অ্যান্ড্রয়েড নিরাপত্তা দল অ্যান্ড্রয়েড প্ল্যাটফর্ম এবং অ্যান্ড্রয়েড ডিভাইসের সাথে থাকা অনেকগুলো মূল অ্যান্ড্রয়েড অ্যাপে আবিষ্কৃত নিরাপত্তা দুর্বলতাগুলো ব্যবস্থাপনার জন্য দায়ী।
অ্যান্ড্রয়েড নিরাপত্তা দল অভ্যন্তরীণ গবেষণার মাধ্যমে নিরাপত্তা দুর্বলতা খুঁজে বের করে এবং তৃতীয় পক্ষের দ্বারা রিপোর্ট করা বাগগুলিরও সমাধান করে। বাহ্যিক বাগগুলির উৎসের মধ্যে রয়েছে দুর্বলতা ফর্মের মাধ্যমে রিপোর্ট করা সমস্যা, প্রকাশিত ও অপ্রকাশিত একাডেমিক গবেষণা, আপস্ট্রিম ওপেন সোর্স প্রকল্পের রক্ষণাবেক্ষণকারী, আমাদের ডিভাইস প্রস্তুতকারক অংশীদারদের কাছ থেকে প্রাপ্ত বিজ্ঞপ্তি এবং ব্লগ বা সোশ্যাল মিডিয়ায় পোস্ট করা সর্বজনীনভাবে প্রকাশিত সমস্যা।
নিরাপত্তা সংক্রান্ত সমস্যা রিপোর্ট করুন
যেকোনো ডেভেলপার, অ্যান্ড্রয়েড ব্যবহারকারী বা নিরাপত্তা গবেষক ভালনারেবিলিটি ফর্মের মাধ্যমে অ্যান্ড্রয়েড নিরাপত্তা টিমকে সম্ভাব্য নিরাপত্তা সমস্যা সম্পর্কে অবহিত করতে পারেন।
নিরাপত্তাজনিত সমস্যা হিসেবে চিহ্নিত বাগগুলো বাইরে থেকে দেখা যায় না, কিন্তু সমস্যাটি মূল্যায়ন বা সমাধান করার পর সেগুলো অবশেষে দৃশ্যমান হতে পারে। আপনি যদি কোনো নিরাপত্তাজনিত সমস্যা সমাধানের জন্য একটি প্যাচ বা কম্প্যাটিবিলিটি টেস্ট স্যুট (CTS) টেস্ট জমা দেওয়ার পরিকল্পনা করেন, তবে অনুগ্রহ করে বাগ রিপোর্টের সাথে এটি সংযুক্ত করুন এবং AOSP-তে কোড আপলোড করার আগে উত্তরের জন্য অপেক্ষা করুন।
ট্রায়েজ বাগ
একটি নিরাপত্তা ত্রুটি মোকাবেলার প্রথম কাজ হলো বাগটির তীব্রতা এবং অ্যান্ড্রয়েডের কোন উপাদানটি প্রভাবিত হয়েছে তা শনাক্ত করা। তীব্রতার উপর নির্ভর করে সমস্যাটিকে অগ্রাধিকার দেওয়া হবে, এবং উপাদানটির উপর নির্ভর করে কে বাগটি ঠিক করবে, কাকে জানানো হবে এবং কীভাবে সমাধানটি ব্যবহারকারীদের কাছে পৌঁছে দেওয়া হবে।
প্রসঙ্গের প্রকারভেদ
এই সারণিতে হার্ডওয়্যার এবং সফটওয়্যার নিরাপত্তা প্রসঙ্গের সংজ্ঞাগুলো তুলে ধরা হয়েছে। প্রসঙ্গটি সাধারণত যে ধরনের ডেটা প্রসেস করে তার সংবেদনশীলতা অথবা এটি যে স্থানে চলে, তার উপর ভিত্তি করে সংজ্ঞায়িত করা যেতে পারে। সব নিরাপত্তা প্রসঙ্গ সব সিস্টেমের জন্য প্রযোজ্য নয়। এই সারণিটি সর্বনিম্ন সুবিধাপ্রাপ্ত থেকে সর্বোচ্চ সুবিধাপ্রাপ্ত পর্যন্ত ক্রমানুসারে সাজানো হয়েছে।
