নিরাপত্তা আপডেট এবং সম্পদ

অ্যান্ড্রয়েড সিকিউরিটি টিম অ্যান্ড্রয়েড প্ল্যাটফর্মে আবিষ্কৃত নিরাপত্তা দুর্বলতা এবং অ্যান্ড্রয়েড ডিভাইসের সাথে বান্ডিল করা অনেক মূল অ্যান্ড্রয়েড অ্যাপের ব্যবস্থাপনার জন্য দায়ী।

অ্যান্ড্রয়েড সিকিউরিটি টিম অভ্যন্তরীণ গবেষণার মাধ্যমে নিরাপত্তার দুর্বলতা খুঁজে পায় এবং তৃতীয় পক্ষের দ্বারা রিপোর্ট করা বাগগুলির প্রতিক্রিয়া জানায়। বাহ্যিক বাগগুলির উত্সগুলির মধ্যে রয়েছে Android সিকিউরিটি ইস্যু টেমপ্লেটের মাধ্যমে রিপোর্ট করা সমস্যাগুলি, প্রকাশিত এবং প্রাক-প্রকাশিত একাডেমিক গবেষণা, আপস্ট্রিম ওপেন সোর্স প্রকল্প রক্ষণাবেক্ষণকারী, আমাদের ডিভাইস প্রস্তুতকারক অংশীদারদের থেকে বিজ্ঞপ্তিগুলি এবং ব্লগ বা সোশ্যাল মিডিয়াতে পোস্ট করা সর্বজনীনভাবে প্রকাশ করা সমস্যাগুলি৷

নিরাপত্তা সমস্যা রিপোর্ট করা

যেকোন ডেভেলপার, অ্যান্ড্রয়েড ব্যবহারকারী, বা নিরাপত্তা গবেষক নিরাপত্তা দুর্বলতা রিপোর্টিং ফর্মের মাধ্যমে সম্ভাব্য নিরাপত্তা সংক্রান্ত সমস্যা সম্পর্কে Android নিরাপত্তা দলকে অবহিত করতে পারেন।

নিরাপত্তা সমস্যা হিসাবে চিহ্নিত বাগগুলি বাহ্যিকভাবে দৃশ্যমান নয়, তবে সমস্যাটির মূল্যায়ন বা সমাধান হওয়ার পরে সেগুলিকে দৃশ্যমান করা হতে পারে৷ আপনি যদি কোনও সুরক্ষা সমস্যা সমাধানের জন্য একটি প্যাচ বা সামঞ্জস্য পরীক্ষা স্যুট (CTS) পরীক্ষা জমা দেওয়ার পরিকল্পনা করেন, অনুগ্রহ করে এটিকে বাগ রিপোর্টের সাথে সংযুক্ত করুন এবং AOSP এ কোড আপলোড করার আগে একটি প্রতিক্রিয়ার জন্য অপেক্ষা করুন৷

ট্রাইজিং বাগ

নিরাপত্তার দুর্বলতা মোকাবেলার প্রথম কাজটি হল বাগটির তীব্রতা এবং Android এর কোন উপাদানটি প্রভাবিত হয়েছে তা শনাক্ত করা। তীব্রতা নির্ধারণ করে কিভাবে সমস্যাটিকে অগ্রাধিকার দেওয়া হয়, এবং উপাদানটি নির্ধারণ করে কে বাগটি ঠিক করে, কাকে অবহিত করা হয় এবং কীভাবে ব্যবহারকারীদের কাছে সমাধানটি স্থাপন করা হয়।

প্রসঙ্গ প্রকার

এই টেবিলটি হার্ডওয়্যার এবং সফ্টওয়্যার নিরাপত্তা প্রসঙ্গের সংজ্ঞা কভার করে। প্রসঙ্গটি ডেটার সংবেদনশীলতা দ্বারা সংজ্ঞায়িত করা যেতে পারে যা এটি সাধারণত প্রক্রিয়া করে বা এটি যে এলাকায় চলে। সমস্ত নিরাপত্তা প্রসঙ্গ সব সিস্টেমে প্রযোজ্য নয়। এই টেবিলটি সর্বনিম্ন থেকে সর্বাধিক সুবিধাপ্রাপ্ত পর্যন্ত অর্ডার করা হয়েছে।

প্রসঙ্গ প্রকার প্রকার সংজ্ঞা
সীমাবদ্ধ প্রসঙ্গ একটি সীমাবদ্ধ কার্যকর করার পরিবেশ যেখানে শুধুমাত্র সর্বাধিক ন্যূনতম অনুমতি প্রদান করা হয়।

