Bu bölümde Android cihazlardan ağ iletişimlerinin güvenliğini sağlamaya yönelik öneriler yer almaktadır.
Dinleme yuvalarının güvenliğini sağlama
Dinleme soketlerini dikkatli kullanın. Cihazlarda genellikle açık dinleme soketleri bulunmamalıdır çünkü bunlar uzaktaki bir saldırganın cihaza erişmesi için bir vektör sağlar.
- Android cihazlar, özellikle önyükleme sırasında veya varsayılan olarak açığa çıkardıkları internet dinleme soketlerinin sayısını en aza indirmelidir. Varsayılan olarak önyükleme sırasında hiçbir soketin interneti dinlememesi gerekir.
- Kök işlemler ve sistem benzersiz tanımlayıcısının (UID) sahip olduğu işlemler, herhangi bir dinleme soketini açığa çıkarmamalıdır.
- Dinleme yuvaları OTA güncellemesi olmadan devre dışı bırakılabilmelidir. Bu, bir sunucu veya kullanıcı cihazı yapılandırma değişikliği kullanılarak gerçekleştirilebilir.
- Yerel IPC kullanan yuvalar için uygulamaların, erişimi bir grupla sınırlı olan bir UNIX etki alanı yuvası kullanması gerekir. IPC için bir dosya tanımlayıcı oluşturun ve bunu belirli bir UNIX grubu için +RW yapın. Tüm istemci uygulamalarının bu UNIX grubunun içinde olması gerekir.
- Birden fazla işlemciye sahip bazı cihazlar (örneğin, uygulama işlemcisinden ayrı bir radyo/modem), işlemciler arasında iletişim kurmak için ağ soketlerini kullanır. Bu gibi durumlarda, işlemciler arası iletişim için kullanılan ağ soketinin, cihazdaki yetkisiz uygulamaların erişimini önlemek için yalıtılmış bir ağ arayüzü kullanması gerekir (yani, cihazdaki diğer uygulamaların erişimini önlemek için iptables kullanın).
- Dinleme bağlantı noktalarını yöneten arka plan programlarının hatalı biçimlendirilmiş verilere karşı dayanıklı olması gerekir. Yetkisiz bir istemci ve mümkünse yetkili bir istemci kullanarak bağlantı noktasına yönelik bulanıklık testi yapmalısınız. Çökme durumlarını takip etmek için hataları dosyalayın.
Android Uyumluluk Test Paketi (CTS), açık dinleme bağlantı noktalarının varlığını kontrol eden testleri içerir.
ADB'yi devre dışı bırak
Android Hata Ayıklama Köprüsü (ADB) değerli bir geliştirme ve hata ayıklama aracıdır ancak kontrollü, güvenli bir ortamda kullanılmak üzere tasarlanmıştır ve genel kullanım için etkinleştirilmemelidir.
- ADB'nin varsayılan olarak devre dışı olduğundan emin olun.
- Bağlantıları kabul etmeden önce ADB'nin kullanıcının onu açmasını gerektirdiğinden emin olun.