एंड्रॉइड उद्योग की अग्रणी सुरक्षा सुविधाओं को शामिल करता है और एंड्रॉइड प्लेटफॉर्म और पारिस्थितिकी तंत्र को सुरक्षित रखने के लिए डेवलपर्स और डिवाइस कार्यान्वयनकर्ताओं के साथ काम करता है। एंड्रॉइड प्लेटफॉर्म पर और उसके आसपास और क्लाउड सेवाओं द्वारा समर्थित ऐप्स और उपकरणों के एक सशक्त पारिस्थितिकी तंत्र को सक्षम करने के लिए एक मजबूत सुरक्षा मॉडल आवश्यक है। परिणामस्वरूप, अपने संपूर्ण विकास जीवनचक्र के माध्यम से, Android एक कठोर सुरक्षा कार्यक्रम के अधीन रहा है।
Android को खुले रहने के लिए डिज़ाइन किया गया है। Android ऐप्स उन्नत हार्डवेयर और सॉफ़्टवेयर के साथ-साथ स्थानीय और सर्व किए गए डेटा का उपयोग करते हैं, जो उपभोक्ताओं के लिए नवाचार और मूल्य लाने के लिए मंच के माध्यम से उजागर होते हैं। उस मूल्य को महसूस करने के लिए, प्लेटफ़ॉर्म एक ऐप वातावरण प्रदान करता है जो गोपनीयता, अखंडता और उपयोगकर्ताओं, डेटा, ऐप्स, डिवाइस और नेटवर्क की उपलब्धता की रक्षा करता है।
एक खुले मंच को सुरक्षित करने के लिए एक मजबूत सुरक्षा वास्तुकला और कठोर सुरक्षा कार्यक्रमों की आवश्यकता होती है। एंड्रॉइड को बहुस्तरीय सुरक्षा के साथ डिजाइन किया गया था जो एक खुले प्लेटफॉर्म का समर्थन करने के लिए पर्याप्त लचीला है, जबकि अभी भी प्लेटफॉर्म के सभी उपयोगकर्ताओं की सुरक्षा करता है। सुरक्षा समस्याओं और अद्यतन प्रक्रिया की रिपोर्ट करने के बारे में जानकारी के लिए, सुरक्षा अद्यतन और संसाधन देखें।
Android डेवलपर्स के लिए डिज़ाइन किया गया है। सुरक्षा नियंत्रण डेवलपर्स पर बोझ को कम करने के लिए डिज़ाइन किए गए थे। सुरक्षा की समझ रखने वाले डेवलपर आसानी से काम कर सकते हैं और लचीले सुरक्षा नियंत्रणों पर भरोसा कर सकते हैं। सुरक्षा से कम परिचित डेवलपर्स सुरक्षित डिफ़ॉल्ट द्वारा सुरक्षित होते हैं।
निर्माण के लिए एक स्थिर मंच प्रदान करने के अलावा, एंड्रॉइड कई तरीकों से डेवलपर्स को अतिरिक्त सहायता प्रदान करता है। एंड्रॉइड सुरक्षा टीम ऐप्स में संभावित कमजोरियों की तलाश करती है और उन मुद्दों को ठीक करने के तरीके सुझाती है। Google Play वाले उपकरणों के लिए, Play सेवाएं महत्वपूर्ण सॉफ़्टवेयर लाइब्रेरी के लिए सुरक्षा अपडेट प्रदान करती हैं, जैसे कि OpenSSL, जिसका उपयोग ऐप संचार को सुरक्षित करने के लिए किया जाता है। एंड्रॉइड सुरक्षा ने एसएसएल ( नोगोटोफेल ) के परीक्षण के लिए एक उपकरण जारी किया जो डेवलपर्स को किसी भी प्लेटफॉर्म पर संभावित सुरक्षा मुद्दों को खोजने में मदद करता है जो वे विकसित कर रहे हैं।
Android ऐप डेवलपर्स के लिए अधिक जानकारी developer.android.com पर मिल सकती है।
Android उपयोगकर्ताओं के लिए डिज़ाइन किया गया है। उपयोगकर्ताओं को प्रत्येक ऐप द्वारा अनुरोधित अनुमतियों में दृश्यता प्रदान की जाती है और उन अनुमतियों पर नियंत्रण होता है। इस डिज़ाइन में यह अपेक्षा शामिल है कि हमलावर सामान्य हमले करने का प्रयास करेंगे, जैसे कि डिवाइस उपयोगकर्ताओं को मैलवेयर इंस्टॉल करने के लिए मनाने के लिए सोशल इंजीनियरिंग हमले, और Android पर तृतीय-पक्ष एप्लिकेशन पर हमले। एंड्रॉइड को इन हमलों की संभावना को कम करने और सफल होने की स्थिति में हमले के प्रभाव को बहुत सीमित करने के लिए डिज़ाइन किया गया था। उपयोगकर्ता के हाथ में डिवाइस होने के बाद भी Android सुरक्षा जारी रहती है। Android किसी भी Android डिवाइस के लिए पैच प्रदान करने के लिए भागीदारों और जनता के साथ काम करता है जिसे सुरक्षा अपडेट प्राप्त करना जारी है।
अंतिम उपयोगकर्ताओं के लिए अधिक जानकारी Nexus सहायता केंद्र , Pixel सहायता केंद्र , या आपके उपकरण निर्माता के सहायता केंद्र में मिल सकती है.
