सुरक्षा अद्यतन और संसाधन

Android सुरक्षा टीम Android प्लेटफ़ॉर्म में खोजी गई सुरक्षा कमजोरियों और Android उपकरणों के साथ बंडल किए गए कई मुख्य Android ऐप्स के प्रबंधन के लिए ज़िम्मेदार है।

एंड्रॉइड सुरक्षा टीम आंतरिक शोध के माध्यम से सुरक्षा कमजोरियों का पता लगाती है और तीसरे पक्ष द्वारा रिपोर्ट की गई बग का जवाब भी देती है। बाहरी कीड़े के सूत्रों का कहना मुद्दों के माध्यम से सूचना दी शामिल एंड्रॉयड सुरक्षा समस्या सामने आती टेम्पलेट , प्रकाशित और हमारे उपकरण निर्माता भागीदारों से शैक्षिक अनुसंधान, नदी के ऊपर ओपन सोर्स प्रोजेक्ट देखरेख, सूचनाएं prepublished, और सार्वजनिक रूप से खुलासा मुद्दों ब्लॉग या सामाजिक मीडिया पर पोस्ट।

सुरक्षा मुद्दों की रिपोर्ट करना

किसी भी डेवलपर, Android उपयोगकर्ता, या सुरक्षा शोधकर्ता के माध्यम से संभावित सुरक्षा मुद्दों के एंड्रॉयड सुरक्षा टीम को सूचित कर सकते सुरक्षा भेद्यता रिपोर्टिंग प्रपत्र

सुरक्षा समस्याओं के रूप में चिह्नित बग बाहरी रूप से दिखाई नहीं देते हैं, लेकिन समस्या के मूल्यांकन या समाधान के बाद अंततः उन्हें दृश्यमान बनाया जा सकता है। यदि आप किसी सुरक्षा समस्या को हल करने के लिए पैच या संगतता परीक्षण सूट (सीटीएस) परीक्षण सबमिट करने की योजना बना रहे हैं, तो कृपया इसे बग रिपोर्ट में संलग्न करें और एओएसपी को कोड अपलोड करने से पहले प्रतिक्रिया की प्रतीक्षा करें।

ट्राइएजिंग बग

सुरक्षा भेद्यता को संभालने में पहला कार्य बग की गंभीरता की पहचान करना है और एंड्रॉइड का कौन सा घटक प्रभावित होता है। गंभीरता यह निर्धारित करती है कि समस्या को कैसे प्राथमिकता दी जाती है, और घटक यह निर्धारित करता है कि बग को कौन ठीक करता है, किसे सूचित किया जाता है, और उपयोगकर्ताओं के लिए सुधार कैसे लागू किया जाता है।

प्रसंग प्रकार

यह तालिका हार्डवेयर और सॉफ़्टवेयर सुरक्षा संदर्भों की परिभाषाओं को शामिल करती है। संदर्भ को डेटा की संवेदनशीलता से परिभाषित किया जा सकता है जो इसे आम तौर पर संसाधित करता है या जिस क्षेत्र में यह चलता है। सभी सुरक्षा संदर्भ सभी प्रणालियों पर लागू नहीं होते हैं। यह तालिका कम से कम सबसे विशेषाधिकार प्राप्त करने के लिए आदेशित है।

प्रसंग प्रकार परिभाषा टाइप करें
विवश संदर्भ एक प्रतिबंधित निष्पादन वातावरण जहां केवल न्यूनतम अनुमतियां प्रदान की जाती हैं।

उदाहरण के लिए, अंतर्निहित सिस्टम तक पहुंच की अनुमति के बिना अविश्वसनीय डेटा को संसाधित करने के लिए एप्लिकेशन "सैंडबॉक्स"।
अनपेक्षित संदर्भ गैर-विशेषाधिकार प्राप्त कोड द्वारा अपेक्षित एक विशिष्ट निष्पादन वातावरण।