| প্রসঙ্গের ধরণ | প্রকার সংজ্ঞা |
|---|---|
| সীমাবদ্ধ প্রেক্ষাপট | একটি সীমাবদ্ধ নির্বাহ পরিবেশ যেখানে শুধুমাত্র ন্যূনতম অনুমতি প্রদান করা হয়। উদাহরণস্বরূপ, বিশ্বস্ত অ্যাপগুলো একটি স্যান্ডবক্সড পরিবেশে অবিশ্বস্ত ডেটা প্রসেস করছে। |
| সুবিধাবঞ্চিত প্রেক্ষাপট | অপ্রাধিকারপ্রাপ্ত কোডের জন্য প্রত্যাশিত একটি সাধারণ নির্বাহ পরিবেশ। উদাহরণস্বরূপ, একটি অ্যান্ড্রয়েড অ্যাপ যা untrusted_app_all অ্যাট্রিবিউটসহ একটি SELinux ডোমেইনে চলে। |
| বিশেষাধিকারপ্রাপ্ত প্রেক্ষাপট | একটি বিশেষাধিকারপ্রাপ্ত এক্সিকিউশন এনভায়রনমেন্ট, যার উচ্চতর অনুমতি ব্যবহারের সুযোগ থাকতে পারে, যা একাধিক ব্যবহারকারীর ব্যক্তিগত শনাক্তকরণ তথ্য (PII) পরিচালনা করে এবং/অথবা সিস্টেমের অখণ্ডতা বজায় রাখে। উদাহরণস্বরূপ, একটি অ্যান্ড্রয়েড অ্যাপ যার এমন কিছু ক্ষমতা রয়েছে যা SELinux-এর untrusted_app ডোমেইন দ্বারা নিষিদ্ধ, অথবা যার privileged|signature পারমিশনগুলিতে অ্যাক্সেস রয়েছে। |
| ওএস কার্নেল | কার্যকারিতা যা:
|
| বিশ্বস্ত হার্ডওয়্যার বেস (THB) | স্বতন্ত্র হার্ডওয়্যার উপাদান, যা সাধারণত SoC-তে থাকে এবং ডিভাইসের মূল ব্যবহারের জন্য অত্যাবশ্যকীয় কার্যকারিতা প্রদান করে (যেমন, সেলুলার বেসব্যান্ড, ডিএসপি, জিপিইউ এবং এমএল প্রসেসর)। |
| বুটলোডার চেইন | এমন একটি উপাদান যা ডিভাইসটি চালু হওয়ার সময় কনফিগার করে এবং তারপর অ্যান্ড্রয়েড ওএস-এর কাছে নিয়ন্ত্রণ হস্তান্তর করে। |
| বিশ্বস্ত নির্বাহ পরিবেশ (TEE) | এমন একটি উপাদান যা এমনকি একটি প্রতিকূল OS কার্নেল থেকেও সুরক্ষিত থাকার জন্য ডিজাইন করা হয়েছে (উদাহরণস্বরূপ, TrustZone এবং pKVM-এর মতো হাইপারভাইজর, যা ভার্চুয়াল মেশিনকে OS কার্নেল থেকে রক্ষা করে)। |
| সুরক্ষিত এনক্লেভ / সুরক্ষিত উপাদান (SE) | একটি ঐচ্ছিক হার্ডওয়্যার উপাদান, যা ডিভাইসের অন্য সব উপাদান এবং ভৌত আক্রমণ থেকে সুরক্ষিত থাকার জন্য ডিজাইন করা হয়েছে, যেমনটি ‘সিকিওর এলিমেন্টস-এর ভূমিকা’ -তে সংজ্ঞায়িত করা হয়েছে। এর মধ্যে কিছু অ্যান্ড্রয়েড ডিভাইসে থাকা টাইটান-এম চিপও অন্তর্ভুক্ত। |
তীব্রতা
একটি বাগের তীব্রতা সাধারণত সেই সম্ভাব্য ক্ষতিকে নির্দেশ করে যা বাগটি সফলভাবে কাজে লাগানো হলে ঘটতে পারে। তীব্রতা নির্ধারণ করতে নিম্নলিখিত মানদণ্ডগুলো ব্যবহার করুন।
