নিরাপত্তা আপডেট এবং সম্পদ

অ্যান্ড্রয়েড সিকিউরিটি টিম অ্যান্ড্রয়েড প্ল্যাটফর্মে আবিষ্কৃত নিরাপত্তা দুর্বলতা এবং অ্যান্ড্রয়েড ডিভাইসের সাথে বানানো অনেক মূল অ্যান্ড্রয়েড অ্যাপস পরিচালনার জন্য দায়ী।

অ্যান্ড্রয়েড সিকিউরিটি টিম অভ্যন্তরীণ গবেষণার মাধ্যমে নিরাপত্তার দুর্বলতা খুঁজে পায় এবং তৃতীয় পক্ষের দ্বারা রিপোর্ট করা বাগের প্রতিক্রিয়া জানায়। বহিরাগত বাগ উত্স সমস্যা মাধ্যমে রিপোর্ট অন্তর্ভুক্ত অ্যান্ড্রয়েড সুরক্ষা সমস্যা টেমপ্লেট , প্রকাশিত এবং আমাদের ডিভাইস প্রস্তুতকারকের সহযোগীদের কাছ থেকে একাডেমিক গবেষণা, মূল প্রজেক্টের ওপেন সোর্স প্রকল্প রক্ষণাবেক্ষণকারীকে, বিজ্ঞপ্তি prepublished, এবং প্রকাশ্যে প্রকাশ সমস্যা ব্লগ অথবা সোশ্যাল মিডিয়া পোস্ট করা হয়েছে।

সুরক্ষা সংক্রান্ত সমস্যার প্রতিবেদন করা

যেকোন ডেভেলপার, অ্যান্ড্রয়েড ব্যবহারকারী, বা নিরাপত্তা গবেষক মাধ্যমে সম্ভাব্য নিরাপত্তা বিষয় অ্যান্ড্রয়েড নিরাপত্তা দল বিজ্ঞাপিত করতে পারেন নিরাপত্তার দুর্বলতা প্রতিবেদনের ফর্ম

নিরাপত্তা সমস্যা হিসেবে চিহ্নিত বাগগুলি বাহ্যিকভাবে দৃশ্যমান নয়, কিন্তু সমস্যাটির মূল্যায়ন বা সমাধানের পর সেগুলি দৃশ্যমান হতে পারে। যদি আপনি একটি নিরাপত্তা সমস্যা সমাধানের জন্য একটি প্যাচ বা কম্প্যাটিবিলিটি টেস্ট স্যুট (CTS) পরীক্ষা জমা দেওয়ার পরিকল্পনা করেন, দয়া করে এটি বাগ রিপোর্টের সাথে সংযুক্ত করুন এবং AOSP এ কোড আপলোড করার আগে একটি প্রতিক্রিয়ার জন্য অপেক্ষা করুন।

ত্রুটিমুক্ত বাগ

নিরাপত্তা দুর্বলতা মোকাবেলায় প্রথম কাজ হল বাগের তীব্রতা এবং অ্যান্ড্রয়েডের কোন উপাদানটি প্রভাবিত তা চিহ্নিত করা। সমস্যাটি কীভাবে অগ্রাধিকার দেওয়া হয় তা তীব্রতা নির্ধারণ করে, এবং উপাদানটি নির্ধারণ করে কে বাগ সংশোধন করে, কাকে বিজ্ঞপ্তি দেওয়া হয় এবং কীভাবে ব্যবহারকারীদের কাছে ফিক্সটি স্থাপন করা হয়।

প্রসঙ্গ প্রকার

এই টেবিলে হার্ডওয়্যার এবং সফটওয়্যার নিরাপত্তা প্রসঙ্গের সংজ্ঞা রয়েছে। প্রসঙ্গটি ডেটার সংবেদনশীলতা দ্বারা সংজ্ঞায়িত করা যেতে পারে যা এটি সাধারণত প্রক্রিয়া করে বা যে এলাকায় এটি চলে। সমস্ত সুরক্ষার প্রসঙ্গ সব সিস্টেমে প্রযোজ্য নয়। এই টেবিলটি সর্বনিম্ন থেকে সর্বাধিক বিশেষাধিকারীদের জন্য অর্ডার করা হয়েছে।

প্রসঙ্গ প্রকার টাইপ সংজ্ঞা
সীমাবদ্ধ প্রসঙ্গ একটি সীমাবদ্ধ বাস্তবায়নের পরিবেশ যেখানে কেবলমাত্র সর্বনিম্ন অনুমতি দেওয়া হয়।