यह पृष्ठ एंड्रॉइड सुरक्षा कार्यक्रम के लक्ष्यों की रूपरेखा तैयार करता है, एंड्रॉइड सुरक्षा वास्तुकला के मूल सिद्धांतों का वर्णन करता है, और सिस्टम आर्किटेक्ट्स और सुरक्षा विश्लेषकों के लिए सबसे प्रासंगिक प्रश्नों का उत्तर देता है। यह एंड्रॉइड के कोर प्लेटफॉर्म की सुरक्षा सुविधाओं पर ध्यान केंद्रित करता है और उन सुरक्षा मुद्दों पर चर्चा नहीं करता है जो विशिष्ट ऐप के लिए अद्वितीय हैं, जैसे कि ब्राउज़र या एसएमएस ऐप से संबंधित।
पार्श्वभूमि
एंड्रॉइड मोबाइल उपकरणों के लिए एक ओपन सोर्स प्लेटफॉर्म और ऐप वातावरण प्रदान करता है।
नीचे दिए गए अनुभाग और पृष्ठ Android प्लेटफ़ॉर्म की सुरक्षा सुविधाओं का वर्णन करते हैं। चित्र 1 Android सॉफ़्टवेयर स्टैक के विभिन्न स्तरों के सुरक्षा घटकों और विचारों को दिखाता है। प्रत्येक घटक मानता है कि नीचे के घटक ठीक से सुरक्षित हैं। रूट के रूप में चलने वाले एंड्रॉइड ओएस कोड की एक छोटी राशि के अपवाद के साथ, लिनक्स कर्नेल के ऊपर सभी कोड एप्लिकेशन सैंडबॉक्स द्वारा प्रतिबंधित हैं।
चित्रा 1. एंड्रॉइड सॉफ्टवेयर स्टैक
मुख्य Android प्लेटफ़ॉर्म बिल्डिंग ब्लॉक हैं:
- डिवाइस हार्डवेयर: एंड्रॉइड मोबाइल फोन, टैबलेट, घड़ियां, ऑटोमोबाइल, स्मार्ट टीवी, ओटीटी गेमिंग बॉक्स और सेट-टॉप-बॉक्स सहित हार्डवेयर कॉन्फ़िगरेशन की एक विस्तृत श्रृंखला पर चलता है। Android प्रोसेसर-अज्ञेयवादी है, लेकिन यह ARM eXecute-Never जैसी कुछ हार्डवेयर-विशिष्ट सुरक्षा क्षमताओं का लाभ उठाता है।
- एंड्रॉइड ऑपरेटिंग सिस्टम: कोर ऑपरेटिंग सिस्टम लिनक्स कर्नेल के ऊपर बनाया गया है। सभी डिवाइस संसाधन, जैसे कैमरा फ़ंक्शन, GPS डेटा, ब्लूटूथ फ़ंक्शन, टेलीफ़ोनी फ़ंक्शन और नेटवर्क कनेक्शन ऑपरेटिंग सिस्टम के माध्यम से एक्सेस किए जाते हैं।
- एंड्रॉइड एप्लिकेशन रनटाइम: एंड्रॉइड ऐप अक्सर जावा प्रोग्रामिंग भाषा में लिखे जाते हैं और एंड्रॉइड रनटाइम (एआरटी) में चलते हैं। हालांकि, कोर एंड्रॉइड सेवाओं और ऐप्स सहित कई ऐप्स, मूल ऐप्स हैं या मूल पुस्तकालय शामिल हैं। एआरटी और नेटिव ऐप दोनों एक ही सुरक्षा वातावरण में चलते हैं, जो एप्लीकेशन सैंडबॉक्स में निहित है। ऐप्स को फ़ाइल सिस्टम का एक समर्पित हिस्सा मिलता है जिसमें वे डेटाबेस और कच्ची फ़ाइलों सहित निजी डेटा लिख सकते हैं।
एंड्रॉइड ऐप्स कोर एंड्रॉइड ऑपरेटिंग सिस्टम का विस्तार करते हैं। ऐप्स के लिए दो प्राथमिक स्रोत हैं:
- प्रीइंस्टॉल्ड ऐप्स: एंड्रॉइड में फोन, ईमेल, कैलेंडर, वेब ब्राउजर और कॉन्टैक्ट्स सहित प्रीइंस्टॉल्ड ऐप्स का एक सेट शामिल है। ये उपयोगकर्ता ऐप्स के रूप में कार्य करते हैं और वे महत्वपूर्ण डिवाइस क्षमताएं प्रदान करते हैं जिन्हें अन्य ऐप्स द्वारा एक्सेस किया जा सकता है। प्रीइंस्टॉल्ड ऐप्स ओपन सोर्स एंड्रॉइड प्लेटफॉर्म का हिस्सा हो सकते हैं, या उन्हें किसी विशिष्ट डिवाइस के लिए डिवाइस निर्माता द्वारा विकसित किया जा सकता है।
