से इंस्टॉल किए गए ऐप के लिए सुलभ डेटा)
  • संरक्षित डेटा तक स्थानीय पहुंच (डेटा जो एक विशेषाधिकार प्राप्त प्रक्रिया तक सीमित है)
  • उपयोगकर्ता सहभागिता आवश्यकताओं (कार्यक्षमता या डेटा तक पहुंच जो सामान्य रूप से उपयोगकर्ता दीक्षा या उपयोगकर्ता की अनुमति की आवश्यकता होती है) के स्थानीय बाईपास
  • मानक क्रिप्टो प्राइमेटिव्स में क्रिप्टोग्राफ़िक भेद्यता, जो सादा को लीक करने की अनुमति देता है (टीएलएस में उपयोग किए जाने वाले प्राइमिटिव नहीं)
  • वाई-फाई एन्क्रिप्शन या प्रमाणीकरण को दरकिनार
कम
  • एक विवश प्रक्रिया में स्थानीय मनमाना कोड निष्पादन
  • गैर-मानक उपयोग में क्रिप्टोग्राफ़िक भेद्यता
  • एक गैर-स्वीकृत प्रक्रिया में गहराई या शोषण शमन प्रौद्योगिकी में उपयोगकर्ता स्तर की रक्षा के लिए एक सामान्य बाईपास
नगण्य सुरक्षा प्रभाव (NSI)
  • एक भेद्यता जिसका प्रभाव एक या एक से अधिक रेटिंग संशोधक या संस्करण-विशिष्ट वास्तुकला परिवर्तनों से कम हो गया है, जैसे कि प्रभावी गंभीरता निम्न से कम है, हालांकि अंतर्निहित कोड समस्या बनी रह सकती है
  • किसी भी भेद्यता के लिए एक विकृत फाइल सिस्टम की आवश्यकता होती है, अगर उस फाइल सिस्टम को हमेशा उपयोग से पहले अपनाया / एन्क्रिप्ट किया गया हो

रेटिंग संशोधक

हालांकि सुरक्षा कमजोरियों की गंभीरता को पहचानना अक्सर आसान होता है, परिस्थितियों के आधार पर रेटिंग में बदलाव हो सकता है।

कारण प्रभाव
हमले को अंजाम देने के लिए विशेषाधिकार प्राप्त प्रक्रिया के रूप में चलाने की आवश्यकता है -1 गंभीरता
भेद्यता-विशिष्ट विवरण मुद्दे के प्रभाव को सीमित करता है -1 गंभीरता
बायोमेट्रिक ऑथेंटिकेशन बायपास कि डिवाइस मालिक से सीधे बायोमेट्रिक जानकारी की आवश्यकता होती है -1 गंभीरता
संकलक या प्लेटफ़ॉर्म कॉन्फ़िगरेशन स्रोत कोड में भेद्यता को कम करता है मॉडरेट गंभीरता यदि अंतर्निहित भेद्यता मध्यम या अधिक है
डिवाइस इंटर्नल तक भौतिक पहुंच की आवश्यकता होती है और यह तब भी संभव है जब फोन बंद हो या चालू होने के बाद उसे अनलॉक न किया गया हो -1 गंभीरता
फ़ोन के चालू रहने के दौरान डिवाइस के इंटर्नल तक भौतिक पहुँच की आवश्यकता होती है और इसे पहले अनलॉक किया गया है -2 गंभीरता
एक स्थानीय हमला जिसे बूटलोडर को अनलॉक करने की आवश्यकता होती है लो से ज्यादा नहीं
एक स्थानीय हमला जिसके लिए डेवलपर मोड या किसी भी निरंतर डेवलपर मोड सेटिंग्स की आवश्यकता होती है, जो वर्तमान में डिवाइस पर सक्षम होना चाहिए (और डेवलपर मोड में बग नहीं है)। लो से ज्यादा नहीं
यदि कोई SELinux डोमेन Google द्वारा प्रदत्त SEPolicy के तहत ऑपरेशन नहीं कर सकता है नगण्य सुरक्षा प्रभाव

स्थानीय बनाम प्रॉक्सिमल बनाम रिमोट

एक रिमोट अटैक वेक्टर इंगित करता है कि बग को ऐप इंस्टॉल किए बिना या डिवाइस तक भौतिक पहुंच के बिना शोषण किया जा सकता है। इसमें बग शामिल हैं जिन्हें वेब पेज पर ब्राउज़ करके, ईमेल पढ़कर, एसएमएस संदेश प्राप्त करके या शत्रुतापूर्ण नेटवर्क से कनेक्ट करके ट्रिगर किया जा सकता है। हमारी गंभीरता रेटिंग के उद्देश्य से, एंड्रॉइड सुरक्षा टीम "प्रॉक्सिमल" अटैक वैक्टर को रिमोट के रूप में भी मानती है। इनमें ऐसे कीड़े शामिल हैं जिनका केवल एक हमलावर द्वारा शोषण किया जा सकता है जो भौतिक रूप से लक्ष्य डिवाइस के पास है, उदाहरण के लिए, एक बग जिसे विकृत वाई-फाई या ब्लूटूथ पैकेट भेजने की आवश्यकता होती है। एंड्रॉइड सुरक्षा टीम एनएफसी-आधारित हमलों को समीपस्थ और इसलिए दूरस्थ मानती है।