উদাহরণস্বরূপ, অন্তর্নিহিত সিস্টেমে অ্যাক্সেসের অনুমতি ছাড়াই অবিশ্বস্ত ডেটা প্রক্রিয়াকরণের জন্য অ্যাপ্লিকেশন "স্যান্ডবক্স"।
অপ্রয়োজনীয় প্রসঙ্গ অপ্রচলিত কোড দ্বারা প্রত্যাশিত একটি সাধারণ এক্সিকিউশন পরিবেশ।

উদাহরণস্বরূপ, একটি Android অ্যাপ্লিকেশন সঙ্গে একটি SELinux ডোমেইনে রান untrusted_app_all অ্যাট্রিবিউট।
বিশেষাধিকারপ্রাপ্ত প্রসঙ্গ একটি বিশেষাধিকৃত এক্সিকিউশন এনভায়রনমেন্ট যা উচ্চতর অনুমতিগুলিতে অ্যাক্সেস থাকতে পারে, একাধিক ব্যবহারকারী PII পরিচালনা করে এবং/অথবা সিস্টেম অখণ্ডতা বজায় রাখে।

উদাহরণস্বরূপ, ক্ষমতা একটি Android আবেদন SELinux- র দ্বারা নিষিদ্ধ করা হবে যে untrusted_app ডোমেইন বা অ্যাক্সেস privileged|signature অনুমতি।
বিশ্বস্ত কম্পিউটিং বেস (টিসিবি) কার্নেলের অংশ যা কার্যকারিতা, কার্নেলের মতো একই CPU প্রসঙ্গে চলে (যেমন ডিভাইস ড্রাইভার), কার্নেল মেমরিতে সরাসরি অ্যাক্সেস রয়েছে (যেমন ডিভাইসে হার্ডওয়্যার উপাদান), কার্নেল কম্পোনেন্টে স্ক্রিপ্ট লোড করার ক্ষমতা রয়েছে ( উদাহরণস্বরূপ, eBPF), যোগাযোগ প্রসেসর, অথবা ব্যবহারকারীর পরিষেবার একটি থাবা যে কার্নেল সমতুল্য মনে করা হয় এগুলির মধ্যে একটি: apexd , bpfloader , init , ueventd এবং vold
বুটলোডার চেইন একটি উপাদান যা বুট করার সময় ডিভাইসটি কনফিগার করে এবং তারপর অ্যান্ড্রয়েড অপারেটিং সিস্টেমকে নিয়ন্ত্রণ দেয়।
বিশ্বস্ত এক্সিকিউশন এনভায়রনমেন্ট (টিইই) এমন একটি উপাদান যা একটি প্রতিকূল কার্নেল (উদাহরণস্বরূপ, ট্রাস্টজোন এবং হাইপারভাইজার) থেকে সুরক্ষিত করার জন্য ডিজাইন করা হয়েছে।
সিকিউর এনক্লেভ / সিকিউর এলিমেন্ট (SE) পরিকল্পিত একটি ঐচ্ছিক হার্ডওয়্যার কম্পোনেন্ট, ডিভাইসের অন্যান্য সব উপাদান থেকে এবং শারীরিক আক্রমন থেকে রক্ষা করতে হিসেবে সংজ্ঞায়িত নিরাপদ উপাদানগুলির পরিচিতি

এর মধ্যে রয়েছে কিছু পিক্সেল ডিভাইসে উপস্থিত টাইটান-এম চিপ।

নির্দয়তা

একটি বাগের তীব্রতা সাধারণত একটি সম্ভাব্য ক্ষতির প্রতিফলন করে যা হতে পারে যদি একটি বাগ সফলভাবে কাজে লাগানো হয়। তীব্রতা নির্ধারণ করতে নিম্নলিখিত মানদণ্ড ব্যবহার করুন।

