Android सुरक्षा टीम Android प्लेटफ़ॉर्म और Android उपकरणों के साथ बंडल किए गए कई प्रमुख Android ऐप्स में खोजी गई सुरक्षा कमजोरियों के प्रबंधन के लिए ज़िम्मेदार है।
एंड्रॉइड सुरक्षा टीम आंतरिक अनुसंधान के माध्यम से सुरक्षा कमजोरियों का पता लगाती है और तीसरे पक्ष द्वारा रिपोर्ट किए गए बग का जवाब भी देती है। बाहरी बग के स्रोतों में भेद्यता फॉर्म , प्रकाशित और पूर्व-प्रकाशित शैक्षणिक अनुसंधान, अपस्ट्रीम ओपन सोर्स प्रोजेक्ट मेंटेनर, हमारे डिवाइस निर्माता भागीदारों से सूचनाएं, और ब्लॉग या सोशल मीडिया पर पोस्ट किए गए सार्वजनिक रूप से प्रकट किए गए मुद्दों के माध्यम से रिपोर्ट किए गए मुद्दे शामिल हैं।
सुरक्षा मुद्दों की रिपोर्ट करना
कोई भी डेवलपर, एंड्रॉइड उपयोगकर्ता, या सुरक्षा शोधकर्ता भेद्यता फॉर्म के माध्यम से संभावित सुरक्षा मुद्दों की एंड्रॉइड सुरक्षा टीम को सूचित कर सकता है।
सुरक्षा मुद्दों के रूप में चिह्नित बग बाहरी रूप से दिखाई नहीं देते हैं, लेकिन समस्या के मूल्यांकन या समाधान के बाद उन्हें अंततः दिखाई दे सकता है। यदि आप सुरक्षा समस्या को हल करने के लिए पैच या संगतता परीक्षण सूट (सीटीएस) परीक्षण सबमिट करने की योजना बना रहे हैं, तो कृपया इसे बग रिपोर्ट से संलग्न करें और एओएसपी पर कोड अपलोड करने से पहले प्रतिक्रिया की प्रतीक्षा करें।
ट्राइएजिंग बग्स
सुरक्षा भेद्यता को संभालने में पहला काम बग की गंभीरता की पहचान करना है और Android का कौन सा घटक प्रभावित है। गंभीरता यह निर्धारित करती है कि समस्या को कैसे प्राथमिकता दी जाती है, और घटक यह निर्धारित करता है कि बग को कौन ठीक करता है, किसे सूचित किया जाता है, और उपयोगकर्ताओं को सुधार कैसे लागू किया जाता है।
प्रसंग प्रकार
इस तालिका में हार्डवेयर और सॉफ़्टवेयर सुरक्षा संदर्भों की परिभाषाएँ शामिल हैं। संदर्भ को उस डेटा की संवेदनशीलता से परिभाषित किया जा सकता है जिसे वह आमतौर पर संसाधित करता है या जिस क्षेत्र में वह चलता है। सभी सुरक्षा संदर्भ सभी प्रणालियों पर लागू नहीं होते हैं। यह तालिका कम से कम सबसे विशेषाधिकार प्राप्त क्रम में है।
प्रसंग प्रकार | परिभाषा टाइप करें |
---|---|
विवश प्रसंग | एक प्रतिबंधित निष्पादन वातावरण जहां केवल न्यूनतम अनुमतियां प्रदान की जाती हैं। उदाहरण के लिए, विश्वसनीय एप्लिकेशन सैंडबॉक्स वाले वातावरण में अविश्वसनीय डेटा को संसाधित करते हैं। |
अप्रतिबंधित प्रसंग | एक विशिष्ट निष्पादन वातावरण जो विशिष्ट कोड द्वारा अपेक्षित है। उदाहरण के लिए, एक Android एप्लिकेशन जो एक SELinux डोमेन में untrusted_app_all विशेषता के साथ चलता है। |
विशेषाधिकार प्राप्त प्रसंग | एक विशेषाधिकार प्राप्त निष्पादन वातावरण जिसके पास उन्नत अनुमतियों तक पहुंच हो सकती है, एकाधिक उपयोगकर्ता PII को संभालता है, और/या सिस्टम अखंडता को बनाए रखता है। उदाहरण के लिए, क्षमताओं के साथ एक Android एप्लिकेशन जिसे SELinux untrusted_app डोमेन या privileged|signature अनुमतियों तक पहुंच के साथ प्रतिबंधित किया जाएगा। |