| রেটিং | সফল শোষণের পরিণতি |
|---|---|
| সমালোচনামূলক |
|
| উচ্চ |
|
| মাঝারি |
|
| নিম্ন |
|
| নগণ্য নিরাপত্তা প্রভাব (NSI) |
|
তীব্রতা পরিবর্তনকারী
যদিও নিরাপত্তা দুর্বলতার তীব্রতা প্রায়শই সহজে শনাক্ত করা যায়, পরিস্থিতিভেদে এর মাত্রা পরিবর্তিত হতে পারে।
| কারণ | প্রভাব |
|---|---|
| আক্রমণটি চালানোর জন্য একটি বিশেষাধিকারপ্রাপ্ত প্রেক্ষাপটে (privileged context) চালানো প্রয়োজন (এটি TEE, SE, এবং pKVM-এর মতো হাইপারভাইজরের ক্ষেত্রে প্রযোজ্য নয়)। | -১ তীব্রতা |
| দুর্বলতা-সংক্রান্ত নির্দিষ্ট বিবরণ সমস্যাটির প্রভাবকে সীমিত করে। | -১ তীব্রতা |
| বায়োমেট্রিক প্রমাণীকরণ বাইপাস, যার জন্য সরাসরি ডিভাইস মালিকের কাছ থেকে বায়োমেট্রিক তথ্য প্রয়োজন হয়। | -১ তীব্রতা |
| কম্পাইলার বা প্ল্যাটফর্ম কনফিগারেশন সোর্স কোডের একটি দুর্বলতা প্রশমিত করে। | অন্তর্নিহিত দুর্বলতা মাঝারি বা তার চেয়ে উচ্চতর হলে তীব্রতা মাঝারি। |
| এর জন্য ডিভাইসের অভ্যন্তরীণ অংশে সরাসরি প্রবেশের প্রয়োজন হয় এবং ডিভাইসটি বন্ধ থাকলেও বা চালু করার পর আনলক করা না হলেও এটি সম্ভব। | -১ তীব্রতা |
| ডিভাইসটি চালু থাকা অবস্থায় এর অভ্যন্তরীণ অংশে সরাসরি প্রবেশের প্রয়োজন হয় এবং এটি পূর্বে আনলক করা থাকতে হবে। | -২ তীব্রতা |
| একটি স্থানীয় আক্রমণ যার জন্য বুটলোডার চেইন আনলক করা প্রয়োজন। | নিম্নের চেয়ে বেশি নয় |
| এটি এমন একটি স্থানীয় আক্রমণ যার জন্য ডিভাইসে ডেভেলপার মোড বা এর কোনো স্থায়ী সেটিংস চালু থাকা প্রয়োজন (এবং এটি ডেভেলপার মোডের নিজস্ব কোনো বাগ নয়)। | নিম্নের চেয়ে বেশি নয় |
| যদি কোনো SELinux ডোমেইন Google-প্রদত্ত SEPolicy-এর অধীনে অপারেশনটি পরিচালনা করতে না পারে | নগণ্য নিরাপত্তা প্রভাব |
স্থানীয় বনাম নিকটবর্তী বনাম দূরবর্তী
রিমোট অ্যাটাক ভেক্টর বলতে বোঝায় যে, কোনো অ্যাপ ইনস্টল না করেই বা কোনো ডিভাইসে সরাসরি প্রবেশাধিকার ছাড়াই বাগটি কাজে লাগানো যেতে পারে। এর মধ্যে সেইসব বাগ অন্তর্ভুক্ত, যেগুলো কোনো ওয়েব পেজ ব্রাউজ করা, ইমেল পড়া, এসএমএস বার্তা গ্রহণ করা বা কোনো ক্ষতিকর নেটওয়ার্কে সংযোগ করার মাধ্যমে সক্রিয় হতে পারে।