उदाहरण के लिए, एक Android एप्लिकेशन है के साथ एक SELinux डोमेन रन untrusted_app_all विशेषता।
विशेषाधिकार प्राप्त संदर्भ एक विशेषाधिकार प्राप्त निष्पादन वातावरण जिसमें उन्नत अनुमतियों तक पहुंच हो सकती है, एकाधिक उपयोगकर्ता पीआईआई को संभालती है, और/या सिस्टम अखंडता बनाए रखती है।

उदाहरण के लिए, क्षमताओं के साथ एक Android आवेदन SELinux द्वारा निषिद्ध किया जाएगा कि untrusted_app डोमेन या के उपयोग के साथ privileged|signature अनुमतियाँ।
विश्वसनीय कंप्यूटिंग बेस (टीसीबी) कार्यक्षमता जो कर्नेल का हिस्सा है, उसी CPU संदर्भ में चलती है जैसे कर्नेल (जैसे डिवाइस ड्राइवर), कर्नेल मेमोरी (जैसे डिवाइस पर हार्डवेयर घटक) तक सीधी पहुंच होती है, स्क्रिप्ट को कर्नेल घटक में लोड करने की क्षमता होती है ( उदाहरण के लिए, eBPF), संचार प्रोसेसर, या उपयोगकर्ता सेवाओं के एक मुट्ठी भर है कि गिरी समकक्ष माना जाता है में से एक है: apexd , bpfloader , init , ueventd , और vold
बूटलोडर श्रृंखला एक घटक जो डिवाइस को बूट पर कॉन्फ़िगर करता है और फिर एंड्रॉइड ओएस पर नियंत्रण भेजता है।
विश्वसनीय निष्पादन पर्यावरण (टीईई) एक घटक जिसे एक शत्रुतापूर्ण कर्नेल (उदाहरण के लिए, ट्रस्टज़ोन और हाइपरवाइजर) से भी संरक्षित करने के लिए डिज़ाइन किया गया है।
सिक्योर एन्क्लेव / सिक्योर एलिमेंट (एसई) डिज़ाइन किया गया एक वैकल्पिक हार्डवेयर घटक, डिवाइस पर अन्य सभी घटकों से और शारीरिक हमले से रक्षा की जानी के रूप में परिभाषित किया गया सुरक्षित तत्वों का परिचय

इसमें कुछ Pixel डिवाइस में मौजूद Titan-M चिप शामिल है।

तीव्रता

बग की गंभीरता आम तौर पर संभावित नुकसान को दर्शाती है जो बग का सफलतापूर्वक शोषण करने पर हो सकता है। गंभीरता का निर्धारण करने के लिए निम्नलिखित मानदंडों का प्रयोग करें।