ओएस कर्नेल | कार्यक्षमता है कि:
|
विश्वसनीय हार्डवेयर आधार (THB) | असतत हार्डवेयर घटक, आमतौर पर एसओसी पर, जो डिवाइस के मुख्य उपयोग मामलों (जैसे, सेलुलर बेसबैंड, डीएसपी, जीपीयू और एमएल प्रोसेसर) के लिए महत्वपूर्ण कार्यक्षमता प्रदान करते हैं। |
बूटलोडर चेन | एक घटक जो डिवाइस को बूट पर कॉन्फ़िगर करता है और फिर एंड्रॉइड ओएस पर नियंत्रण पास करता है। |
विश्वसनीय निष्पादन पर्यावरण (टीईई) | एक घटक जिसे शत्रुतापूर्ण OS कर्नेल से भी सुरक्षित करने के लिए डिज़ाइन किया गया है (उदाहरण के लिए, TrustZone और हाइपरवाइज़र, जैसे pKVM, जो OS कर्नेल से वर्चुअल मशीनों की रक्षा करते हैं)। |
सुरक्षित एन्क्लेव / सुरक्षित तत्व (एसई) | एक वैकल्पिक हार्डवेयर घटक जिसे डिवाइस पर अन्य सभी घटकों से और भौतिक हमले से सुरक्षित रखने के लिए डिज़ाइन किया गया है, जैसा कि सुरक्षित तत्वों के परिचय में परिभाषित किया गया है। इसमें कुछ Android उपकरणों में मौजूद Titan-M चिप भी शामिल है। |
तीव्रता
बग की गंभीरता आम तौर पर उस संभावित नुकसान को दर्शाती है जो बग के सफलतापूर्वक उपयोग किए जाने पर हो सकता है। गंभीरता निर्धारित करने के लिए निम्नलिखित मानदंडों का उपयोग करें।
रेटिंग | सफल शोषण का परिणाम |
---|---|
गंभीर |
|
उच्च |
|
उदारवादी |
|
कम |
|
नगण्य सुरक्षा प्रभाव (NSI) |
|
रेटिंग संशोधक
जबकि सुरक्षा कमजोरियों की गंभीरता की पहचान करना अक्सर आसान होता है, रेटिंग परिस्थितियों के आधार पर बदल सकती हैं।
कारण | प्रभाव |
---|---|
हमले को निष्पादित करने के लिए विशेषाधिकार प्राप्त संदर्भ के रूप में चलने की आवश्यकता है (टीईई, एसई और पीकेवीएम जैसे हाइपरविजर पर लागू नहीं) | -1 गंभीरता |
भेद्यता-विशिष्ट विवरण समस्या के प्रभाव को सीमित करते हैं | -1 गंभीरता |
बायोमेट्रिक ऑथेंटिकेशन बायपास जिसके लिए सीधे डिवाइस के मालिक से बायोमेट्रिक जानकारी की आवश्यकता होती है | -1 गंभीरता |
कंपाइलर या प्लेटफ़ॉर्म कॉन्फ़िगरेशन स्रोत कोड में भेद्यता को कम करते हैं | मध्यम गंभीरता यदि अंतर्निहित भेद्यता मध्यम या अधिक है |
डिवाइस आंतरिक तक भौतिक पहुंच की आवश्यकता है और यह अभी भी संभव है यदि डिवाइस बंद है या चालू होने के बाद से अनलॉक नहीं किया गया है | -1 गंभीरता |
डिवाइस के चालू रहने और पहले अनलॉक किए जाने के दौरान डिवाइस के आंतरिक उपकरणों तक भौतिक पहुंच की आवश्यकता होती है | -2 गंभीरता |
एक स्थानीय हमला जिसके लिए बूटलोडर श्रृंखला को अनलॉक करने की आवश्यकता होती है | नीच से ऊँचा नहीं |
एक स्थानीय हमला जिसके लिए डिवाइस पर वर्तमान में डेवलपर मोड या किसी भी लगातार डेवलपर मोड सेटिंग्स को सक्षम करने की आवश्यकता होती है (और डेवलपर मोड में बग नहीं है)। | नीच से ऊँचा नहीं |