নিকটবর্তী আক্রমণ ভেক্টরগুলোকে দূরবর্তী হিসেবে বিবেচনা করা হয়। এর মধ্যে এমন বাগ অন্তর্ভুক্ত যা কেবলমাত্র লক্ষ্য ডিভাইসের ভৌতিকভাবে নিকটবর্তী কোনো আক্রমণকারীই কাজে লাগাতে পারে; উদাহরণস্বরূপ, এমন একটি বাগ যার জন্য ত্রুটিপূর্ণ ওয়াই-ফাই বা ব্লুটুথ প্যাকেট পাঠানোর প্রয়োজন হয়। আমরা আল্ট্রা-ওয়াইডব্যান্ড (UWB) এবং NFC-ভিত্তিক আক্রমণগুলোকে নিকটবর্তী এবং সেই কারণে দূরবর্তী হিসেবে বিবেচনা করি।
স্থানীয় আক্রমণের জন্য আক্রমণকারীর ভুক্তভোগীর কাছে আগে থেকেই প্রবেশাধিকার থাকা প্রয়োজন। শুধুমাত্র সফটওয়্যার-সম্পর্কিত একটি কাল্পনিক উদাহরণে, এটি হতে পারে ভুক্তভোগীর ইনস্টল করা কোনো ক্ষতিকারক অ্যাপের মাধ্যমে, অথবা এমন কোনো ইনস্ট্যান্ট অ্যাপের মাধ্যমে যা চালানোর জন্য তিনি সম্মতি দিয়েছেন।
সফলভাবে পেয়ার করা ডিভাইসগুলোকে (যেমন ব্লুটুথ কম্প্যানিয়ন ডিভাইস) লোকাল হিসেবে গণ্য করা হয়। আমরা একটি পেয়ার করা ডিভাইস এবং পেয়ারিং প্রক্রিয়ায় অংশগ্রহণকারী ডিভাইসের মধ্যে পার্থক্য করি।
- যেসব বাগ ব্যবহারকারীর পেয়ার করা অন্য ডিভাইসটি শনাক্ত করার ক্ষমতাকে (অর্থাৎ প্রমাণীকরণ) ব্যাহত করে, সেগুলোকে প্রক্সিমাল এবং সেই কারণে রিমোট হিসেবে গণ্য করা হয়।
- পেয়ারিং প্রক্রিয়া চলাকালীন কিন্তু ব্যবহারকারীর সম্মতি (অর্থাৎ অনুমোদন) প্রতিষ্ঠিত হওয়ার আগে যে বাগগুলো ঘটে, সেগুলোকে নিকটবর্তী এবং সেই কারণে দূরবর্তী হিসেবে বিবেচনা করা হয়।
- ব্যবহারকারীর সম্মতি প্রতিষ্ঠিত হওয়ার পরে যে বাগগুলো ঘটে, সেগুলোকে স্থানীয় বাগ হিসেবে বিবেচনা করা হয়, এমনকি যদি শেষ পর্যন্ত পেয়ারিং ব্যর্থও হয়।
ফিজিক্যাল অ্যাটাক ভেক্টরগুলোকে লোকাল বা স্থানীয় বলে গণ্য করা হয়। এর মধ্যে এমন বাগ অন্তর্ভুক্ত, যা কেবলমাত্র সেই আক্রমণকারীই কাজে লাগাতে পারে যার ডিভাইসটিতে ফিজিক্যাল অ্যাক্সেস বা সরাসরি প্রবেশাধিকার আছে; যেমন, লক স্ক্রিনের কোনো বাগ অথবা এমন কোনো বাগ যার জন্য ইউএসবি ক্যাবল লাগানোর প্রয়োজন হয়। যেহেতু ইউএসবি-তে প্লাগ ইন থাকা অবস্থায় ডিভাইস আনলক করা একটি সাধারণ ব্যাপার, তাই যে সকল আক্রমণের জন্য ইউএসবি সংযোগের প্রয়োজন হয়, সেগুলোর তীব্রতা একই থাকে, ডিভাইসটি আনলক করার প্রয়োজন হোক বা না হোক।
নেটওয়ার্ক নিরাপত্তা