রেটিং সফল শোষণের পরিণতি
সমালোচনামূলক
  • SE দ্বারা সুরক্ষিত ডেটাতে অননুমোদিত অ্যাক্সেস
  • TEE বা SE তে নির্বিচারে কোড কার্যকর করা
  • একটি বিশেষাধিকার প্রেক্ষাপটে দূরবর্তী নির্বিচারে কোড কার্যকর করা, বুটলোডার চেইন বা টিসিবি
  • দূরবর্তী ক্রমাগত পরিষেবা প্রত্যাখ্যান (স্থায়ীভাবে বা সম্পূর্ণ অপারেটিং সিস্টেমকে রিফ্ল্যাশ করা বা ফ্যাক্টরি রিসেট প্রয়োজন)
  • প্যাকেজ ইনস্টলেশন বা সমতুল্য আচরণে ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজনীয়তার দূরবর্তী বাইপাস
  • যে কোনো ডেভেলপার, নিরাপত্তা বা গোপনীয়তা সেটিংসের জন্য ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজনীয়তার দূরবর্তী বাইপাস
  • দূরবর্তী নিরাপদ বুট বাইপাস
  • নিরাপত্তা-সম্পর্কিত সফ্টওয়্যার বা হার্ডওয়্যার উপাদানগুলিকে ত্রুটি থেকে রক্ষা করার জন্য ডিজাইন করা প্রক্রিয়াগুলির বাইপাস (উদাহরণস্বরূপ, তাপ সুরক্ষা)
  • দূরবর্তী পরিষেবা প্রমাণীকরণের জন্য ব্যবহৃত সংবেদনশীল শংসাপত্রগুলিতে দূরবর্তী অ্যাক্সেস (উদাহরণস্বরূপ, অ্যাকাউন্টের পাসওয়ার্ড বা বহনকারী টোকেন)
উচ্চ
  • স্থানীয় নিরাপদ বুট বাইপাস
  • একটি মূল নিরাপত্তা বৈশিষ্ট্য একটি সম্পূর্ণ বাইপাস (যেমন SELinux, FDE, বা seccomp)
  • অপ্রয়োজনীয় প্রসঙ্গে দূরবর্তী নির্বিচারে কোড কার্যকর করা
  • একটি বিশেষাধিকার প্রেক্ষাপটে স্থানীয় স্বেচ্ছাচারী কোড কার্যকর করা, বুটলোডার চেইন বা টিসিবি
  • TEE দ্বারা সুরক্ষিত ডেটাতে অননুমোদিত অ্যাক্সেস
  • একটি SE এর বিরুদ্ধে আক্রমণ যার ফলে কম নিরাপদ বাস্তবায়নে অবনমন ঘটে
  • প্যাকেজ ইনস্টলেশন বা সমতুল্য আচরণের ক্ষেত্রে ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজনীয়তার স্থানীয় বাইপাস
  • সুরক্ষিত ডেটাতে দূরবর্তী অ্যাক্সেস (ডেটা যা একটি বিশেষাধিকারপ্রাপ্ত প্রসঙ্গে সীমাবদ্ধ)
  • স্থানীয়ভাবে ক্রমাগত সেবার অস্বীকার
  • ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজনীয়তার দূরবর্তী বাইপাস (কার্যকারিতা বা ডেটা অ্যাক্সেস যা সাধারণত ব্যবহারকারীর সূচনা বা ব্যবহারকারীর অনুমতি প্রয়োজন)
  • একটি অনিরাপদ নেটওয়ার্ক প্রোটোকলের উপর সংবেদনশীল তথ্য প্রেরণ (উদাহরণস্বরূপ, HTTP এবং এনক্রিপ্ট না করা ব্লুটুথ) যখন আবেদনকারী একটি নিরাপদ ট্রান্সমিশন আশা করে (মনে রাখবেন যে এটি WEP- এর মতো Wi-Fi এনক্রিপশনের ক্ষেত্রে প্রযোজ্য নয়)
  • বুটলোডার চেইন, টিইই বা এসই -তে গভীরতার সুরক্ষার জন্য একটি সাধারণ বাইপাস বা প্রশমন প্রযুক্তি ব্যবহার করে
  • অপারেটিং সিস্টেম সুরক্ষার জন্য একটি সাধারণ বাইপাস যা অ্যাপ ডেটা বা ব্যবহারকারীর প্রোফাইল একে অপরের থেকে বিচ্ছিন্ন করে
  • যেকোন ডেভেলপার, নিরাপত্তা, বা গোপনীয়তা সেটিংসের জন্য ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজনীয়তার স্থানীয় বাইপাস