- उपयोगकर्ता द्वारा स्थापित ऐप्स: एंड्रॉइड एक खुला विकास वातावरण प्रदान करता है जो किसी भी तृतीय-पक्ष ऐप का समर्थन करता है। Google Play उपयोगकर्ताओं को सैकड़ों हजारों ऐप्स प्रदान करता है।
गूगल सुरक्षा सेवाएं
Google क्लाउड-आधारित सेवाओं का एक सेट प्रदान करता है जो Google मोबाइल सेवाओं के साथ संगत Android उपकरणों के लिए उपलब्ध हैं। हालांकि ये सेवाएं एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) का हिस्सा नहीं हैं, लेकिन इन्हें कई एंड्रॉइड डिवाइसों में शामिल किया गया है। इनमें से कुछ सेवाओं के बारे में अधिक जानकारी के लिए, Android सुरक्षा का 2018 ईयर इन रिव्यू देखें।
प्राथमिक Google सुरक्षा सेवाएं हैं:
- Google Play: Google Play सेवाओं का एक संग्रह है जो उपयोगकर्ताओं को अपने Android डिवाइस या वेब से ऐप्स खोजने, इंस्टॉल करने और खरीदने की अनुमति देता है। Google Play डेवलपर्स के लिए Android उपयोगकर्ताओं और संभावित ग्राहकों तक पहुंचना आसान बनाता है। Google Play समुदाय समीक्षा, ऐप लाइसेंस सत्यापन , ऐप सुरक्षा स्कैनिंग और अन्य सुरक्षा सेवाएं भी प्रदान करता है।
- एंड्रॉइड अपडेट: एंड्रॉइड अपडेट सेवा वेब या ओवर द एयर (ओटीए) के माध्यम से अपडेट सहित चयनित एंड्रॉइड डिवाइसों को नई क्षमताओं और सुरक्षा अपडेट प्रदान करती है।
- ऐप सेवाएं: फ्रेमवर्क जो एंड्रॉइड ऐप्स को क्लाउड क्षमताओं का उपयोग करने की अनुमति देता है जैसे ( बैक अप ) ऐप डेटा और सेटिंग्स और क्लाउड-टू-डिवाइस मैसेजिंग (सी 2 डीएम ) पुश मैसेजिंग के लिए।
- ऐप्स सत्यापित करें: हानिकारक ऐप्स की स्थापना को चेतावनी दें या स्वचालित रूप से ब्लॉक करें, और डिवाइस पर ऐप्स को लगातार स्कैन करें, हानिकारक ऐप्स के बारे में चेतावनी दें या निकालें।
- सेफ्टीनेट: Google ट्रैकिंग में सहायता करने, ज्ञात सुरक्षा खतरों को कम करने और नए सुरक्षा खतरों की पहचान करने के लिए एक गोपनीयता संरक्षित घुसपैठ का पता लगाने वाला सिस्टम।
- सेफ्टीनेट सत्यापन: डिवाइस सीटीएस संगत है या नहीं यह निर्धारित करने के लिए तृतीय-पक्ष एपीआई। सत्यापन ऐप सर्वर के साथ संचार करने वाले एंड्रॉइड ऐप की पहचान भी कर सकता है।
- एंड्रॉइड डिवाइस मैनेजर: खोए या चोरी हुए डिवाइस का पता लगाने के लिए एक वेब ऐप और एंड्रॉइड ऐप ।
सुरक्षा कार्यक्रम अवलोकन
Android सुरक्षा कार्यक्रम के प्रमुख घटकों में शामिल हैं:
- डिज़ाइन की समीक्षा: Android सुरक्षा प्रक्रिया एक समृद्ध और विन्यास योग्य सुरक्षा मॉडल और डिज़ाइन के निर्माण के साथ विकास जीवनचक्र की शुरुआत में शुरू होती है। प्लेटफ़ॉर्म की प्रत्येक प्रमुख विशेषता की समीक्षा इंजीनियरिंग और सुरक्षा संसाधनों द्वारा की जाती है, जिसमें उपयुक्त सुरक्षा नियंत्रण सिस्टम की वास्तुकला में एकीकृत होते हैं।