অ্যান্ড্রয়েড ধরে নেয় যে সমস্ত নেটওয়ার্কই ক্ষতিকর এবং সেগুলো আক্রমণ চালাতে বা ট্র্যাফিকের উপর নজরদারি করতে পারে। যদিও লিঙ্ক-লেয়ার নিরাপত্তা (উদাহরণস্বরূপ, ওয়াই-ফাই এনক্রিপশন) একটি ডিভাইস এবং তার সাথে সংযুক্ত অ্যাক্সেস পয়েন্টের মধ্যেকার যোগাযোগকে সুরক্ষিত করে, কিন্তু এটি ডিভাইস এবং তার সাথে যোগাযোগকারী সার্ভারগুলোর মধ্যকার শৃঙ্খলের বাকি লিঙ্কগুলোকে সুরক্ষিত করার জন্য কিছুই করে না।
এর বিপরীতে, HTTPS সাধারণত সম্পূর্ণ যোগাযোগ ব্যবস্থাকে শুরু থেকে শেষ পর্যন্ত সুরক্ষিত রাখে; এটি ডেটাকে তার উৎসস্থলে এনক্রিপ্ট করে এবং চূড়ান্ত গন্তব্যে পৌঁছানোর পরেই কেবল সেটিকে ডিক্রিপ্ট ও যাচাই করে। এই কারণে, লিংক-লেয়ার নেটওয়ার্ক নিরাপত্তা বিঘ্নিত করে এমন দুর্বলতাগুলোকে HTTPS/TLS-এর দুর্বলতার তুলনায় কম গুরুতর হিসেবে গণ্য করা হয়: ইন্টারনেটে বেশিরভাগ যোগাযোগের জন্য শুধুমাত্র ওয়াই-ফাই এনক্রিপশন যথেষ্ট নয়।
বায়োমেট্রিক প্রমাণীকরণ
বায়োমেট্রিক প্রমাণীকরণ একটি চ্যালেঞ্জিং ক্ষেত্র, এবং এমনকি সেরা সিস্টেমগুলোও কাছাকাছি মিলের কারণে প্রতারিত হতে পারে (দেখুন অ্যান্ড্রয়েড ডেভেলপারস ব্লগ: অ্যান্ড্রয়েড ১১-এ লকস্ক্রিন এবং প্রমাণীকরণের উন্নতি )। এই তীব্রতার রেটিংগুলো দুই শ্রেণীর আক্রমণের মধ্যে পার্থক্য করে এবং এর উদ্দেশ্য হলো শেষ ব্যবহারকারীর জন্য প্রকৃত ঝুঁকি তুলে ধরা।
প্রথম শ্রেণীর আক্রমণগুলো মালিকের কাছ থেকে উচ্চ মানের বায়োমেট্রিক ডেটা ছাড়াই, একটি সাধারণীকরণযোগ্য উপায়ে বায়োমেট্রিক প্রমাণীকরণকে বাইপাস করার সুযোগ দেয়। উদাহরণস্বরূপ, যদি কোনো আক্রমণকারী একটি ফিঙ্গারপ্রিন্ট সেন্সরে এক টুকরো চুইংগাম রাখতে পারে এবং সেন্সরে লেগে থাকা অবশেষের উপর ভিত্তি করে ডিভাইসটিতে অ্যাক্সেস পাওয়া যায়, তবে এটি একটি সহজ আক্রমণ যা যেকোনো সংবেদনশীল ডিভাইসে চালানো যেতে পারে। এর জন্য ডিভাইসের মালিক সম্পর্কে কোনো জ্ঞানের প্রয়োজন হয় না। যেহেতু এটি সাধারণীকরণযোগ্য এবং সম্ভাব্যভাবে বিপুল সংখ্যক ব্যবহারকারীকে প্রভাবিত করতে পারে, তাই এই আক্রমণটি সম্পূর্ণ গুরুতরতার রেটিং পায় (উদাহরণস্বরূপ, লকস্ক্রিন বাইপাসের জন্য 'উচ্চ')।
অন্য শ্রেণীর আক্রমণগুলিতে সাধারণত ডিভাইসের মালিকের উপর ভিত্তি করে একটি প্রেজেন্টেশন অ্যাটাক ইনস্ট্রুমেন্ট (স্পুফ) জড়িত থাকে। কখনও কখনও এই বায়োমেট্রিক তথ্য পাওয়া তুলনামূলকভাবে সহজ হয় (উদাহরণস্বরূপ, যদি সোশ্যাল মিডিয়ায় কারও প্রোফাইল ছবি বায়োমেট্রিক অথেন্টিকেশনকে ধোঁকা দেওয়ার জন্য যথেষ্ট