  • ক্রিপ্টোগ্রাফিক দুর্বলতা যা ট্রান্সপোর্ট লেয়ার সিকিউরিটি (টিএলএস) এবং ব্লুটুথ (বিটি) এর বিরুদ্ধে আক্রমণ সহ এন্ড-টু-এন্ড প্রোটোকলের বিরুদ্ধে আক্রমণের অনুমতি দেয়।
  • লকস্ক্রিন বাইপাস
  • ডিভাইস সুরক্ষা বাইপাস/ফ্যাক্টরি রিসেট সুরক্ষা/ক্যারিয়ার বিধিনিষেধ
  • জরুরী পরিষেবাগুলিতে অ্যাক্সেসের লক্ষ্যবস্তু প্রতিরোধ
  • ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজনীয়তা বাইপাস যা TEE দ্বারা সুরক্ষিত
  • ব্যবহারকারীর সাথে যোগাযোগ ছাড়াই সেলুলার পরিষেবা অ্যাক্সেসের দূরবর্তী প্রতিরোধ (উদাহরণস্বরূপ, একটি বিকৃত প্যাকেটের সাথে সেলুলার রেডিও পরিষেবা ক্র্যাশ করা)
  • দূরবর্তী পরিষেবা প্রমাণীকরণের জন্য ব্যবহৃত সংবেদনশীল শংসাপত্রগুলিতে স্থানীয় অ্যাক্সেস (উদাহরণস্বরূপ, অ্যাকাউন্টের পাসওয়ার্ড বা বহনকারী টোকেন)
পরিমিত
  • সীমাবদ্ধ প্রেক্ষাপটে দূরবর্তী নির্বিচারে কোড কার্যকর করা
  • দূরবর্তী অস্থায়ী ডিভাইস পরিষেবা প্রত্যাখ্যান (রিমোট হ্যাং বা রিবুট)
  • একটি অনাকাঙ্ক্ষিত প্রসঙ্গে স্থানীয় নির্বিচারে কোড কার্যকর করা
  • একটি বিশেষায়িত প্রেক্ষাপটে বা টিসিবিতে গভীরতার সুরক্ষার জন্য একটি সাধারণ বাইপাস বা প্রশমন প্রযুক্তি ব্যবহার করা
  • একটি সীমাবদ্ধ প্রক্রিয়ার উপর বিধিনিষেধের বাইপাস
  • অনিরাপদ ডেটাতে দূরবর্তী অ্যাক্সেস (স্থানীয়ভাবে ইনস্টল করা যেকোনো অ্যাপে সাধারণত প্রবেশযোগ্য ডেটা)
  • সুরক্ষিত ডেটাতে স্থানীয় অ্যাক্সেস (ডেটা যা একটি বিশেষাধিকারপ্রাপ্ত প্রসঙ্গে সীমাবদ্ধ)
  • ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজনীয়তার স্থানীয় বাইপাস (কার্যকারিতা বা ডেটা অ্যাক্সেস যা সাধারণত ব্যবহারকারীর সূচনা বা ব্যবহারকারীর অনুমতি প্রয়োজন)
  • স্ট্যান্ডার্ড ক্রিপ্টো আদিমগুলিতে ক্রিপ্টোগ্রাফিক দুর্বলতা যা প্লেইনটেক্স ফাঁস করতে দেয় (টিএলএসে ব্যবহৃত আদিম নয়)
  • ওয়াই-ফাই এনক্রিপশন বা প্রমাণীকরণ বাইপাস করা
কম
  • একটি সীমাবদ্ধ প্রসঙ্গে স্থানীয় নির্বিচারে কোড কার্যকর করা
  • অ-মান ব্যবহারের ক্ষেত্রে ক্রিপ্টোগ্রাফিক দুর্বলতা
  • একটি ব্যবহারকারী স্তরের গভীরতার প্রতিরক্ষার জন্য একটি সাধারণ বাইপাস বা অনাকাঙ্ক্ষিত প্রসঙ্গে প্রশমন প্রযুক্তি ব্যবহার করা
  • ভুল ডকুমেন্টেশন যা পরবর্তী কোড ত্রুটির সাথে নিরাপত্তা সংক্রান্ত ভুল বোঝাবুঝির কারণ হতে পারে
  • অন-ডিভাইস ব্যক্তিগতকরণ সাধারণ বাইপাস যেমন অতিরিক্ত বৈশিষ্ট্যগুলিও উপস্থিত রয়েছে ভয়েস ম্যাচ বা ফেস ম্যাচ
নগণ্য নিরাপত্তা প্রভাব (NSI)
  • একটি দুর্বলতা যার প্রভাব এক বা একাধিক রেটিং সংশোধনকারী বা সংস্করণ-নির্দিষ্ট আর্কিটেকচার দ্বারা হ্রাস করা হয়েছে যাতে কার্যকর তীব্রতা কম থাকে, যদিও অন্তর্নিহিত কোড সমস্যাটি থাকতে পারে
  • কোন দুর্বলতার যে একটি বিকৃত ফাইলসিস্টেম প্রয়োজন, যদি সেই ফাইল সিস্টেম সর্বদা গৃহীত / এনক্রিপ্ট ব্যবহারের আগে।