स्थानीय हमलों के लिए पीड़ित को एक ऐप चलाने की आवश्यकता होती है, या तो ऐप इंस्टॉल करके या इंस्टेंट ऐप चलाने के लिए सहमति देकर। गंभीरता रेटिंग के उद्देश्य से, एंड्रॉइड सुरक्षा टीम भौतिक आक्रमण वैक्टर को स्थानीय मानती है। इनमें बग शामिल हैं जिनका उपयोग केवल एक हमलावर द्वारा किया जा सकता है, जिसके पास डिवाइस तक भौतिक पहुंच है, उदाहरण के लिए लॉक स्क्रीन में बग या यूएसबी केबल में प्लगिंग की आवश्यकता होती है। ध्यान दें कि जिन हमलों के लिए USB कनेक्शन की आवश्यकता होती है, वे इस बात की परवाह किए बिना कि क्या डिवाइस को अनलॉक करने की आवश्यकता है या नहीं, एक ही गंभीरता है; USB में प्लग किए जाने के दौरान उपकरणों का अनलॉक होना आम बात है।

वाई-फाई सुरक्षा

एंड्रॉइड मानता है कि सभी नेटवर्क शत्रुतापूर्ण हैं और ट्रैफ़िक पर जासूसी या जासूसी का इंजेक्शन लगा सकते हैं। जबकि लिंक-लेयर सुरक्षा (उदाहरण के लिए, वाई-फाई एन्क्रिप्शन) एक डिवाइस और इसके साथ जुड़े वाई-फाई एक्सेस प्वाइंट के बीच संचार को सुरक्षित करता है, यह डिवाइस और सर्वर के बीच की श्रृंखला में शेष लिंक को सुरक्षित करने के लिए कुछ भी नहीं करता है। ।

इसके विपरीत, HTTPS आम तौर पर संपूर्ण संचार अंत की सुरक्षा करता है, अपने स्रोत पर डेटा को एन्क्रिप्ट करता है, फिर केवल अंतिम गंतव्य तक पहुंचने के बाद ही इसे डिक्रिप्ट और सत्यापित करता है। इस वजह से, वाई-फाई सुरक्षा से समझौता करने वाली कमजोरियों को एचटीटीपीएस / टीएलएस में कमजोरियों की तुलना में कम गंभीर माना जाता है: इंटरनेट पर अधिकांश संचार के लिए अकेले वाई-फाई एन्क्रिप्शन अपर्याप्त है।

बॉयोमीट्रिक प्रमाणीकरण

बायोमेट्रिक प्रमाणीकरण एक चुनौतीपूर्ण स्थान है, और यहां तक ​​कि सबसे अच्छे सिस्टम को एक निकट-मिलान ( एंड्रॉइड डेवलपर्स ब्लॉग देखें : लॉकस्क्रीन और एंड्रॉइड 11 में प्रमाणीकरण में सुधार ) द्वारा मूर्ख बनाया जा सकता है। ये गंभीरता रेटिंग हमलों के दो वर्गों के बीच अंतर करती है और इसका उद्देश्य अंतिम उपयोगकर्ता के लिए वास्तविक जोखिम को प्रतिबिंबित करना है।

हमलों का पहला वर्ग स्वामी से उच्च गुणवत्ता के बायोमेट्रिक डेटा के बिना, एक सामान्य तरीके से बायोमेट्रिक प्रमाणीकरण को दरकिनार करने की अनुमति देता है। यदि, उदाहरण के लिए, एक हमलावर फिंगरप्रिंट सेंसर पर गोंद का एक टुकड़ा रख सकता है, और यह सेंसर पर छोड़े गए अवशेषों के आधार पर डिवाइस तक पहुंच प्रदान करता है, तो यह एक सरल हमला है जिसे किसी भी अतिसंवेदनशील डिवाइस पर किया जा सकता है। यह डिवाइस के मालिक के किसी भी ज्ञान की आवश्यकता नहीं है। यह देखते हुए कि यह सामान्य है और संभावित रूप से बड़ी संख्या में उपयोगकर्ताओं को प्रभावित करता है, इस हमले को पूर्ण गंभीरता रेटिंग मिलती है (उदाहरण के लिए, उच्च, लॉकस्क्रीन बाईपास के लिए)।

हमलों के अन्य वर्ग में आम तौर पर डिवाइस के मालिक के आधार पर एक प्रस्तुति हमले के उपकरण (स्पूफ) शामिल होते हैं। कभी-कभी यह बायोमेट्रिक जानकारी प्राप्त करना अपेक्षाकृत आसान होता है (उदाहरण के लिए, यदि सोशल मीडिया पर किसी की प्रोफ़ाइल तस्वीर बायोमेट्रिक स्थिति को मूर्ख बनाने के लिए पर्याप्त है, तो बायोमेट्रिक बाईपास को पूरी गंभीरता रेटिंग प्राप्त होगी)। लेकिन अगर किसी हमलावर को डिवाइस के मालिक से सीधे बायोमेट्रिक डेटा प्राप्त करने की आवश्यकता होगी (उदाहरण के लिए, उनके चेहरे का एक इन्फ्रारेड स्कैन), तो यह एक महत्वपूर्ण पर्याप्त अवरोध है कि यह हमले से प्रभावित लोगों की संख्या को सीमित करता है, इसलिए इसमें -1 संशोधक है ।