হয়, তাহলে একটি বায়োমেট্রিক বাইপাস পূর্ণ তীব্রতার রেটিং পাবে)। কিন্তু যদি কোনো আক্রমণকারীকে সরাসরি ডিভাইসের মালিকের কাছ থেকে বায়োমেট্রিক ডেটা সংগ্রহ করতে হয় (উদাহরণস্বরূপ, তার মুখের একটি ইনফ্রারেড স্ক্যান), তবে এটি এতটাই বড় একটি বাধা যে তা আক্রমণের দ্বারা প্রভাবিত মানুষের সংখ্যাকে সীমিত করে দেয়, তাই এর জন্য একটি -১ মডিফায়ার যুক্ত হয়।
সিস্টেম_অ্যালার্ট_উইন্ডো এবং ট্যাপজ্যাকিং
SYSTEM_ALERT_WINDOW এবং ট্যাপজ্যাকিং সম্পর্কিত আমাদের নীতিমালা সম্পর্কে জানতে, BugHunter University-এর 'Bugs with no security impact ' পৃষ্ঠার " Tapjacking/overlay SYSTEM_ALERT_WINDOW vulnerability on a non-security-critical screen " অংশটি দেখুন।
অ্যান্ড্রয়েড অটোমোটিভ ওএস-এ একাধিক ব্যবহারকারী নিরাপত্তা
অ্যান্ড্রয়েড অটোমোটিভ ওএস অন্যান্য ফর্ম ফ্যাক্টর থেকে ভিন্ন একটি মাল্টি-ইউজার নিরাপত্তা মডেল গ্রহণ করে। প্রতিটি অ্যান্ড্রয়েড ইউজার ভিন্ন ভিন্ন ব্যক্তির ব্যবহারের জন্য তৈরি করা হয়েছে। উদাহরণস্বরূপ, গাড়ির মালিকের কাছ থেকে গাড়িটি ধার নেওয়া কোনো বন্ধুকে একজন অস্থায়ী গেস্ট ইউজার হিসেবে নিযুক্ত করা যেতে পারে। এই ধরনের ব্যবহারের ক্ষেত্রগুলোর সুবিধার জন্য, ব্যবহারকারীরা ডিফল্টভাবে গাড়িটি ব্যবহারের জন্য প্রয়োজনীয় উপাদান, যেমন ওয়াই-ফাই এবং সেলুলার নেটওয়ার্ক সেটিংসে অ্যাক্সেস পেয়ে থাকেন।
প্রভাবিত উপাদান
বাগটি কোন কম্পোনেন্টে রয়েছে, তার উপর নির্ভর করে এটি ঠিক করার জন্য দায়িত্বপ্রাপ্ত ডেভেলপমেন্ট টিম নির্ধারিত হবে। এটি অ্যান্ড্রয়েড প্ল্যাটফর্মের কোনো কোর কম্পোনেন্ট, কোনো অরিজিনাল ইকুইপমেন্ট ম্যানুফ্যাকচারার (OEM) দ্বারা সরবরাহকৃত কার্নেল ড্রাইভার, অথবা পিক্সেল ডিভাইসে আগে থেকে লোড করা অ্যাপগুলোর মধ্যে একটি হতে পারে।
AOSP কোডের ত্রুটিগুলো অ্যান্ড্রয়েড ইঞ্জিনিয়ারিং টিম আমাদের অভ্যন্তরীণ রিপোজিটরিগুলোতে সমাধান করে।
ব্যবহারকারীরা কীভাবে আপডেট পান, তার ক্ষেত্রেও কম্পোনেন্ট একটি গুরুত্বপূর্ণ বিষয়। ফ্রেমওয়ার্ক বা কার্নেলের কোনো বাগের জন্য ওভার-দ্য-এয়ার (OTA) ফার্মওয়্যার আপডেটের প্রয়োজন হয়, যা প্রতিটি OEM-কে পাঠাতে হয়। গুগল প্লে-তে প্রকাশিত কোনো অ্যাপ বা লাইব্রেরির (যেমন, জিমেইল, গুগল প্লে সার্ভিসেস বা ওয়েবভিউ) বাগ গুগল প্লে থেকে একটি আপডেট হিসেবে অ্যান্ড্রয়েড ব্যবহারকারীদের কাছে পাঠানো যেতে পারে।