রেটিং সংশোধনকারী

যদিও নিরাপত্তার দুর্বলতার তীব্রতা চিহ্নিত করা প্রায়শই সহজ, পরিস্থিতির উপর ভিত্তি করে রেটিং পরিবর্তিত হতে পারে।

কারণ প্রভাব
আক্রমণ চালানোর জন্য একটি বিশেষাধিকার প্রেক্ষাপট হিসাবে চলমান প্রয়োজন -1 তীব্রতা
দুর্বলতা-নির্দিষ্ট বিবরণ ইস্যুর প্রভাবকে সীমাবদ্ধ করে -1 তীব্রতা
বায়োমেট্রিক প্রমাণীকরণ বাইপাস যার জন্য সরাসরি ডিভাইসের মালিকের কাছ থেকে বায়োমেট্রিক তথ্য প্রয়োজন -1 তীব্রতা
কম্পাইলার বা প্ল্যাটফর্ম কনফিগারেশন সোর্স কোডের একটি দুর্বলতা হ্রাস করে মাঝারি তীব্রতা যদি অন্তর্নিহিত দুর্বলতা মাঝারি বা উচ্চতর হয়
ডিভাইসের অভ্যন্তরীণগুলিতে শারীরিক অ্যাক্সেস প্রয়োজন এবং যদি ডিভাইসটি বন্ধ থাকে বা চালিত হওয়ার পর থেকে আনলক না করা হয় তবে এখনও সম্ভব -1 তীব্রতা
যখন ডিভাইসটি চালু থাকে এবং পূর্বে আনলক করা থাকে তখন ডিভাইসের অভ্যন্তরীণগুলিতে শারীরিক অ্যাক্সেস প্রয়োজন -2 তীব্রতা
একটি স্থানীয় আক্রমণ যার জন্য বুটলোডার চেইন আনলক করা প্রয়োজন নিম্নের চেয়ে বেশি নয়
একটি স্থানীয় আক্রমণ যার জন্য ডেভেলপার মোড বা যে কোনো স্থায়ী ডেভেলপার মোড সেটিংস বর্তমানে ডিভাইসে সক্ষম করা প্রয়োজন (এবং ডেভেলপার মোডে নিজেই একটি বাগ নয়)। নিম্নের চেয়ে বেশি নয়
যদি কোন SELinux ডোমেন Google- এর দেওয়া SEPolicy এর অধীনে অপারেশন পরিচালনা করতে না পারে নগণ্য নিরাপত্তা প্রভাব

লোকাল বনাম প্রক্সিমাল বনাম রিমোট

একটি রিমোট অ্যাটাক ভেক্টর ইঙ্গিত দেয় যে একটি অ্যাপ ইনস্টল না করে বা কোনও ডিভাইসে শারীরিক অ্যাক্সেস ছাড়াই বাগটি কাজে লাগানো যেতে পারে। এর মধ্যে এমন একটি বাগ রয়েছে যা একটি ওয়েব পেজে ব্রাউজ করা, একটি ইমেইল পড়া, একটি এসএমএস বার্তা গ্রহণ করা বা একটি প্রতিকূল নেটওয়ার্কের সাথে সংযোগ স্থাপনের মাধ্যমে ট্রিগার করা যেতে পারে। আমাদের তীব্রতা রেটিংয়ের উদ্দেশ্যে, আমরা "প্রক্সিমাল" অ্যাটাক ভেক্টরগুলিকে রিমোট হিসাবেও বিবেচনা করি। এর মধ্যে এমন বাগ রয়েছে যা কেবলমাত্র একজন আক্রমণকারীর দ্বারা ব্যবহার করা যেতে পারে, যিনি শারীরিকভাবে টার্গেট ডিভাইসের কাছাকাছি থাকেন, উদাহরণস্বরূপ, এমন একটি বাগ যার জন্য বিকৃত ওয়াই-ফাই বা ব্লুটুথ প্যাকেট পাঠানো প্রয়োজন। আমরা আল্ট্রা-ওয়াইডব্যান্ড (ইউডব্লিউবি) এবং এনএফসি-ভিত্তিক আক্রমণকে প্রক্সিমাল এবং অতএব দূরবর্তী হিসাবে বিবেচনা করি।