উদাহরণস্বরূপ, অন্তর্নিহিত সিস্টেমে অ্যাক্সেসের অনুমতি না দিয়ে অবিশ্বস্ত ডেটা প্রক্রিয়া করার জন্য অ্যাপ্লিকেশন "স্যান্ডবক্স"।
সুবিধাহীন প্রসঙ্গ সুবিধাবিহীন কোড দ্বারা প্রত্যাশিত একটি সাধারণ কার্যকর পরিবেশ।

উদাহরণস্বরূপ, একটি অ্যান্ড্রয়েড অ্যাপ্লিকেশন যা একটি SELinux ডোমেনে চলে untrusted_app_all বৈশিষ্ট্য সহ।
বিশেষ সুবিধাপ্রাপ্ত প্রসঙ্গ একটি বিশেষাধিকারপ্রাপ্ত এক্সিকিউশন এনভায়রনমেন্ট যা উচ্চতর অনুমতিগুলিতে অ্যাক্সেস থাকতে পারে, একাধিক ব্যবহারকারী PII পরিচালনা করে এবং/অথবা সিস্টেমের অখণ্ডতা বজায় রাখে।

উদাহরণস্বরূপ, ক্ষমতা সহ একটি Android অ্যাপ্লিকেশন যা SELinux untrusted_app ডোমেন দ্বারা বা privileged|signature অনুমতিগুলিতে অ্যাক্সেস সহ নিষিদ্ধ করা হবে৷
বিশ্বস্ত কম্পিউটিং বেস (TCB) কার্যকারিতা যা কার্নেলের অংশ, কার্নেলের মতো একই CPU প্রসঙ্গে চলে (যেমন ডিভাইস ড্রাইভার), কার্নেল মেমরিতে সরাসরি অ্যাক্সেস রয়েছে (যেমন ডিভাইসে হার্ডওয়্যার উপাদান), একটি কার্নেল উপাদানে স্ক্রিপ্ট লোড করার ক্ষমতা রয়েছে ( উদাহরণস্বরূপ, eBPF), কমিউনিকেশন প্রসেসর, অথবা একটি মুষ্টিমেয় ব্যবহারকারী পরিষেবা যা কার্নেলের সমতুল্য হিসাবে বিবেচিত হয়: apexd , bpfloader , init , ueventd , এবং vold
বুটলোডার চেইন একটি উপাদান যা ডিভাইসটিকে বুট করার সময় কনফিগার করে এবং তারপরে Android OS-এ নিয়ন্ত্রণ পাস করে।
বিশ্বস্ত এক্সিকিউশন এনভায়রনমেন্ট (TEE) একটি উপাদান যা এমনকি একটি প্রতিকূল কার্নেল থেকে সুরক্ষিত করার জন্য ডিজাইন করা হয়েছে (উদাহরণস্বরূপ, TrustZone এবং Hypervisor)।
সিকিউর এনক্লেভ / সিকিউর এলিমেন্ট (এসই) একটি ঐচ্ছিক হার্ডওয়্যার উপাদান যা ডিভাইসের অন্যান্য সমস্ত উপাদান এবং শারীরিক আক্রমণ থেকে সুরক্ষিত করার জন্য ডিজাইন করা হয়েছে, যেমনটি সিকিউর এলিমেন্টের ভূমিকায় সংজ্ঞায়িত করা হয়েছে।

এর মধ্যে রয়েছে কিছু Pixel ডিভাইসে উপস্থিত Titan-M চিপ।

নির্দয়তা

একটি বাগের তীব্রতা সাধারণত সম্ভাব্য ক্ষতি প্রতিফলিত করে যা একটি বাগ সফলভাবে শোষণ করা হলে ঘটতে পারে। তীব্রতা নির্ধারণ করতে নিম্নলিখিত মানদণ্ড ব্যবহার করুন।