অংশীদারদের অবহিত করুন
যখন কোনো অ্যান্ড্রয়েড সিকিউরিটি বুলেটিনে AOSP-এর কোনো নিরাপত্তা ত্রুটি সমাধান করা হয়, তখন আমরা অ্যান্ড্রয়েড পার্টনারদেরকে সমস্যাটির বিস্তারিত তথ্য জানাই এবং প্যাচ সরবরাহ করি। প্রতিটি নতুন অ্যান্ড্রয়েড রিলিজের সাথে ব্যাকপোর্ট-সমর্থিত সংস্করণগুলির তালিকা পরিবর্তিত হয়। সমর্থিত ডিভাইসগুলির তালিকার জন্য আপনার ডিভাইস প্রস্তুতকারকের সাথে যোগাযোগ করুন।
AOSP-তে কোড প্রকাশ করুন
নিরাপত্তাজনিত ত্রুটিটি যদি AOSP-এর কোনো কম্পোনেন্টে থাকে, তাহলে ব্যবহারকারীদের জন্য OTA প্রকাশের পর AOSP-তে সমাধানটি পাঠানো হয়।
অ্যান্ড্রয়েড আপডেটগুলি গ্রহণ করুন
অ্যান্ড্রয়েড সিস্টেমের আপডেটগুলো সাধারণত OTA আপডেট প্যাকেজের মাধ্যমে ডিভাইসগুলোতে পৌঁছে দেওয়া হয়। এই আপডেটগুলো ডিভাইস প্রস্তুতকারক OEM অথবা ডিভাইসটিতে পরিষেবা প্রদানকারী ক্যারিয়ারের কাছ থেকে আসতে পারে। গুগল পিক্সেল ডিভাইসের আপডেটগুলো ক্যারিয়ার টেকনিক্যাল অ্যাকসেপ্টেন্স (TA) টেস্টিং প্রক্রিয়ার মধ্য দিয়ে যাওয়ার পর গুগল পিক্সেল টিমের পক্ষ থেকে আসে। গুগল পিক্সেল ফ্যাক্টরি ইমেজও প্রকাশ করে, যা ডিভাইসগুলোতে সাইড-লোড করা যায়।
গুগল পরিষেবা আপডেট করুন
নিরাপত্তা ত্রুটির জন্য প্যাচ দেওয়ার পাশাপাশি, অ্যান্ড্রয়েড নিরাপত্তা দল ব্যবহারকারীদের সুরক্ষিত রাখার অন্য কোনো উপায় আছে কিনা তা নির্ধারণ করতে নিরাপত্তা ত্রুটিগুলো পর্যালোচনা করে। উদাহরণস্বরূপ, গুগল প্লে সমস্ত অ্যাপ স্ক্যান করে এবং নিরাপত্তা ত্রুটির সুযোগ নেওয়ার চেষ্টা করে এমন যেকোনো অ্যাপ সরিয়ে দেয়। গুগল প্লে-এর বাইরে থেকে ইনস্টল করা অ্যাপের ক্ষেত্রে, গুগল প্লে সার্ভিসেসযুক্ত ডিভাইসগুলো সম্ভাব্য ক্ষতিকর অ্যাপ সম্পর্কে ব্যবহারকারীদের সতর্ক করতে ‘ভেরিফাই অ্যাপস’ ফিচারটিও ব্যবহার করতে পারে।
অন্যান্য সম্পদ
অ্যান্ড্রয়েড অ্যাপ ডেভেলপারদের জন্য তথ্য: https://developer.android.com
অ্যান্ড্রয়েড ওপেন সোর্স এবং ডেভেলপার সাইটগুলোতে নিরাপত্তা সংক্রান্ত তথ্য পাওয়া যায়। শুরু করার জন্য ভালো কিছু জায়গা হলো:
প্রতিবেদন
মাঝে মাঝে অ্যান্ড্রয়েড নিরাপত্তা দল প্রতিবেদন বা শ্বেতপত্র প্রকাশ করে। আরও বিস্তারিত জানতে নিরাপত্তা প্রতিবেদন দেখুন।