স্থানীয় আক্রমণ, একটি অ্যাপ্লিকেশন চালানোর জন্য পারেন ইনস্টল এবং একটি অ্যাপ্লিকেশন চলমান দ্বারা অথবা একটি চালানোর জন্য সম্মতি দ্বারা শিকার প্রয়োজন তাত্ক্ষনিক অ্যাপ । তীব্রতা রেটিংয়ের উদ্দেশ্যে, আমরা শারীরিক আক্রমণ ভেক্টরগুলিকে স্থানীয় হিসাবে বিবেচনা করি। এর মধ্যে এমন বাগ রয়েছে যা কেবলমাত্র আক্রমণকারীর দ্বারা কাজে লাগানো যেতে পারে যার ডিভাইসে শারীরিক অ্যাক্সেস রয়েছে, উদাহরণস্বরূপ একটি লক স্ক্রিনে একটি বাগ বা যার জন্য একটি USB তারের প্লাগিং প্রয়োজন। মনে রাখবেন যে একটি ইউএসবি সংযোগের প্রয়োজন এমন আক্রমণগুলি একই তীব্রতা নির্বিশেষে ডিভাইসটি আনলক করা প্রয়োজন কিনা তা নির্বিশেষে; ইউএসবিতে প্লাগ করার সময় ডিভাইসগুলি আনলক করা সাধারণ।

নেটওয়ার্ক নিরাপত্তা

অ্যান্ড্রয়েড ধরে নেয় যে সমস্ত নেটওয়ার্ক বৈরী এবং তারা ইনজেকশন আক্রমণ বা ট্রাফিকের উপর গুপ্তচরবৃত্তি করতে পারে। লিংক-লেয়ার সিকিউরিটি (উদাহরণস্বরূপ, ওয়াই-ফাই এনক্রিপশন) একটি ডিভাইস এবং অ্যাক্সেস পয়েন্টের মধ্যে যোগাযোগ রক্ষা করে, এটি ডিভাইস এবং সার্ভারের সাথে যোগাযোগের মধ্যে চেইনের অবশিষ্ট লিঙ্কগুলিকে সুরক্ষিত করতে কিছুই করে না।

বিপরীতে, এইচটিটিপিএস সাধারণত সমগ্র যোগাযোগের শেষ প্রান্তকে সুরক্ষিত করে, তার উৎসে ডেটা এনক্রিপ্ট করে, তারপর ডিক্রিপ্টিং এবং যাচাই করে শুধুমাত্র যখন এটি চূড়ান্ত গন্তব্যে পৌঁছায়। এই কারণে, লিঙ্ক-লেয়ার নেটওয়ার্ক সুরক্ষার সাথে আপোষকারী দুর্বলতাগুলি HTTPS/TLS- এর দুর্বলতার তুলনায় কম গুরুতর রেট দেওয়া হয়েছে: ইন্টারনেটে বেশিরভাগ যোগাযোগের জন্য শুধুমাত্র ওয়াই-ফাই এনক্রিপশন অপর্যাপ্ত।

বায়োমেট্রিক প্রমাণীকরণ

বায়োমেট্রিক প্রমাণীকরণ একটি চ্যালেঞ্জিং স্থান, এবং এমনকি সেরা সিস্টেমে কাছাকাছি ম্যাচ বোকা বানানো যেতে পারে (দেখুন অ্যানড্রইড ডেভেলপারগণ ব্লগ: Android এর 11 lockscreen এবং প্রমাণীকরণ উন্নতি )। এই তীব্রতা রেটিং দুটি শ্রেণীর আক্রমণের মধ্যে পার্থক্য করে এবং শেষ ব্যবহারকারীর প্রকৃত ঝুঁকি প্রতিফলিত করার উদ্দেশ্যে করা হয়।