রেটিং সফল শোষণের পরিণতি
সমালোচনামূলক
  • এসই দ্বারা সুরক্ষিত ডেটাতে অননুমোদিত অ্যাক্সেস
  • TEE বা SE-তে নির্বিচারে কোড এক্সিকিউশন
  • একটি বিশেষ সুবিধাপ্রাপ্ত প্রসঙ্গে, বুটলোডার চেইন বা TCB-তে দূরবর্তী নির্বিচারে কোড সম্পাদন
  • পরিষেবার দূরবর্তী অবিরাম অস্বীকার (স্থায়ী বা পুরো অপারেটিং সিস্টেম রিফ্ল্যাশ করা বা ফ্যাক্টরি রিসেট প্রয়োজন)
  • প্যাকেজ ইনস্টলেশন বা সমতুল্য আচরণে ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজনীয়তার দূরবর্তী বাইপাস
  • যেকোন ডেভেলপার, নিরাপত্তা, বা গোপনীয়তা সেটিংসের জন্য ব্যবহারকারীর ইন্টারঅ্যাকশন প্রয়োজনীয়তার দূরবর্তী বাইপাস
  • দূরবর্তী নিরাপদ বুট বাইপাস
  • সুরক্ষা-সম্পর্কিত সফ্টওয়্যার বা হার্ডওয়্যার উপাদানগুলিকে ত্রুটিপূর্ণ থেকে রোধ করার জন্য ডিজাইন করা প্রক্রিয়াগুলির বাইপাস (উদাহরণস্বরূপ, তাপ সুরক্ষা)
  • দূরবর্তী পরিষেবা প্রমাণীকরণের জন্য ব্যবহৃত সংবেদনশীল শংসাপত্রগুলিতে দূরবর্তী অ্যাক্সেস (উদাহরণস্বরূপ, অ্যাকাউন্টের পাসওয়ার্ড বা বহনকারী টোকেন)
উচ্চ
  • স্থানীয় সুরক্ষিত বুট বাইপাস
  • একটি মূল নিরাপত্তা বৈশিষ্ট্যের একটি সম্পূর্ণ বাইপাস (যেমন SELinux, FDE, বা seccomp)
  • একটি সুবিধাবিহীন প্রেক্ষাপটে দূরবর্তী নির্বিচারে কোড সম্পাদন
  • একটি বিশেষ সুবিধাপ্রাপ্ত প্রেক্ষাপটে, বুটলোডার চেইন বা TCB-তে স্থানীয় নির্বিচারে কোড সম্পাদন
  • TEE দ্বারা সুরক্ষিত ডেটাতে অননুমোদিত অ্যাক্সেস
  • একটি SE-এর বিরুদ্ধে আক্রমণ যা কম সুরক্ষিত বাস্তবায়নে ডাউনগ্রেড করে
  • প্যাকেজ ইনস্টলেশন বা সমতুল্য আচরণে ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজনীয়তার স্থানীয় বাইপাস
  • সুরক্ষিত ডেটাতে দূরবর্তী অ্যাক্সেস (ডেটা যা একটি বিশেষ সুবিধাপ্রাপ্ত প্রসঙ্গে সীমাবদ্ধ)
  • স্থানীয় অবিরাম পরিষেবা অস্বীকার (স্থায়ী বা পুরো অপারেটিং সিস্টেম রিফ্ল্যাশ করা বা ফ্যাক্টরি রিসেট প্রয়োজন)
  • ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজনীয়তার দূরবর্তী বাইপাস (কার্যকারিতা বা ডেটাতে অ্যাক্সেস যা সাধারণত ব্যবহারকারীর সূচনা বা ব্যবহারকারীর অনুমতির প্রয়োজন হয়)
  • একটি অনিরাপদ নেটওয়ার্ক প্রোটোকলের মাধ্যমে সংবেদনশীল তথ্য প্রেরণ করা (উদাহরণস্বরূপ, HTTP এবং এনক্রিপ্ট করা ব্লুটুথ) যখন অনুরোধকারী একটি নিরাপদ ট্রান্সমিশন আশা করে (উল্লেখ্য যে এটি ওয়াই-ফাই এনক্রিপশনের ক্ষেত্রে প্রযোজ্য নয়, যেমন WEP)
  • বুটলোডার চেইন, TEE বা SE-তে গভীরতা বা শোষণ প্রশমন প্রযুক্তির প্রতিরক্ষার জন্য একটি সাধারণ বাইপাস
  • অপারেটিং সিস্টেম সুরক্ষার জন্য একটি সাধারণ বাইপাস যা অ্যাপ ডেটা বা ব্যবহারকারীর প্রোফাইল একে অপরের থেকে বিচ্ছিন্ন করে
  • যেকোনো ডেভেলপার, নিরাপত্তা বা গোপনীয়তা সেটিংসের জন্য ব্যবহারকারীর ইন্টারঅ্যাকশন প্রয়োজনীয়তার স্থানীয় বাইপাস