- प्रवेश परीक्षण और कोड समीक्षा: मंच के विकास के दौरान, एंड्रॉइड-निर्मित और ओपन सोर्स घटकों को जोरदार सुरक्षा समीक्षा के अधीन किया जाता है। ये समीक्षाएं Android सुरक्षा टीम, Google की सूचना सुरक्षा इंजीनियरिंग टीम और स्वतंत्र सुरक्षा सलाहकारों द्वारा की जाती हैं। इन समीक्षाओं का लक्ष्य प्रमुख रिलीज से पहले कमजोरियों और संभावित कमजोरियों की पहचान करना और रिलीज होने पर बाहरी सुरक्षा विशेषज्ञों द्वारा किए जाने वाले विश्लेषण के प्रकारों का अनुकरण करना है।
- खुला स्रोत और सामुदायिक समीक्षा: एओएसपी किसी भी इच्छुक पार्टी द्वारा व्यापक सुरक्षा समीक्षा को सक्षम बनाता है। एंड्रॉइड ओपन सोर्स तकनीकों का भी उपयोग करता है जिनकी महत्वपूर्ण बाहरी सुरक्षा समीक्षा हुई है, जैसे कि लिनक्स कर्नेल। Google Play उपयोगकर्ताओं और कंपनियों को विशिष्ट ऐप्स के बारे में सीधे उपयोगकर्ताओं को जानकारी प्रदान करने के लिए एक फ़ोरम प्रदान करता है।
- घटना प्रतिक्रिया: इन सावधानियों के बावजूद, शिपिंग के बाद सुरक्षा समस्याएं हो सकती हैं, यही वजह है कि एंड्रॉइड प्रोजेक्ट ने एक व्यापक सुरक्षा प्रतिक्रिया प्रक्रिया बनाई है। एंड्रॉइड बग डेटाबेस पर दायर संभावित कमजोरियों और समीक्षा सुरक्षा बग की चर्चा के लिए पूर्णकालिक एंड्रॉइड सुरक्षा टीम के सदस्य एंड्रॉइड-विशिष्ट और सामान्य सुरक्षा समुदाय की निगरानी करते हैं। वैध मुद्दों की खोज पर, एंड्रॉइड टीम के पास एक प्रतिक्रिया प्रक्रिया होती है जो कमजोरियों को तेजी से कम करने में सक्षम बनाती है ताकि यह सुनिश्चित हो सके कि सभी एंड्रॉइड उपयोगकर्ताओं के लिए संभावित जोखिम कम से कम हो। इन क्लाउड-समर्थित प्रतिक्रियाओं में एंड्रॉइड प्लेटफॉर्म (एओएसपी अपडेट) को अपडेट करना, Google Play से ऐप्स को हटाना, और फ़ील्ड में डिवाइस से ऐप्स को हटाना शामिल हो सकता है।
- मासिक सुरक्षा अपडेट: Android सुरक्षा टीम Google Android उपकरणों और हमारे सभी उपकरण निर्माण भागीदारों को मासिक अपडेट प्रदान करती है।
प्लेटफार्म सुरक्षा वास्तुकला
एंड्रॉइड पारंपरिक ऑपरेटिंग सिस्टम सुरक्षा नियंत्रणों का पुन: उपयोग करके मोबाइल प्लेटफॉर्म के लिए सबसे सुरक्षित और प्रयोग करने योग्य ऑपरेटिंग सिस्टम बनना चाहता है:
- ऐप और उपयोगकर्ता डेटा को सुरक्षित रखें
- सिस्टम संसाधनों को सुरक्षित रखें (नेटवर्क सहित)
- सिस्टम, अन्य ऐप्स और उपयोगकर्ता से ऐप अलगाव प्रदान करें
इन उद्देश्यों को प्राप्त करने के लिए, Android ये प्रमुख सुरक्षा सुविधाएँ प्रदान करता है:
- Linux कर्नेल के माध्यम से OS स्तर पर मजबूत सुरक्षा
- सभी ऐप्स के लिए अनिवार्य ऐप सैंडबॉक्स
- सुरक्षित इंटरप्रोसेस संचार
- ऐप साइनिंग
- ऐप-परिभाषित और उपयोगकर्ता द्वारा दी गई अनुमतियां