Android डिवाइस सुरक्षित करें

एंड्रॉइड उद्योग-अग्रणी सुरक्षा सुविधाओं को शामिल करता है और एंड्रॉइड प्लेटफॉर्म और पारिस्थितिकी तंत्र को सुरक्षित रखने के लिए डेवलपर्स और डिवाइस कार्यान्वयनकर्ताओं के साथ काम करता है। एंड्रॉइड प्लेटफ़ॉर्म पर और उसके आस-पास और क्लाउड सेवाओं द्वारा समर्थित ऐप्स और उपकरणों के एक सशक्त पारिस्थितिकी तंत्र को सक्षम करने के लिए एक मजबूत सुरक्षा मॉडल आवश्यक है। नतीजतन, अपने पूरे विकास जीवनचक्र के माध्यम से, एंड्रॉइड एक कठोर सुरक्षा कार्यक्रम के अधीन रहा है।

Android को ओपन करने के लिए डिज़ाइन किया गया है। एंड्रॉइड ऐप उन्नत हार्डवेयर और सॉफ़्टवेयर का उपयोग करते हैं, साथ ही स्थानीय और सेवा डेटा, उपभोक्ताओं के लिए नवाचार और मूल्य लाने के लिए मंच के माध्यम से उजागर होते हैं। उस मूल्य को महसूस करने के लिए, प्लेटफ़ॉर्म एक ऐप वातावरण प्रदान करता है जो उपयोगकर्ताओं, डेटा, ऐप, डिवाइस और नेटवर्क की गोपनीयता, अखंडता और उपलब्धता की सुरक्षा करता है।

एक खुले मंच की सुरक्षा के लिए एक मजबूत सुरक्षा वास्तुकला और कठोर सुरक्षा कार्यक्रमों की आवश्यकता होती है। एंड्रॉइड को बहुस्तरीय सुरक्षा के साथ डिज़ाइन किया गया था जो कि खुले मंच का समर्थन करने के लिए पर्याप्त लचीला है, जबकि अभी भी मंच के सभी उपयोगकर्ताओं की सुरक्षा करता है। सुरक्षा समस्याओं और अद्यतन प्रक्रिया के बारे में जानकारी के लिए, सुरक्षा अद्यतन और संसाधन देखें

Android डेवलपर्स के लिए डिज़ाइन किया गया है। डेवलपर्स पर बोझ को कम करने के लिए सुरक्षा नियंत्रण तैयार किए गए थे। सुरक्षा-प्रेमी डेवलपर्स आसानी से काम कर सकते हैं और लचीले सुरक्षा नियंत्रणों पर भरोसा कर सकते हैं। सुरक्षा से कम परिचित डेवलपर्स सुरक्षित चूक से सुरक्षित हैं।

निर्माण करने के लिए एक स्थिर मंच प्रदान करने के अलावा, एंड्रॉइड कई तरीकों से डेवलपर्स को अतिरिक्त समर्थन देता है। एंड्रॉइड सुरक्षा टीम ऐप्स में संभावित कमजोरियों की तलाश करती है और उन मुद्दों को ठीक करने के तरीके सुझाती है। Google Play वाले उपकरणों के लिए, Play Services, OpenSSL जैसे महत्वपूर्ण सॉफ़्टवेयर पुस्तकालयों के लिए सुरक्षा अद्यतन प्रदान करता है, जिसका उपयोग ऐप संचार को सुरक्षित करने के लिए किया जाता है। Android सुरक्षा ने SSL ( nogotofail ) के परीक्षण के लिए एक उपकरण जारी किया जो डेवलपर्स को उनके द्वारा विकसित किए जा रहे प्लेटफॉर्म पर संभावित सुरक्षा समस्याओं को खोजने में मदद करता है।

Android ऐप डेवलपर्स के लिए अधिक जानकारी developer.android.com पर देखी जा सकती है

Android उपयोगकर्ताओं के लिए डिज़ाइन किया गया है। उपयोगकर्ताओं को प्रत्येक एप्लिकेशन द्वारा अनुरोधित अनुमतियों में दृश्यता प्रदान की जाती है और उन अनुमतियों पर नियंत्रण होता है। इस डिज़ाइन में यह अपेक्षा शामिल है कि हमलावर सामान्य हमले करने की कोशिश करेंगे, जैसे कि सोशल इंजीनियरिंग के हमले डिवाइस उपयोगकर्ताओं को मैलवेयर स्थापित करने के लिए समझाने के लिए, और एंड्रॉइड पर तीसरे पक्ष के ऐप पर हमले करते हैं। एंड्रॉइड को इन हमलों की संभावना को कम करने और उस घटना के हमले के प्रभाव को सीमित करने के लिए डिज़ाइन किया गया था, जो सफल रहा। उपयोगकर्ता के हाथों में डिवाइस होने के बाद भी एंड्रॉइड सुरक्षा प्रगति पर है। एंड्रॉइड किसी भी एंड्रॉइड डिवाइस के लिए पैच प्रदान करने के लिए भागीदारों और जनता के साथ काम करता है जो सुरक्षा अपडेट प्राप्त करना जारी रखता है।