  • ক্রিপ্টোগ্রাফিক দুর্বলতা যা ট্রান্সপোর্ট লেয়ার সিকিউরিটি (TLS) এবং ব্লুটুথ (BT) এর বিরুদ্ধে আক্রমণ সহ এন্ড-টু-এন্ড প্রোটোকলের বিরুদ্ধে আক্রমণের অনুমতি দেয়।
  • লকস্ক্রিন বাইপাস
  • ডিভাইস সুরক্ষা/ফ্যাক্টরি রিসেট সুরক্ষা/ক্যারিয়ার সীমাবদ্ধতার বাইপাস
  • জরুরি পরিষেবাগুলিতে অ্যাক্সেসের লক্ষ্যযুক্ত প্রতিরোধ
  • ব্যবহারকারীর ইন্টারঅ্যাকশন প্রয়োজনীয়তার বাইপাস যা TEE দ্বারা সুরক্ষিত
  • কোন ব্যবহারকারীর মিথস্ক্রিয়া ছাড়াই সেলুলার পরিষেবাতে অ্যাক্সেসের দূরবর্তী প্রতিরোধ (উদাহরণস্বরূপ, একটি বিকৃত প্যাকেটের সাথে সেলুলার রেডিও পরিষেবা ক্র্যাশ করা)
  • দূরবর্তী পরিষেবা প্রমাণীকরণের জন্য ব্যবহৃত সংবেদনশীল শংসাপত্রগুলিতে স্থানীয় অ্যাক্সেস (উদাহরণস্বরূপ, অ্যাকাউন্টের পাসওয়ার্ড বা বহনকারী টোকেন)
পরিমিত
  • একটি সীমাবদ্ধ প্রেক্ষাপটে দূরবর্তী নির্বিচারে কোড সম্পাদন
  • দূরবর্তী অস্থায়ী ডিভাইস পরিষেবার অস্বীকার (রিমোট হ্যাং বা রিবুট)
  • একটি সুবিধাবিহীন প্রেক্ষাপটে স্থানীয় নির্বিচারে কোড সম্পাদন
  • গভীরভাবে প্রতিরক্ষার জন্য একটি সাধারণ বাইপাস বা বিশেষ সুবিধাপ্রাপ্ত প্রেক্ষাপটে বা TCB-তে প্রশমন প্রযুক্তি ব্যবহার করা
  • একটি সীমাবদ্ধ প্রক্রিয়ার উপর সীমাবদ্ধতার বাইপাস
  • অরক্ষিত ডেটাতে দূরবর্তী অ্যাক্সেস (ডেটা সাধারণত স্থানীয়ভাবে ইনস্টল করা যেকোনো অ্যাপে অ্যাক্সেসযোগ্য)
  • সুরক্ষিত ডেটাতে স্থানীয় অ্যাক্সেস (ডেটা যা একটি বিশেষ সুবিধাপ্রাপ্ত প্রসঙ্গে সীমাবদ্ধ)
  • ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজনীয়তার স্থানীয় বাইপাস (কার্যকারিতা বা ডেটাতে অ্যাক্সেস যা সাধারণত ব্যবহারকারীর সূচনা বা ব্যবহারকারীর অনুমতির প্রয়োজন হয়)
  • স্ট্যান্ডার্ড ক্রিপ্টো প্রিমিটিভের ক্রিপ্টোগ্রাফিক দুর্বলতা যা প্লেইনটেক্সট ফাঁস করতে দেয় (টিএলএস-এ ব্যবহৃত আদিম নয়)
  • Wi-Fi এনক্রিপশন বা প্রমাণীকরণ বাইপাস করা
কম
  • একটি সীমাবদ্ধ প্রেক্ষাপটে স্থানীয় নির্বিচারে কোড সম্পাদন
  • অ-মানক ব্যবহারে ক্রিপ্টোগ্রাফিক দুর্বলতা
  • ব্যবহারকারীর স্তরের প্রতিরক্ষার জন্য একটি সাধারণ বাইপাস গভীরতা বা সুবিধাবিহীন প্রেক্ষাপটে প্রশমন প্রযুক্তি ব্যবহার করে
  • ভুল ডকুমেন্টেশন যা পরবর্তী কোড ত্রুটির সাথে নিরাপত্তা সংক্রান্ত ভুল বোঝাবুঝির কারণ হতে পারে
  • ডিভাইসে ব্যক্তিগতকরণ বৈশিষ্ট্য যেমন ভয়েস ম্যাচ বা ফেস ম্যাচের সাধারণ বাইপাস
নগণ্য নিরাপত্তা প্রভাব (NSI)
  • একটি দুর্বলতা যার প্রভাব এক বা একাধিক রেটিং মডিফায়ার দ্বারা প্রশমিত হয়েছে বা সংস্করণ-নির্দিষ্ট আর্কিটেকচারের পরিবর্তন হয়েছে যেমন কার্যকর তীব্রতা নিম্নের নিচে, যদিও অন্তর্নিহিত কোড সমস্যাটি থাকতে পারে
  • যেকোন দুর্বলতার জন্য একটি ত্রুটিপূর্ণ ফাইল সিস্টেমের প্রয়োজন, যদি সেই ফাইল সিস্টেমটি সর্বদা ব্যবহারের আগে গৃহীত/এনক্রিপ্ট করা হয়।