প্রথম শ্রেণীর আক্রমণ মালিকের কাছ থেকে উচ্চমানের বায়োমেট্রিক ডেটা ছাড়াই সাধারণীকরণের উপায়ে বায়োমেট্রিক প্রমাণীকরণকে বাইপাস করার অনুমতি দেয়। উদাহরণস্বরূপ, যদি কোন আক্রমণকারী ফিঙ্গারপ্রিন্ট সেন্সরের উপর আঠার একটি টুকরো রাখতে পারে এবং এটি সেন্সরে থাকা অবশিষ্টাংশের উপর ভিত্তি করে ডিভাইসে অ্যাক্সেস প্রদান করে, তাহলে এটি একটি সহজ আক্রমণ যা যেকোনো সংবেদনশীল ডিভাইসে করা যেতে পারে। এর জন্য ডিভাইসের মালিকের কোন জ্ঞানের প্রয়োজন নেই। এটি সাধারণীকরণযোগ্য এবং সম্ভাব্য বিপুল সংখ্যক ব্যবহারকারীর উপর প্রভাব ফেলে, এই আক্রমণ সম্পূর্ণ তীব্রতা রেটিং পায় (উদাহরণস্বরূপ, উচ্চ, একটি লকস্ক্রিন বাইপাসের জন্য)।

অন্যান্য শ্রেণীর আক্রমণের মধ্যে সাধারণত ডিভাইসের মালিকের উপর ভিত্তি করে একটি উপস্থাপনা আক্রমণ যন্ত্র (স্পুফ) জড়িত থাকে। কখনও কখনও এই বায়োমেট্রিক তথ্য পেতে তুলনামূলকভাবে সহজ হয় (উদাহরণস্বরূপ, যদি সামাজিক যোগাযোগ মাধ্যমে কারো প্রোফাইল ছবি বায়োমেট্রিক লেখককে বোকা বানানোর জন্য যথেষ্ট হয়, তাহলে বায়োমেট্রিক বাইপাস সম্পূর্ণ তীব্রতার রেটিং পাবে)। কিন্তু যদি কোন আক্রমণকারীকে সরাসরি ডিভাইসের মালিকের কাছ থেকে বায়োমেট্রিক ডেটা অর্জন করতে হয় (উদাহরণস্বরূপ, তাদের মুখের একটি ইনফ্রারেড স্ক্যান), এটি একটি উল্লেখযোগ্য যথেষ্ট বাধা যা এটি আক্রমণে আক্রান্ত ব্যক্তিদের সংখ্যা সীমাবদ্ধ করে, তাই একটি -1 সংশোধনকারী আছে ।

SYSTEM_ALERT_WINDOW এবং Tapjacking

সংক্রান্ত আমাদের নীতিগুলি সম্পর্কে তথ্যের জন্য SYSTEM_ALERT_WINDOW এবং tapjacking, BugHunter বিশ্ববিদ্যালয়ের বিভাগে "Tapjacking / আস্তরণ SYSTEM_ALERT_WINDOW নন-সিকিউরিটি-সমালোচনামূলক পর্দায় দুর্বলতার" দেখুন কোন নিরাপত্তা প্রভাব সঙ্গে বাগ পাতা।

প্রভাবিত উপাদান

বাগ ফিক্স করার জন্য দায়ী ডেভেলপমেন্ট টিম নির্ভর করে বাগ কোন কম্পোনেন্টের মধ্যে রয়েছে। এটি অ্যান্ড্রয়েড প্ল্যাটফর্মের মূল উপাদান হতে পারে, একটি আসল যন্ত্রপাতি প্রস্তুতকারক (OEM) দ্বারা সরবরাহ করা কার্নেল ড্রাইভার, অথবা পিক্সেল ডিভাইসে প্রিলোড করা অ্যাপগুলির মধ্যে একটি হতে পারে। ।

এওএসপি কোডের বাগ অ্যান্ড্রয়েড ইঞ্জিনিয়ারিং টিম দ্বারা ঠিক করা হয়েছে। কম-তীব্রতা বাগ, কিছু উপাদান বাগ, বা যে বাগগুলি ইতিমধ্যেই সর্বজনীনভাবে পরিচিত, সেগুলি সর্বজনীনভাবে উপলব্ধ AOSP মাস্টার শাখায় সরাসরি সংশোধন করা যেতে পারে; অন্যথায় তারা প্রথমে আমাদের অভ্যন্তরীণ সংগ্রহস্থলে স্থির করা হয়।

ব্যবহারকারীরা কীভাবে আপডেট পান তার একটি উপাদানও উপাদান। ফ্রেমওয়ার্ক বা কার্নেলের একটি বাগের জন্য একটি ওভার-দ্য এয়ার (ওটিএ) ফার্মওয়্যার আপডেট প্রয়োজন যা প্রতিটি OEM কে ধাক্কা দিতে হবে। গুগল প্লেতে প্রকাশিত অ্যাপ বা লাইব্রেরিতে একটি বাগ (উদাহরণস্বরূপ, জিমেইল, গুগল প্লে সার্ভিস বা ওয়েবভিউ) গুগল প্লে থেকে আপডেট হিসাবে অ্যান্ড্রয়েড ব্যবহারকারীদের কাছে পাঠানো যেতে পারে।