अंत उपयोगकर्ताओं के लिए अधिक जानकारी नेक्सस सहायता केंद्र , पिक्सेल सहायता केंद्र , या आपके डिवाइस निर्माता के सहायता केंद्र में देखी जा सकती है।

यह पृष्ठ एंड्रॉइड सुरक्षा कार्यक्रम के लक्ष्यों को रेखांकित करता है, एंड्रॉइड सुरक्षा वास्तुकला के मूल सिद्धांतों का वर्णन करता है, और सिस्टम आर्किटेक्ट्स और सुरक्षा विश्लेषकों के लिए सबसे प्रासंगिक सवालों के जवाब देता है। यह एंड्रॉइड के मुख्य प्लेटफॉर्म की सुरक्षा सुविधाओं पर केंद्रित है और उन सुरक्षा मुद्दों पर चर्चा नहीं करता है जो विशिष्ट एप्लिकेशन के लिए अद्वितीय हैं, जैसे कि ब्राउज़र या एसएमएस ऐप से संबंधित।

पृष्ठभूमि

एंड्रॉइड मोबाइल उपकरणों के लिए एक खुला स्रोत प्लेटफॉर्म और ऐप वातावरण प्रदान करता है।

नीचे दिए गए अनुभाग और पृष्ठ एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा सुविधाओं का वर्णन करते हैं। चित्र 1 एंड्रॉइड सॉफ्टवेयर स्टैक के विभिन्न स्तरों के सुरक्षा घटकों और विचारों को दिखाता है। प्रत्येक घटक मानता है कि नीचे के घटक ठीक से सुरक्षित हैं। जड़ के रूप में Android ओएस कोड की एक छोटी राशि के अपवाद के साथ, लिनक्स कर्नेल के ऊपर सभी कोड एप्लिकेशन सैंडबॉक्स द्वारा प्रतिबंधित है।

चित्र 1: Android सॉफ़्टवेयर स्टैक

चित्र 1. Android सॉफ्टवेयर स्टैक

मुख्य एंड्रॉइड प्लेटफॉर्म बिल्डिंग ब्लॉक हैं:

  • डिवाइस हार्डवेयर: एंड्रॉइड मोबाइल फोन, टैबलेट, घड़ी, ऑटोमोबाइल, स्मार्ट टीवी, ओटीटी गेमिंग बॉक्स और सेट-टॉप-बॉक्स सहित हार्डवेयर कॉन्फ़िगरेशन की एक विस्तृत श्रृंखला पर चलता है। Android प्रोसेसर-अज्ञेयवादी है, लेकिन यह कुछ हार्डवेयर-विशिष्ट सुरक्षा क्षमताओं का लाभ उठाता है जैसे ARM eXecute-Never।
  • Android ऑपरेटिंग सिस्टम: कोर ऑपरेटिंग सिस्टम लिनक्स कर्नेल के ऊपर बनाया गया है। सभी डिवाइस संसाधन, जैसे कैमरा फ़ंक्शंस, जीपीएस डेटा, ब्लूटूथ फ़ंक्शंस, टेलीफ़ोनी फ़ंक्शंस, और नेटवर्क कनेक्शन ऑपरेटिंग सिस्टम के माध्यम से एक्सेस किए जाते हैं।
  • एंड्रॉइड एप्लिकेशन रनटाइम: एंड्रॉइड ऐप्स सबसे अधिक बार जावा प्रोग्रामिंग भाषा में लिखे जाते हैं और एंड्रॉइड रनटाइम (एआरटी) में चलते हैं। हालाँकि, कई ऐप जिनमें कोर एंड्रॉइड सेवाएं और ऐप शामिल हैं, वे मूल ऐप हैं या देशी लाइब्रेरी शामिल हैं। एआरटी और देशी ऐप दोनों एक ही सुरक्षा वातावरण में चलते हैं, जो एप्लिकेशन सैंडबॉक्स में निहित है। ऐप्स को फ़ाइल सिस्टम का एक समर्पित हिस्सा मिलता है जिसमें वे डेटाबेस और कच्ची फ़ाइलों सहित निजी डेटा लिख ​​सकते हैं।

एंड्रॉइड ऐप कोर एंड्रॉइड ऑपरेटिंग सिस्टम का विस्तार करते हैं। ऐप्स के लिए दो प्राथमिक स्रोत हैं:

  • प्रीइंस्टॉल्ड ऐप्स: एंड्रॉइड में फोन, ईमेल, कैलेंडर, वेब ब्राउजर और कॉन्टैक्ट्स सहित प्रीइंस्टॉल्ड ऐप्स का एक सेट शामिल होता है। ये उपयोगकर्ता एप्लिकेशन के रूप में कार्य करते हैं और वे मुख्य डिवाइस क्षमताएं प्रदान करते हैं जिन्हें अन्य एप्लिकेशन द्वारा एक्सेस किया जा सकता है। प्रीइंस्टॉल्ड ऐप्स ओपन सोर्स एंड्रॉइड प्लेटफॉर्म का हिस्सा हो सकते हैं, या उन्हें किसी विशिष्ट डिवाइस के लिए डिवाइस निर्माता द्वारा विकसित किया जा सकता है।
  • उपयोगकर्ता द्वारा इंस्टॉल किए गए ऐप्स: एंड्रॉइड एक खुला विकास वातावरण प्रदान करता है जो किसी भी तृतीय-पक्ष ऐप का समर्थन करता है। Google Play उपयोगकर्ताओं को सैकड़ों हजारों एप्लिकेशन प्रदान करता है।

Google सुरक्षा सेवाएँ

Google क्लाउड-आधारित सेवाओं का एक सेट प्रदान करता है जो Google मोबाइल सेवाओं के साथ संगत Android उपकरणों के लिए उपलब्ध हैं। हालांकि ये सेवाएँ Android Open Source Project (AOSP) का हिस्सा नहीं हैं, लेकिन वे कई Android उपकरणों में शामिल हैं। इनमें से कुछ सेवाओं के बारे में अधिक जानकारी के लिए, समीक्षा में Android सुरक्षा 2018 वर्ष देखें।

प्राथमिक Google सुरक्षा सेवाएँ हैं:

  • Google Play: Google Play सेवाओं का एक संग्रह है जो उपयोगकर्ताओं को अपने एंड्रॉइड डिवाइस या वेब से एप्लिकेशन को खोजने, स्थापित करने और खरीदने की अनुमति देता है। Google Play डेवलपर्स के लिए Android उपयोगकर्ताओं और संभावित ग्राहकों तक पहुंच बनाना आसान बनाता है। Google Play सामुदायिक समीक्षा, ऐप लाइसेंस सत्यापन , ऐप सुरक्षा स्कैनिंग और अन्य सुरक्षा सेवाएँ भी प्रदान करता है।
  • एंड्रॉइड अपडेट: एंड्रॉइड अपडेट सेवा चयनित एंड्रॉइड डिवाइसों को नई क्षमताओं और सुरक्षा अपडेट प्रदान करती है, जिसमें वेब या ओवर द एयर (ओटीए) अपडेट शामिल हैं।
  • ऐप सेवाएँ: फ्रेमवर्क जो एंड्रॉइड ऐप को पुश मैसेजिंग के लिए क्लाउड क्षमताओं (जैसे बैक अप ) ऐप डेटा और सेटिंग्स और क्लाउड-टू-डिवाइस मैसेजिंग ( C2DM ) का उपयोग करने की अनुमति देते हैं।
  • ऐप्स को सत्यापित करें: हानिकारक एप्लिकेशन की स्थापना को चेतावनी दें या स्वचालित रूप से अवरुद्ध करें, और डिवाइस पर लगातार स्कैन करें, हानिकारक ऐप्स के बारे में चेतावनी दें या हटा दें।
  • सेफ्टीनेट: Google ट्रैकिंग की सहायता के लिए घुसपैठ का पता लगाने वाली एक गोपनीयता संरक्षण, ज्ञात सुरक्षा खतरों को कम करना और नए सुरक्षा खतरों की पहचान करना।
  • सेफ्टीनेट कनेक्शन: थर्ड-पार्टी एपीआई यह निर्धारित करने के लिए कि क्या डिवाइस सीटीएस संगत है। सत्यापन ऐप सर्वर के साथ संवाद करने वाले एंड्रॉइड ऐप की पहचान भी कर सकता है।
  • एंड्रॉइड डिवाइस मैनेजर: खोए हुए या चोरी हुए डिवाइस का पता लगाने के लिए एक वेब ऐप और एंड्रॉइड ऐप

सुरक्षा कार्यक्रम अवलोकन

Android सुरक्षा कार्यक्रम के प्रमुख घटकों में शामिल हैं:

  • डिजाइन की समीक्षा: एंड्रॉइड सुरक्षा प्रक्रिया विकास के जीवन चक्र में एक अमीर और विन्यास योग्य सुरक्षा मॉडल और डिजाइन के निर्माण के साथ शुरू होती है। प्लेटफॉर्म की प्रत्येक प्रमुख विशेषता की समीक्षा इंजीनियरिंग और सुरक्षा संसाधनों द्वारा की जाती है, जिसमें उचित सुरक्षा नियंत्रण प्रणाली की वास्तुकला में एकीकृत होते हैं।
  • प्रवेश परीक्षण और कोड की समीक्षा: प्लेटफॉर्म के विकास के दौरान, एंड्रॉइड-निर्मित और ओपन सोर्स घटक जोरदार सुरक्षा समीक्षा के अधीन हैं। ये समीक्षाएं Android सुरक्षा टीम, Google की सूचना सुरक्षा इंजीनियरिंग टीम और स्वतंत्र सुरक्षा सलाहकारों द्वारा की जाती हैं। इन समीक्षाओं का लक्ष्य प्रमुख रिलीज से पहले कमजोरियों और संभावित कमजोरियों की पहचान करना है, और विश्लेषण के प्रकारों को अनुकरण करना है जो रिलीज पर बाहरी सुरक्षा विशेषज्ञों द्वारा किए जाते हैं।
  • खुला स्रोत और सामुदायिक समीक्षा: AOSP किसी भी इच्छुक पार्टी द्वारा व्यापक सुरक्षा समीक्षा करने में सक्षम बनाता है। एंड्रॉइड ओपन सोर्स तकनीकों का भी उपयोग करता है जो महत्वपूर्ण बाहरी सुरक्षा समीक्षा से गुजर चुके हैं, जैसे कि लिनक्स कर्नेल। Google Play उपयोगकर्ताओं और कंपनियों को उपयोगकर्ताओं को सीधे विशिष्ट एप्लिकेशन के बारे में जानकारी प्रदान करने के लिए एक मंच प्रदान करता है।
  • घटना की प्रतिक्रिया: इन सावधानियों के बावजूद, सुरक्षा मुद्दे शिपिंग के बाद हो सकते हैं, यही वजह है कि एंड्रॉइड प्रोजेक्ट ने एक व्यापक सुरक्षा प्रतिक्रिया प्रक्रिया बनाई है। एंड्रॉइड बग डेटाबेस पर दायर संभावित कमजोरियों और समीक्षा सुरक्षा बग की चर्चा के लिए पूर्णकालिक एंड्रॉइड सुरक्षा टीम के सदस्य एंड्रॉइड-विशिष्ट और सामान्य सुरक्षा समुदाय की निगरानी करते हैं। वैध मुद्दों की खोज पर, एंड्रॉइड टीम के पास एक प्रतिक्रिया प्रक्रिया है जो कमजोरियों के तेजी से शमन को सक्षम बनाता है ताकि यह सुनिश्चित हो सके कि सभी एंड्रॉइड उपयोगकर्ताओं के लिए संभावित जोखिम कम से कम हो। क्लाउड-समर्थित प्रतिक्रियाओं में एंड्रॉइड प्लेटफ़ॉर्म को अपडेट करना (एओएसपी अपडेट), Google Play से ऐप्स हटाना और फ़ील्ड में डिवाइस से ऐप हटाना शामिल हो सकते हैं।
  • मासिक सुरक्षा अद्यतन: Android सुरक्षा टीम Google Android उपकरणों और हमारे सभी डिवाइस निर्माण भागीदारों को मासिक अपडेट प्रदान करती है।

मंच सुरक्षा वास्तुकला

Android पारंपरिक ऑपरेटिंग सिस्टम सुरक्षा नियंत्रणों को फिर से तैयार करके मोबाइल प्लेटफार्मों के लिए सबसे सुरक्षित और उपयोगी ऑपरेटिंग सिस्टम बनना चाहता है:

  • एप्लिकेशन और उपयोगकर्ता डेटा को सुरक्षित रखें
  • सिस्टम संसाधनों (नेटवर्क सहित) की सुरक्षा करें
  • सिस्टम, अन्य एप्लिकेशन और उपयोगकर्ता से ऐप अलगाव प्रदान करें

इन उद्देश्यों को प्राप्त करने के लिए, एंड्रॉइड ये प्रमुख सुरक्षा सुविधाएँ प्रदान करता है:

  • लिनक्स कर्नेल के माध्यम से ओएस स्तर पर मजबूत सुरक्षा
  • सभी ऐप्स के लिए अनिवार्य ऐप सैंडबॉक्स
  • सुरक्षित इंटरप्रोसेस संचार
  • ऐप पर हस्ताक्षर
  • एप्लिकेशन-परिभाषित और उपयोगकर्ता-अनुमत अनुमतियाँ