রেটিং মডিফায়ার

যদিও নিরাপত্তা দুর্বলতার তীব্রতা প্রায়শই সনাক্ত করা সহজ, রেটিং পরিস্থিতির উপর ভিত্তি করে পরিবর্তিত হতে পারে।

কারণ প্রভাব
আক্রমণ চালানোর জন্য একটি বিশেষ সুবিধাপ্রাপ্ত প্রেক্ষাপট হিসাবে চালানো প্রয়োজন -1 তীব্রতা
দুর্বলতা-নির্দিষ্ট বিবরণ সমস্যাটির প্রভাবকে সীমিত করে -1 তীব্রতা
বায়োমেট্রিক প্রমাণীকরণ বাইপাস যার জন্য ডিভাইসের মালিকের কাছ থেকে সরাসরি বায়োমেট্রিক তথ্য প্রয়োজন -1 তীব্রতা
কম্পাইলার বা প্ল্যাটফর্ম কনফিগারেশন সোর্স কোডের একটি দুর্বলতা প্রশমিত করে মধ্যম তীব্রতা যদি অন্তর্নিহিত দুর্বলতা মাঝারি বা উচ্চতর হয়
ডিভাইসের অভ্যন্তরীণগুলিতে শারীরিক অ্যাক্সেসের প্রয়োজন এবং এখনও সম্ভব যদি ডিভাইসটি বন্ধ থাকে বা চালু হওয়ার পর থেকে আনলক করা না থাকে -1 তীব্রতা
ডিভাইসটি চালু থাকা অবস্থায় এবং পূর্বে আনলক করা অবস্থায় ডিভাইসের অভ্যন্তরীণগুলিতে শারীরিক অ্যাক্সেসের প্রয়োজন -2 তীব্রতা
একটি স্থানীয় আক্রমণ যার জন্য বুটলোডার চেইন আনলক করা প্রয়োজন নিম্নের চেয়ে বেশি নয়
একটি স্থানীয় আক্রমণ যার জন্য ডেভেলপার মোড বা যেকোনো ক্রমাগত বিকাশকারী মোড সেটিংস বর্তমানে ডিভাইসে সক্ষম করা প্রয়োজন (এবং এটি বিকাশকারী মোডেই কোনো বাগ নয়)। নিম্নের চেয়ে বেশি নয়
যদি কোন SELinux ডোমেইন Google-প্রদত্ত SEPনীতির অধীনে অপারেশন পরিচালনা করতে না পারে নগণ্য নিরাপত্তা প্রভাব

স্থানীয় বনাম প্রক্সিমাল বনাম দূরবর্তী

একটি দূরবর্তী আক্রমণ ভেক্টর নির্দেশ করে যে একটি অ্যাপ ইনস্টল না করে বা একটি ডিভাইসে শারীরিক অ্যাক্সেস ছাড়াই বাগটি কাজে লাগানো যেতে পারে। এর মধ্যে এমন বাগ রয়েছে যা একটি ওয়েব পৃষ্ঠা ব্রাউজ করে, একটি ইমেল পড়ার, একটি এসএমএস বার্তা গ্রহণ করে বা একটি প্রতিকূল নেটওয়ার্কের সাথে সংযোগ করে ট্রিগার হতে পারে৷ আমাদের তীব্রতা রেটিং এর উদ্দেশ্যে, আমরা "প্রক্সিমাল" আক্রমণ ভেক্টরকে দূরবর্তী হিসাবে বিবেচনা করি। এর মধ্যে এমন বাগ রয়েছে যেগুলি শুধুমাত্র একজন আক্রমণকারী দ্বারা শোষিত হতে পারে যারা শারীরিকভাবে লক্ষ্য ডিভাইসের কাছাকাছি থাকে, উদাহরণস্বরূপ, একটি বাগ যার জন্য বিকৃত ওয়াই-ফাই বা ব্লুটুথ প্যাকেট পাঠানোর প্রয়োজন হয়৷ আমরা আল্ট্রা-ওয়াইডব্যান্ড (UWB) এবং NFC-ভিত্তিক আক্রমণগুলিকে প্রক্সিমাল এবং তাই দূরবর্তী হিসাবে বিবেচনা করি।

