بهترین شیوه های امنیت برنامه

این بخش حاوی توصیه هایی برای اطمینان از امنیت برنامه ها در دستگاه های Android است.

بررسی کد منبع

بررسی کد منبع می تواند طیف گسترده ای از مسائل امنیتی، از جمله موارد شناسایی شده در این سند را شناسایی کند. اندروید قویاً بازبینی کد منبع دستی و خودکار را تشویق می‌کند.

  • هنگام انجام بررسی ها برای اطمینان از پوشش، از راهنمایی های امنیتی جامع پیروی کنید. از استانداردهای داخلی یا خارجی مربوطه برای اطمینان از بررسی های منسجم و کامل استفاده کنید.
  • با استفاده از Android SDK، روی همه کدهای برنامه مانند Android Studio linter اجرا کنید و مشکلات شناسایی شده را اصلاح کنید.
  • کدهای بومی را با استفاده از یک ابزار خودکار که می تواند مشکلات مدیریت حافظه مانند سرریز بافر و خطاهای یک به یک را شناسایی کند، تجزیه و تحلیل کنید.
  • سیستم ساخت اندروید از بسیاری از ضدعفونی‌کننده‌های LLVM مانند AddressSanitizer و UndefinedBehaviorSanitizer پشتیبانی می‌کند که می‌توانند برای تجزیه و تحلیل زمان اجرا مسائل مربوط به حافظه استفاده شوند. همراه با fuzzing که در اندروید از طریق libFuzzer پشتیبانی می‌شود، ضدعفونی‌کننده‌ها می‌توانند موارد لبه‌ای غیرعادی را که نیاز به بررسی بیشتر دارند، کشف کنند.
  • یک ارزیاب امنیتی آگاه باید کدهای ریسک بالاتر، مانند رمزنگاری، پردازش پرداخت و پردازش PII را بررسی کند.

تست خودکار

تست خودکار می تواند به شناسایی طیف گسترده ای از مسائل امنیتی کمک کند و باید به طور منظم انجام شود.

  • آخرین نسخه CTS را به طور منظم در طول فرآیند توسعه اجرا کنید تا مشکلات را زود تشخیص داده و زمان اصلاح را کاهش دهید. Android از CTS به عنوان بخشی از یکپارچه سازی مداوم در فرآیند ساخت خودکار ما استفاده می کند، که چندین بار در روز ساخته می شود.
  • تست امنیتی خودکار رابط ها، از جمله آزمایش با ورودی های نادرست (تست فاز). سیستم ساخت اندروید از libFuzzer برای نوشتن تست های فازی پشتیبانی می کند.

اسکن آسیب پذیری

اسکن آسیب پذیری می تواند به اطمینان حاصل شود که برنامه های از پیش نصب شده عاری از آسیب پذیری های امنیتی شناخته شده هستند. تشخیص پیشرفته می تواند زمان و هزینه مورد نیاز را با رفع این آسیب پذیری ها و جلوگیری از خطرات برای کاربران و دستگاه ها کاهش دهد.

  • تمام برنامه های از پیش نصب شده را با استفاده از ابزار اسکن آسیب پذیری برنامه های شناخته شده در صنعت اسکن کنید و آسیب پذیری های شناسایی شده را برطرف کنید.

برنامه های بالقوه مضر

مهم است که مطمئن شوید برنامه های از پیش نصب شده روی دستگاه شما برنامه های بالقوه مضر (PHA) نیستند. شما مسئول رفتار همه برنامه هایی هستید که در دستگاه های شما گنجانده شده است. قبل از راه‌اندازی دستگاه، همه برنامه‌های از پیش بارگذاری شده را برای آسیب‌پذیری اسکن کنید.

برای اطلاعات بیشتر در مورد PHA ها و نحوه مبارزه Google با آنها در فروشگاه Play به مستندات توسعه دهنده Google Play Protect مراجعه کنید.

نصب برنامه و مجوزها

مجوزهای بیش از حد برای برنامه های از پیش نصب شده می تواند یک خطر امنیتی ایجاد کند. برنامه های از پیش نصب شده را به حداقل مجوزهای لازم محدود کنید و اطمینان حاصل کنید که آنها به مجوزها یا امتیازات غیر ضروری دسترسی ندارند. مجوزهای برنامه در AndroidManifest.xml توضیح داده شده است.

  • به برنامه های از پیش نصب شده مجوزها یا امتیازات غیر ضروری ندهید. برنامه های دارای امتیازات سیستم را به طور کامل بررسی کنید زیرا ممکن است مجوزهای بسیار حساسی داشته باشند.
  • اطمینان حاصل کنید که تمام مجوزهای درخواستی مرتبط و ضروری برای عملکرد آن برنامه خاص هستند.
  • اطمینان حاصل کنید که برای همه برنامه‌های از پیش نصب‌شده‌ای که از مجوز INSTALL_PACKAGES استفاده می‌کنند، افشای کاربر وجود دارد.
  • اطمینان حاصل کنید که توسعه‌دهنده طبق قرارداد متعهد است که هیچ برنامه‌ای را به‌عنوان UID 0 نصب نکند.
  • مجوزهای اعلام شده در مانیفست همه برنامه‌ها را برای نصب از طریق شبکه توسعه‌دهنده ارزیابی کنید.
  • اطمینان حاصل کنید که توسعه‌دهنده طبق قرارداد متعهد است قبل از ارائه برنامه‌ها به دستگاه، همه URLهای دانلود برنامه‌های به‌روزرسانی خودکار و نصب‌کننده را با Google Safe Browsing API اسکن کند.