यदि कोई SELinux डोमेन Google द्वारा प्रदान की गई SEनीति के तहत संचालन नहीं कर सकता है | नगण्य सुरक्षा प्रभाव |
स्थानीय बनाम समीपस्थ बनाम रिमोट
रिमोट अटैक वेक्टर इंगित करता है कि ऐप को इंस्टॉल किए बिना या किसी डिवाइस तक भौतिक पहुंच के बिना बग का शोषण किया जा सकता है। इसमें ऐसे बग शामिल हैं जिन्हें किसी वेब पेज पर ब्राउज़ करने, ईमेल पढ़ने, एसएमएस संदेश प्राप्त करने, या किसी शत्रुतापूर्ण नेटवर्क से कनेक्ट करने से ट्रिगर किया जा सकता है। हमारी गंभीरता रेटिंग के प्रयोजन के लिए, हम "समीपस्थ" हमले वैक्टर को दूरस्थ भी मानते हैं। इनमें ऐसे बग शामिल हैं जिनका उपयोग केवल एक हमलावर द्वारा किया जा सकता है जो भौतिक रूप से लक्ष्य डिवाइस के पास है, उदाहरण के लिए, एक बग जिसके लिए विकृत वाई-फाई या ब्लूटूथ पैकेट भेजने की आवश्यकता होती है। हम अल्ट्रा-वाइडबैंड (UWB) और NFC-आधारित हमलों को समीपस्थ और इसलिए दूरस्थ मानते हैं।
स्थानीय हमलों के लिए पीड़ित को ऐप चलाने की आवश्यकता होती है, या तो ऐप इंस्टॉल करके और चलाकर या तत्काल ऐप चलाने के लिए सहमति देकर। जोड़े गए साथी उपकरणों को स्थानीय माना जाएगा। गंभीरता रेटिंग के उद्देश्य से, एंड्रॉइड सुरक्षा टीम भौतिक हमले वैक्टर को स्थानीय भी मानती है। इनमें ऐसे बग शामिल हैं जिनका उपयोग केवल एक हमलावर द्वारा किया जा सकता है जिसके पास डिवाइस तक भौतिक पहुंच है, उदाहरण के लिए लॉक स्क्रीन में बग या यूएसबी केबल में प्लगिंग की आवश्यकता होती है।
नेटवर्क सुरक्षा
एंड्रॉइड मानता है कि सभी नेटवर्क शत्रुतापूर्ण हैं और हमलों को इंजेक्ट कर सकते हैं या यातायात पर जासूसी कर सकते हैं। जबकि लिंक-लेयर सुरक्षा (उदाहरण के लिए, वाई-फाई एन्क्रिप्शन) एक डिवाइस और उससे जुड़े एक्सेस प्वाइंट के बीच संचार को सुरक्षित करता है, यह डिवाइस और सर्वर के बीच की श्रृंखला में शेष लिंक को सुरक्षित करने के लिए कुछ भी नहीं करता है जिससे यह संचार कर रहा है।
इसके विपरीत, HTTPS आम तौर पर पूरे संचार को शुरू से अंत तक सुरक्षित रखता है, इसके स्रोत पर डेटा को एन्क्रिप्ट करता है, फिर अंतिम गंतव्य तक पहुंचने के बाद ही इसे डिक्रिप्ट और सत्यापित करता है। इस वजह से, लिंक-लेयर नेटवर्क सुरक्षा से समझौता करने वाली कमजोरियों को HTTPS/TLS में कमजोरियों की तुलना में कम गंभीर माना जाता है: इंटरनेट पर अधिकांश संचार के लिए अकेले वाई-फाई एन्क्रिप्शन अपर्याप्त है।
बायोमेट्रिक प्रमाणीकरण
बॉयोमीट्रिक प्रमाणीकरण एक चुनौतीपूर्ण स्थान है, और यहां तक कि सबसे अच्छे सिस्टम को निकट-मिलान द्वारा मूर्ख बनाया जा सकता है ( एंड्रॉइड डेवलपर्स ब्लॉग देखें: एंड्रॉइड 11 में लॉकस्क्रीन और प्रमाणीकरण सुधार )। ये गंभीरता रेटिंग दो वर्गों के हमलों के बीच अंतर करती है और इसका उद्देश्य अंतिम उपयोगकर्ता के लिए वास्तविक जोखिम को दर्शाना है।