স্থানীয় আক্রমণের জন্য শিকারকে একটি অ্যাপ চালানোর প্রয়োজন হয়, হয় একটি অ্যাপ ইনস্টল করে চালানোর মাধ্যমে অথবা একটি তাত্ক্ষণিক অ্যাপ চালানোর জন্য সম্মতি দিয়ে। তীব্রতা রেটিং এর উদ্দেশ্যে, আমরা শারীরিক আক্রমণ ভেক্টরকে স্থানীয় হিসাবে বিবেচনা করি। এর মধ্যে এমন বাগ রয়েছে যেগুলি শুধুমাত্র একজন আক্রমণকারী দ্বারা শোষণ করা যেতে পারে যার ডিভাইসে শারীরিক অ্যাক্সেস রয়েছে, উদাহরণস্বরূপ একটি লক স্ক্রিনে একটি বাগ বা একটি USB কেবল প্লাগ করার প্রয়োজন৷ মনে রাখবেন যে আক্রমণগুলির জন্য একটি USB সংযোগের প্রয়োজন একই তীব্রতা নির্বিশেষে ডিভাইসটি আনলক করা প্রয়োজন কি না; USB-এ প্লাগ ইন করার সময় ডিভাইসগুলি আনলক করা সাধারণ।

নেটওয়ার্ক নিরাপত্তা

অ্যান্ড্রয়েড অনুমান করে যে সমস্ত নেটওয়ার্ক প্রতিকূল এবং ট্র্যাফিকের উপর আক্রমণ বা গুপ্তচরবৃত্তি করতে পারে। যদিও লিঙ্ক-লেয়ার নিরাপত্তা (উদাহরণস্বরূপ, ওয়াই-ফাই এনক্রিপশন) একটি ডিভাইস এবং এটির সাথে সংযুক্ত অ্যাক্সেস পয়েন্টের মধ্যে যোগাযোগ সুরক্ষিত করে, এটি ডিভাইস এবং সার্ভারের সাথে যোগাযোগ করা শৃঙ্খলের মধ্যে থাকা অবশিষ্ট লিঙ্কগুলিকে সুরক্ষিত করতে কিছুই করে না।

বিপরীতে, HTTPS সাধারণত সম্পূর্ণ যোগাযোগের প্রান্ত থেকে শেষ পর্যন্ত রক্ষা করে, এর উত্সে ডেটা এনক্রিপ্ট করে, তারপর এটি তার চূড়ান্ত গন্তব্যে পৌঁছানোর পরে এটিকে ডিক্রিপ্ট করে এবং যাচাই করে। এই কারণে, লিংক-লেয়ার নেটওয়ার্ক নিরাপত্তার সাথে আপোসকারী দুর্বলতাগুলিকে HTTPS/TLS-এর দুর্বলতার তুলনায় কম গুরুতর রেট দেওয়া হয়েছে: ইন্টারনেটে বেশিরভাগ যোগাযোগের জন্য একা Wi-Fi এনক্রিপশন অপর্যাপ্ত।

বায়োমেট্রিক প্রমাণীকরণ

বায়োমেট্রিক প্রমাণীকরণ একটি চ্যালেঞ্জিং স্থান, এবং এমনকি সেরা সিস্টেমগুলিকে কাছাকাছি-ম্যাচের মাধ্যমে বোকা বানানো যেতে পারে ( এন্ড্রয়েড ডেভেলপারস ব্লগ দেখুন: লকস্ক্রিন এবং Android 11 এ প্রমাণীকরণের উন্নতি )। এই তীব্রতা রেটিং দুটি শ্রেণীর আক্রমণের মধ্যে পার্থক্য করে এবং শেষ ব্যবহারকারীর জন্য প্রকৃত ঝুঁকি প্রতিফলিত করার উদ্দেশ্যে করা হয়।