امضای برنامه

امضای برنامه نقش مهمی در امنیت دستگاه ایفا می کند و برای بررسی مجوزها و به روز رسانی نرم افزار استفاده می شود. هنگام انتخاب کلیدی برای استفاده برای امضای برنامه‌ها، مهم است که در نظر بگیرید که آیا یک برنامه فقط در یک دستگاه در دسترس خواهد بود یا در چندین دستگاه مشترک است.

  • اطمینان حاصل کنید که برنامه ها با کلیدی که به طور عمومی شناخته شده است، مانند کلید توسعه دهنده AOSP، امضا نشده باشند.
  • اطمینان حاصل کنید که کلیدهای مورد استفاده برای امضای برنامه‌ها به روشی مطابق با شیوه‌های استاندارد صنعتی برای مدیریت کلیدهای حساس مدیریت می‌شوند، از جمله یک ماژول امنیتی سخت‌افزار (HSM) که دسترسی محدود و قابل بازرسی را فراهم می‌کند.
  • اطمینان حاصل کنید که برنامه ها با کلید پلت فرم امضا نشده اند. با انجام این کار، یک برنامه به مجوزهای امضای پلتفرم دسترسی پیدا می کند، که بسیار قدرتمند هستند و فقط برای استفاده توسط اجزای سیستم عامل در نظر گرفته شده است. برنامه های سیستم باید از مجوزهای ممتاز استفاده کنند.
  • اطمینان حاصل کنید که برنامه هایی با نام بسته یکسان با کلیدهای مختلف امضا نشده اند. این اغلب هنگام ایجاد یک برنامه برای دستگاه های مختلف رخ می دهد، به خصوص هنگام استفاده از کلید پلت فرم. اگر برنامه مستقل از دستگاه است، از کلید یکسانی در همه دستگاه‌ها استفاده کنید. اگر برنامه مخصوص دستگاه است، نام‌های بسته منحصربه‌فرد برای هر دستگاه و کلید ایجاد کنید.

جداسازی برنامه ها و فرآیندها

مدل sandboxing اندروید در صورت استفاده صحیح، امنیت بیشتری را در اطراف برنامه‌ها و فرآیندها فراهم می‌کند.

جداسازی فرآیندهای ریشه

فرآیندهای ریشه بیشترین هدف حملات افزایش امتیاز هستند. کاهش تعداد فرآیندهای ریشه، خطر افزایش امتیاز را کاهش می دهد.

  • اطمینان حاصل کنید که دستگاه ها حداقل کد لازم را به عنوان روت اجرا می کنند. در صورت امکان، به جای پردازش ریشه، از یک فرآیند معمولی اندروید استفاده کنید. اگر فرآیندی باید به‌عنوان روت در دستگاه اجرا شود، فرآیند را در یک درخواست ویژگی AOSP مستند کنید تا بتوان آن را به صورت عمومی بررسی کرد.
  • در صورت امکان، کد ریشه باید از داده های نامعتبر جدا شده و از طریق ارتباطات بین پردازشی (IPC) قابل دسترسی باشد. به عنوان مثال، عملکرد ریشه را به یک سرویس کوچک که از طریق Binder قابل دسترسی است کاهش دهید و سرویس را با مجوز امضا در معرض برنامه‌ای قرار دهید که دارای امتیازات کم یا بدون دسترسی به ترافیک شبکه است.
  • فرآیندهای ریشه نباید در سوکت شبکه گوش دهند.
  • فرآیندهای ریشه نباید شامل زمان اجرا همه منظوره مانند جاوا VM باشد.

جداسازی برنامه های سیستم

به طور کلی، برنامه های از پیش نصب شده نباید با شناسه منحصر به فرد سیستم مشترک (UID) اجرا شوند. اگر لازم است یک برنامه از UID مشترک سیستم یا سرویس ممتاز دیگری (مثلاً تلفن) استفاده کند، برنامه نباید هیچ گونه سرویس، گیرنده پخش یا ارائه دهنده محتوایی را صادر کند که توسط برنامه های شخص ثالث نصب شده توسط کاربران قابل دسترسی باشد. .

  • اطمینان حاصل کنید که دستگاه ها حداقل کد لازم را به عنوان سیستم اجرا می کنند. در صورت امکان، به جای استفاده مجدد از UID سیستم، از یک فرآیند Android با UID خود استفاده کنید.
  • در صورت امکان، کد سیستم باید از داده های نامعتبر جدا شده و IPC را فقط در معرض سایر فرآیندهای قابل اعتماد قرار دهد.
  • فرآیندهای سیستم نباید در سوکت شبکه گوش دهند. این یک الزام CTS است.

فرآیندهای جداسازی

Android Application Sandbox برنامه‌ها را با انتظار جدا شدن از سایر فرآیندهای روی سیستم، از جمله فرآیندهای ریشه و اشکال‌زدا، فراهم می‌کند. مگر اینکه اشکال زدایی به طور خاص توسط برنامه و کاربر فعال شده باشد، هیچ برنامه ای نباید آن انتظار را نقض کند.

  • اطمینان حاصل کنید که فرآیندهای ریشه به داده‌ها در پوشه‌های داده برنامه‌های جداگانه دسترسی ندارند، مگر اینکه از روش اشکال‌زدایی مستند Android استفاده کنید.
  • اطمینان حاصل کنید که فرآیندهای ریشه به حافظه برنامه‌ها دسترسی ندارند، مگر اینکه از روش اشکال‌زدایی مستند Android استفاده کنید.
  • اطمینان حاصل کنید که دستگاه‌ها شامل هیچ برنامه‌ای نیستند که به داده‌ها یا حافظه برنامه‌ها یا فرآیندهای دیگر دسترسی دارد.