हमलों की पहली श्रेणी स्वामी से उच्च गुणवत्ता वाले बायोमेट्रिक डेटा के बिना, सामान्य तरीके से बायोमेट्रिक प्रमाणीकरण को बायपास करने की अनुमति देती है। यदि, उदाहरण के लिए, एक हमलावर एक फिंगरप्रिंट सेंसर पर गोंद का एक टुकड़ा रख सकता है, और यह सेंसर पर छोड़े गए अवशेषों के आधार पर डिवाइस तक पहुंच प्रदान करता है, तो यह एक साधारण हमला है जिसे किसी भी अतिसंवेदनशील डिवाइस पर किया जा सकता है। इसके लिए डिवाइस के मालिक के किसी ज्ञान की आवश्यकता नहीं है। यह देखते हुए कि यह सामान्य है और संभावित रूप से बड़ी संख्या में उपयोगकर्ताओं को प्रभावित करता है, इस हमले को पूर्ण गंभीरता रेटिंग प्राप्त होती है (उदाहरण के लिए, लॉकस्क्रीन बायपास के लिए उच्च)।
हमलों के अन्य वर्ग में आम तौर पर डिवाइस के मालिक के आधार पर प्रेजेंटेशन अटैक इंस्ट्रूमेंट (स्पूफ) शामिल होता है। कभी-कभी यह बायोमेट्रिक जानकारी प्राप्त करना अपेक्षाकृत आसान होता है (उदाहरण के लिए, यदि सोशल मीडिया पर किसी का प्रोफ़ाइल चित्र बायोमेट्रिक प्रमाणीकरण को मूर्ख बनाने के लिए पर्याप्त है, तो बायोमेट्रिक बाईपास को पूर्ण गंभीरता रेटिंग प्राप्त होगी)। लेकिन अगर किसी हमलावर को डिवाइस के मालिक से सीधे बायोमेट्रिक डेटा प्राप्त करने की आवश्यकता होगी (उदाहरण के लिए, उनके चेहरे का इन्फ्रारेड स्कैन), तो यह एक महत्वपूर्ण पर्याप्त बाधा है कि यह हमले से प्रभावित लोगों की संख्या को सीमित करता है, इसलिए -1 संशोधक है .
SYSTEM_ALERT_WINDOW
और टैपजैकिंग
SYSTEM_ALERT_WINDOW
और टैपजैकिंग से संबंधित हमारी नीतियों के बारे में जानकारी के लिए, BugHunter University's Bugs with no security impact पृष्ठ का " टैपजैकिंग/ओवरले SYSTEM_ALERT_WINDOW भेद्यता एक गैर-सुरक्षा-महत्वपूर्ण स्क्रीन पर " अनुभाग देखें।
Android Automotive OS में बहु-उपयोगकर्ता सुरक्षा
एंड्रॉइड ऑटोमोटिव ओएस एक बहु उपयोगकर्ता सुरक्षा मॉडल को अन्य फॉर्म कारकों से अलग करता है। प्रत्येक Android उपयोगकर्ता का उद्देश्य एक अलग भौतिक व्यक्ति द्वारा उपयोग किया जाना है। उदाहरण के लिए, एक अस्थायी अतिथि उपयोगकर्ता को एक मित्र को सौंपा जा सकता है जो कार के मालिक से वाहन उधार लेता है। इस तरह के उपयोग के मामलों को समायोजित करने के लिए, उपयोगकर्ताओं के पास डिफ़ॉल्ट रूप से वाहन का उपयोग करने के लिए आवश्यक आवश्यक घटकों, जैसे वाई-फाई और सेलुलर नेटवर्क सेटिंग्स तक पहुंच होती है।
प्रभावित घटक
बग को ठीक करने के लिए जिम्मेदार विकास टीम इस बात पर निर्भर करती है कि बग किस घटक में है। यह एंड्रॉइड प्लेटफॉर्म का एक मुख्य घटक हो सकता है, एक मूल उपकरण निर्माता (OEM) द्वारा प्रदान किया गया कर्नेल ड्राइवर, या पिक्सेल उपकरणों पर पहले से लोड किए गए ऐप्स में से एक .