প্রথম শ্রেণীর আক্রমণ মালিকের কাছ থেকে উচ্চ মানের বায়োমেট্রিক ডেটা ছাড়াই সাধারণীকরণযোগ্য উপায়ে বায়োমেট্রিক প্রমাণীকরণকে বাইপাস করার অনুমতি দেয়। উদাহরণস্বরূপ, যদি একজন আক্রমণকারী একটি ফিঙ্গারপ্রিন্ট সেন্সরে গামের একটি টুকরো রাখতে পারে এবং সেন্সরে অবশিষ্ট অবশিষ্টাংশের উপর ভিত্তি করে এটি ডিভাইসটিতে অ্যাক্সেস দেয়, এটি একটি সাধারণ আক্রমণ যা যেকোনো সংবেদনশীল ডিভাইসে সঞ্চালিত হতে পারে। এটি ডিভাইসের মালিকের কোনো জ্ঞান প্রয়োজন হয় না. প্রদত্ত যে এটি সাধারণীকরণযোগ্য এবং সম্ভাব্য বৃহত্তর সংখ্যক ব্যবহারকারীকে প্রভাবিত করে, এই আক্রমণটি সম্পূর্ণ তীব্রতার রেটিং পায় (উদাহরণস্বরূপ, উচ্চ, একটি লকস্ক্রিন বাইপাসের জন্য)।

অন্যান্য শ্রেণীর আক্রমণে সাধারণত ডিভাইস মালিকের উপর ভিত্তি করে একটি উপস্থাপনা আক্রমণ যন্ত্র (স্পুফ) জড়িত থাকে। কখনও কখনও এই বায়োমেট্রিক তথ্য পাওয়া তুলনামূলকভাবে সহজ (উদাহরণস্বরূপ, যদি সোশ্যাল মিডিয়াতে কারও প্রোফাইল ছবি বায়োমেট্রিক প্রমাণীকরণের জন্য যথেষ্ট হয়, তাহলে একটি বায়োমেট্রিক বাইপাস সম্পূর্ণ তীব্রতা রেটিং পাবে)। কিন্তু যদি একজন আক্রমণকারীকে ডিভাইসের মালিকের কাছ থেকে সরাসরি বায়োমেট্রিক ডেটা অর্জন করতে হয় (উদাহরণস্বরূপ, তাদের মুখের একটি ইনফ্রারেড স্ক্যান), এটি একটি উল্লেখযোগ্য যথেষ্ট বাধা যে এটি আক্রমণ দ্বারা প্রভাবিত মানুষের সংখ্যা সীমিত করে, তাই একটি -1 সংশোধনকারী রয়েছে .

SYSTEM_ALERT_WINDOW এবং ট্যাপজ্যাকিং

SYSTEM_ALERT_WINDOW এবং ট্যাপজ্যাকিং সম্পর্কিত আমাদের নীতিগুলি সম্পর্কে তথ্যের জন্য, BugHunter University-এর Bugs-এর কোনো নিরাপত্তা প্রভাব পৃষ্ঠা ছাড়াই " Tapjacking/overlay SYSTEM_ALERT_WINDOW দুর্বলতা একটি অ-নিরাপত্তা-গুরুত্বপূর্ণ স্ক্রিনে " বিভাগটি দেখুন৷

প্রভাবিত উপাদান

বাগটি ঠিক করার জন্য দায়ী ডেভেলপমেন্ট টিম বাগটি কোন উপাদানে রয়েছে তার উপর নির্ভর করে৷ এটি Android প্ল্যাটফর্মের একটি মূল উপাদান হতে পারে, একটি আসল সরঞ্জাম প্রস্তুতকারক (OEM) দ্বারা সরবরাহ করা একটি কার্নেল ড্রাইভার বা Pixel ডিভাইসে প্রিলোড করা অ্যাপগুলির মধ্যে একটি হতে পারে৷ .

AOSP কোডের বাগগুলি অ্যান্ড্রয়েড ইঞ্জিনিয়ারিং টিম দ্বারা সংশোধন করা হয়েছে৷ নিম্ন-তীব্রতার বাগ, নির্দিষ্ট কিছু উপাদানের বাগ, বা ইতিমধ্যে সর্বজনীনভাবে পরিচিত বাগগুলি সরাসরি সর্বজনীনভাবে উপলব্ধ AOSP মাস্টার শাখায় ঠিক করা যেতে পারে; অন্যথায় তারা প্রথমে আমাদের অভ্যন্তরীণ সংগ্রহস্থলে স্থির করা হয়।