অংশীদারদের অবহিত করা

অ্যান্ড্রয়েড সিকিউরিটি বুলেটিনে যখন AOSP- এর নিরাপত্তার দুর্বলতা ঠিক করা হয়, তখন আমরা অ্যান্ড্রয়েড অংশীদারদের ইস্যু বিবরণ জানিয়ে দেব এবং প্যাচগুলি প্রদান করব। ব্যাকপোর্ট-সমর্থিত সংস্করণের তালিকা প্রতিটি নতুন অ্যান্ড্রয়েড রিলিজের সাথে পরিবর্তিত হয়। সমর্থিত ডিভাইসের তালিকার জন্য আপনার ডিভাইস প্রস্তুতকারকের সাথে যোগাযোগ করুন।

এওএসপিতে কোড প্রকাশ করা হচ্ছে

যদি সিকিউরিটি বাগ একটি AOSP কম্পোনেন্টে থাকে, তাহলে ব্যবহারকারীদের কাছে OTA রিলিজ করার পর ফিক্সটি AOSP- এ ঠেলে দেওয়া হয়। ওটিএ-র মাধ্যমে ডিভাইসে ফিক্স পাওয়ার আগে কম-তীব্রতার সমস্যাগুলির সমাধান সরাসরি এওএসপি মাস্টার শাখায় জমা দেওয়া যেতে পারে।

অ্যান্ড্রয়েড আপডেট পাওয়া

অ্যান্ড্রয়েড সিস্টেমে আপডেটগুলি সাধারণত ওটিএ আপডেট প্যাকেজের মাধ্যমে ডিভাইসগুলিতে সরবরাহ করা হয়। এই আপডেটগুলি OEM থেকে আসা হতে পারে যিনি ডিভাইসটি তৈরি করেছেন বা ক্যারিয়ার যারা ডিভাইসে পরিষেবা প্রদান করে। গুগল পিক্সেল ডিভাইসের আপডেটগুলি গুগল পিক্সেল টিম থেকে ক্যারিয়ার টেকনিক্যাল অ্যাকসেপশন (টিএ) পরীক্ষার পদ্ধতির মধ্য দিয়ে আসে। এছাড়াও Google প্রকাশ পিক্সেল কারখানা চিত্র দিকে লোড ডিভাইস হতে পারে।

গুগল পরিষেবা আপডেট করা হচ্ছে

নিরাপত্তা বাগের জন্য প্যাচ প্রদান ছাড়াও, অ্যান্ড্রয়েড নিরাপত্তা দল ব্যবহারকারীদের সুরক্ষার অন্যান্য উপায় আছে কিনা তা নির্ধারণ করতে নিরাপত্তা বাগ পর্যালোচনা করে। উদাহরণস্বরূপ, গুগল প্লে সমস্ত অ্যাপ স্ক্যান করে এবং যেকোনো অ্যাপকে সরিয়ে দেয় যা নিরাপত্তা বাগকে কাজে লাগানোর চেষ্টা করে। Google Play তে বাইরে থেকে ইনস্টল করা অ্যাপ্লিকেশান জন্য, Google Play পরিষেবার সাথে ডিভাইসের এছাড়াও ব্যবহার করতে পারেন Apps এর যাচাই করুন অ্যাপস যা সম্ভাব্য ক্ষতিকারক হতে পারে সম্পর্কে ব্যবহারকারীদের সতর্ক বৈশিষ্ট্য।

অন্যান্য উৎস

Android অ্যাপ্লিকেশান ডেভেলপারদের জন্য তথ্য: https://developer.android.com

অ্যান্ড্রয়েড ওপেন সোর্স এবং ডেভেলপার সাইট জুড়ে নিরাপত্তা তথ্য বিদ্যমান। শুরু করার জন্য ভাল জায়গা:

রিপোর্ট

কখনও কখনও অ্যান্ড্রয়েড সিকিউরিটি টিম রিপোর্ট বা শ্বেতপত্র প্রকাশ করে। দেখুন সিকিউরিটি রিপোর্ট আরো বিস্তারিত জানার জন্য।