AOSP कोड में बग्स को Android इंजीनियरिंग टीम द्वारा ठीक किया जाता है। कम-गंभीर बग, कुछ घटकों में बग, या पहले से ही सार्वजनिक रूप से ज्ञात बग सीधे सार्वजनिक रूप से उपलब्ध AOSP मास्टर शाखा में तय किए जा सकते हैं; अन्यथा वे पहले हमारे आंतरिक रिपॉजिटरी में फिक्स होते हैं।
घटक यह भी एक कारक है कि उपयोगकर्ता कैसे अपडेट प्राप्त करते हैं। फ्रेमवर्क या कर्नेल में एक बग के लिए एक ओवर-द-एयर (ओटीए) फर्मवेयर अपडेट की आवश्यकता होती है जिसे प्रत्येक ओईएम को पुश करने की आवश्यकता होती है। Google Play में प्रकाशित ऐप या लाइब्रेरी में एक बग (उदाहरण के लिए, Gmail, Google Play Services, या WebView) Google Play से अपडेट के रूप में Android उपयोगकर्ताओं को भेजा जा सकता है।
भागीदारों को सूचित करना
जब AOSP में सुरक्षा भेद्यता को Android सुरक्षा बुलेटिन में ठीक किया जाता है, तो हम Android भागीदारों को समस्या विवरण के बारे में सूचित करेंगे और पैच प्रदान करेंगे। प्रत्येक नए Android रिलीज़ के साथ बैकपोर्ट-समर्थित संस्करणों की सूची बदल जाती है। समर्थित उपकरणों की सूची के लिए अपने डिवाइस निर्माता से संपर्क करें।
एओएसपी को कोड जारी करना
यदि सुरक्षा बग एओएसपी घटक में है, तो उपयोगकर्ताओं को ओटीए जारी होने के बाद फिक्स को एओएसपी पर धकेल दिया जाता है। ओटीए के माध्यम से उपकरणों के लिए फिक्स उपलब्ध होने से पहले कम-गंभीरता के मुद्दों के लिए फिक्स सीधे एओएसपी मास्टर शाखा में जमा किए जा सकते हैं।
Android अपडेट प्राप्त करना
एंड्रॉइड सिस्टम के अपडेट आम तौर पर ओटीए अपडेट पैकेज के माध्यम से उपकरणों तक पहुंचाए जाते हैं। ये अपडेट उस ओईएम से आ सकते हैं जिसने डिवाइस का निर्माण किया या कैरियर जो डिवाइस को सेवा प्रदान करता है। Google Pixel डिवाइस अपडेट, Google Pixel टीम की ओर से कैरियर टेक्निकल एक्सेप्टेंस (TA) टेस्टिंग प्रक्रिया से गुजरने के बाद आते हैं। Google पिक्सेल फ़ैक्टरी छवियों को भी प्रकाशित करता है जिन्हें उपकरणों पर साइड-लोड किया जा सकता है।
Google सेवाओं को अपडेट करना
सुरक्षा बग के लिए पैच प्रदान करने के अलावा, Android सुरक्षा टीम यह निर्धारित करने के लिए सुरक्षा बग की समीक्षा करती है कि उपयोगकर्ताओं की सुरक्षा के अन्य तरीके हैं या नहीं। उदाहरण के लिए, Google Play सभी ऐप्स को स्कैन करता है और सुरक्षा बग का फायदा उठाने का प्रयास करने वाले किसी भी ऐप को हटा देता है। Google Play के बाहर से इंस्टॉल किए गए ऐप्स के लिए, Google Play सेवाओं वाले डिवाइस उपयोगकर्ताओं को उन ऐप्स के बारे में चेतावनी देने के लिए ऐप्स सत्यापित करें सुविधा का भी उपयोग कर सकते हैं जो संभावित रूप से हानिकारक हो सकते हैं।
अन्य संसाधन
एंड्रॉइड ऐप डेवलपर्स के लिए जानकारी: https://developer.android.com
सुरक्षा जानकारी संपूर्ण Android ओपन सोर्स और डेवलपर साइटों में मौजूद है। शुरू करने के लिए अच्छी जगहें:
- https://source.android.com/docs/security
- https://developer.android.com/training/articles/security-tips
रिपोर्टों
कभी-कभी Android सुरक्षा टीम रिपोर्ट या श्वेतपत्र प्रकाशित करती है। अधिक विवरण के लिए सुरक्षा रिपोर्ट देखें।