ব্যবহারকারীরা কীভাবে আপডেট পান তার উপাদানটিও একটি ফ্যাক্টর। ফ্রেমওয়ার্ক বা কার্নেলের একটি বাগ একটি ওভার-দ্য-এয়ার (OTA) ফার্মওয়্যার আপডেটের প্রয়োজন যা প্রতিটি OEM-কে পুশ করতে হবে। Google Play-তে প্রকাশিত একটি অ্যাপ বা লাইব্রেরিতে একটি বাগ (যেমন, Gmail, Google Play Services, or WebView) Google Play থেকে আপডেট হিসেবে Android ব্যবহারকারীদের কাছে পাঠানো যেতে পারে।

অংশীদারদের অবহিত করা

Android নিরাপত্তা বুলেটিনে AOSP-এর নিরাপত্তার দুর্বলতা ঠিক করা হলে, আমরা Android অংশীদারদের সমস্যার বিবরণ জানিয়ে দেব এবং প্যাচ প্রদান করব। ব্যাকপোর্ট-সমর্থিত সংস্করণগুলির তালিকা প্রতিটি নতুন অ্যান্ড্রয়েড রিলিজের সাথে পরিবর্তিত হয়। সমর্থিত ডিভাইসের তালিকার জন্য আপনার ডিভাইস প্রস্তুতকারকের সাথে যোগাযোগ করুন।

AOSP-তে কোড প্রকাশ করা হচ্ছে

যদি নিরাপত্তা বাগ একটি AOSP উপাদানে থাকে, OTA ব্যবহারকারীদের কাছে প্রকাশ করার পরে সমাধানটি AOSP-এ পুশ করা হয়। কম-তীব্রতার সমস্যাগুলির সমাধানগুলি একটি OTA-এর মাধ্যমে ডিভাইসগুলিতে উপলব্ধ হওয়ার আগে AOSP মাস্টার শাখায় সরাসরি জমা দেওয়া যেতে পারে।

অ্যান্ড্রয়েড আপডেট গ্রহণ করা হচ্ছে

অ্যান্ড্রয়েড সিস্টেমের আপডেটগুলি সাধারণত OTA আপডেট প্যাকেজের মাধ্যমে ডিভাইসগুলিতে বিতরণ করা হয়। এই আপডেটগুলি OEM যে ডিভাইসটি তৈরি করেছে বা ডিভাইসে পরিষেবা প্রদানকারী পরিষেবা প্রদানকারীর কাছ থেকে আসতে পারে৷ Google Pixel ডিভাইস আপডেটগুলি একটি ক্যারিয়ার টেকনিক্যাল অ্যাকসেপ্টেন্স (TA) টেস্টিং পদ্ধতির মধ্য দিয়ে যাওয়ার পরে Google Pixel টিম থেকে আসে। Google পিক্সেল কারখানার ছবিও প্রকাশ করে যা ডিভাইসে সাইড-লোড করা যায়।

Google পরিষেবা আপডেট করা হচ্ছে

নিরাপত্তা বাগগুলির জন্য প্যাচ প্রদানের পাশাপাশি, ব্যবহারকারীদের রক্ষা করার অন্য উপায় আছে কিনা তা নির্ধারণ করতে Android নিরাপত্তা দল নিরাপত্তা বাগগুলি পর্যালোচনা করে। উদাহরণ স্বরূপ, Google Play সমস্ত অ্যাপ স্ক্যান করে এবং নিরাপত্তা বাগ কাজে লাগানোর চেষ্টা করে এমন কোনও অ্যাপ সরিয়ে দেয়। Google Play-এর বাইরে থেকে ইনস্টল করা অ্যাপ্লিকেশানগুলির জন্য, Google Play পরিষেবাগুলির সাথে ডিভাইসগুলি সম্ভাব্য ক্ষতিকারক হতে পারে এমন অ্যাপ্লিকেশানগুলি সম্পর্কে ব্যবহারকারীদের সতর্ক করার জন্য Apps যাচাইকরণ বৈশিষ্ট্যটি ব্যবহার করতে পারে৷

অন্যান্য উৎস

অ্যান্ড্রয়েড অ্যাপ ডেভেলপারদের জন্য তথ্য: https://developer.android.com

নিরাপত্তা তথ্য Android ওপেন সোর্স এবং বিকাশকারী সাইট জুড়ে বিদ্যমান। শুরু করার জন্য ভাল জায়গা:

রিপোর্ট

কখনও কখনও অ্যান্ড্রয়েড সিকিউরিটি টিম রিপোর্ট বা শ্বেতপত্র প্রকাশ করে। আরো বিস্তারিত জানার জন্য নিরাপত্তা রিপোর্ট দেখুন.