प्रभावित घटक

बग को ठीक करने के लिए जिम्मेदार विकास टीम इस बात पर निर्भर करती है कि बग किस घटक में है। यह एंड्रॉइड प्लेटफॉर्म का एक मुख्य घटक हो सकता है, एक मूल उपकरण निर्माता (ओईएम) द्वारा आपूर्ति की गई कर्नेल चालक, या पिक्सेल उपकरणों पर प्रीलोडेड ऐप में से एक। ।

AOSP कोड में कीड़े Android इंजीनियरिंग टीम द्वारा तय किए गए हैं। कम गंभीरता वाले कीड़े, कुछ घटकों में कीड़े, या पहले से ही सार्वजनिक रूप से ज्ञात कीड़े सीधे सार्वजनिक रूप से उपलब्ध AOS मास्टर शाखा में तय किए जा सकते हैं; अन्यथा वे पहले हमारे आंतरिक भंडार में तय किए जाते हैं।

घटक भी एक कारक है जिसमें उपयोगकर्ता अपडेट प्राप्त करते हैं। फ्रेमवर्क या कर्नेल में बग को ओवर-द-एयर (OTA) फर्मवेयर अपडेट की आवश्यकता होती है, जिसे प्रत्येक ओईएम को पुश करने की आवश्यकता होती है। Google Play में प्रकाशित ऐप या लाइब्रेरी में एक बग (उदाहरण के लिए, Gmail, Google Play Services या WebView) Google Play से अपडेट के रूप में Android उपयोगकर्ताओं को भेजा जा सकता है।

भागीदारों को सूचित करना

जब Android सुरक्षा बुलेटिन में AOSP में सुरक्षा भेद्यता तय हो जाती है, तो हम Android विवरण जारी करने वाले भागीदारों को सूचित करेंगे और पैच प्रदान करेंगे। प्रत्येक नए एंड्रॉइड रिलीज़ के साथ बैकपोर्ट-समर्थित संस्करणों की सूची बदल जाती है। समर्थित उपकरणों की सूची के लिए अपने डिवाइस निर्माता से संपर्क करें।

AOSP को कोड जारी करना

यदि सुरक्षा बग AOSP घटक में है, तो उपयोगकर्ताओं को OTA जारी होने के बाद फिक्स को AOSP के लिए धकेल दिया जाता है। ओटीए के माध्यम से उपकरणों के लिए एक फिक्स उपलब्ध होने से पहले कम गंभीरता वाले मुद्दों के लिए एओएसपी मास्टर शाखा को सीधे प्रस्तुत किया जा सकता है।

Android अपडेट प्राप्त करना

एंड्रॉइड सिस्टम के अपडेट आमतौर पर ओटीए अपडेट पैकेज के माध्यम से उपकरणों को दिए जाते हैं। ये अपडेट ओईएम से आ सकते हैं जिन्होंने डिवाइस या कैरियर का निर्माण किया है जो डिवाइस को सेवा प्रदान करता है। Google Pixel डिवाइस अपडेट एक वाहक तकनीकी स्वीकृति (TA) परीक्षण प्रक्रिया से गुजरने के बाद Google Pixel टीम से आता है। Google पिक्सेल फैक्ट्री छवियों को भी प्रकाशित करता है जिन्हें उपकरणों पर साइड लोड किया जा सकता है।

Google सेवाओं को अपडेट करना

सुरक्षा बग के लिए पैच प्रदान करने के अलावा, एंड्रॉइड सुरक्षा टीम यह निर्धारित करने के लिए सुरक्षा बग की समीक्षा करती है कि क्या उपयोगकर्ताओं की सुरक्षा के अन्य तरीके हैं। उदाहरण के लिए, Google Play सभी ऐप्स को स्कैन करता है और किसी भी ऐप को हटाता है जो सुरक्षा बग का फायदा उठाने का प्रयास करता है। Google Play के बाहर से इंस्टॉल किए गए ऐप्स के लिए, Google Play Services वाले डिवाइस उपयोगकर्ताओं को उन ऐप्स के बारे में चेतावनी देने के लिए Verify Apps सुविधा का उपयोग कर सकते हैं जो संभावित रूप से हानिकारक हो सकते हैं।

अन्य संसाधन

एंड्रॉइड ऐप डेवलपर्स के लिए जानकारी: https://developer.android.com

सुरक्षा जानकारी पूरे Android ओपन सोर्स और डेवलपर साइटों में मौजूद है। शुरू करने के लिए अच्छी जगहें:

रिपोर्ट

कभी-कभी Android सुरक्षा टीम रिपोर्ट या श्वेतपत्र प्रकाशित करती है। अधिक विवरण के लिए सुरक्षा रिपोर्ट देखें।