रेटिंग सफल शोषण के परिणाम
नाजुक
  • एसई द्वारा सुरक्षित डेटा तक अनधिकृत पहुंच
  • टीईई या एसई में मनमाना कोड निष्पादन
  • एक विशेषाधिकार प्राप्त संदर्भ में दूरस्थ मनमाना कोड निष्पादन, बूटलोडर श्रृंखला, या TCB
  • सेवा से दूर लगातार इनकार (स्थायी या संपूर्ण ऑपरेटिंग सिस्टम या फ़ैक्टरी रीसेट को रीफ़्लैश करने की आवश्यकता)
  • पैकेज इंस्टॉलेशन या समकक्ष व्यवहार पर उपयोगकर्ता इंटरैक्शन आवश्यकताओं का रिमोट बायपास
  • किसी भी डेवलपर, सुरक्षा, या गोपनीयता सेटिंग के लिए उपयोगकर्ता इंटरैक्शन आवश्यकताओं का रिमोट बायपास
  • रिमोट सिक्योर बूट बायपास
  • सुरक्षा से संबंधित सॉफ़्टवेयर या हार्डवेयर घटकों को खराब होने से रोकने के लिए डिज़ाइन किए गए तंत्र का बाईपास (उदाहरण के लिए, थर्मल सुरक्षा)
  • दूरस्थ सेवा प्रमाणीकरण के लिए उपयोग किए जाने वाले संवेदनशील क्रेडेंशियल तक दूरस्थ पहुंच (उदाहरण के लिए, खाता पासवर्ड या वाहक टोकन)
उच्च
  • स्थानीय सुरक्षित बूट बाईपास
  • एक मुख्य सुरक्षा सुविधा (जैसे SELinux, FDE, या seccomp) का पूरा बायपास
  • एक अप्रतिबंधित संदर्भ में दूरस्थ मनमाना कोड निष्पादन
  • एक विशेषाधिकार प्राप्त संदर्भ में स्थानीय मनमाना कोड निष्पादन, बूटलोडर श्रृंखला, या TCB
  • टीईई द्वारा सुरक्षित डेटा तक अनधिकृत पहुंच
  • एक एसई के खिलाफ हमले जिसके परिणामस्वरूप कम सुरक्षित कार्यान्वयन के लिए डाउनग्रेडिंग होती है
  • पैकेज स्थापना या समकक्ष व्यवहार पर उपयोगकर्ता सहभागिता आवश्यकताओं का स्थानीय बायपास
  • संरक्षित डेटा तक दूरस्थ पहुंच (डेटा जो एक विशेषाधिकार प्राप्त संदर्भ तक सीमित है)
  • सेवा से स्थानीय लगातार इनकार (स्थायी या संपूर्ण ऑपरेटिंग सिस्टम या फ़ैक्टरी रीसेट को रीफ़्लैश करने की आवश्यकता)
  • उपयोगकर्ता इंटरैक्शन आवश्यकताओं का रिमोट बायपास (कार्यक्षमता या डेटा तक पहुंच जिसे सामान्य रूप से उपयोगकर्ता की शुरुआत या उपयोगकर्ता की अनुमति की आवश्यकता होती है)
  • एक असुरक्षित नेटवर्क प्रोटोकॉल (उदाहरण के लिए, HTTP और अनएन्क्रिप्टेड ब्लूटूथ) पर संवेदनशील जानकारी संचारित करना जब अनुरोधकर्ता एक सुरक्षित ट्रांसमिशन की अपेक्षा करता है (ध्यान दें कि यह वाई-फाई एन्क्रिप्शन पर लागू नहीं होता है, जैसे WEP)
  • बूटलोडर श्रृंखला, टीईई, या एसई में गहराई से बचाव या शमन तकनीक का फायदा उठाने के लिए एक सामान्य बाईपास
  • ऑपरेटिंग सिस्टम सुरक्षा के लिए एक सामान्य बाईपास जो ऐप डेटा या उपयोगकर्ता प्रोफ़ाइल को एक दूसरे से अलग करता है
  • किसी भी डेवलपर, सुरक्षा, या गोपनीयता सेटिंग के लिए उपयोगकर्ता इंटरैक्शन आवश्यकताओं का स्थानीय बायपास
  • क्रिप्टोग्राफिक भेद्यता जो परिवहन परत सुरक्षा (टीएलएस) और ब्लूटूथ (बीटी) के खिलाफ हमलों सहित एंड-टू-एंड प्रोटोकॉल के खिलाफ हमलों की अनुमति देती है।
  • लॉकस्क्रीन बाईपास
  • डिवाइस सुरक्षा/फ़ैक्टरी रीसेट सुरक्षा/वाहक प्रतिबंधों का बायपास
  • आपातकालीन सेवाओं तक पहुंच की लक्षित रोकथाम
  • टीईई द्वारा सुरक्षित उपयोगकर्ता इंटरैक्शन आवश्यकताओं को बायपास करें
  • बिना किसी उपयोगकर्ता सहभागिता के सेलुलर सेवा तक पहुंच की दूरस्थ रोकथाम (उदाहरण के लिए, एक विकृत पैकेट के साथ सेलुलर रेडियो सेवा को क्रैश करना)
  • दूरस्थ सेवा प्रमाणीकरण के लिए उपयोग किए जाने वाले संवेदनशील क्रेडेंशियल तक स्थानीय पहुंच (उदाहरण के लिए, खाता पासवर्ड या वाहक टोकन)
उदारवादी
  • एक सीमित संदर्भ में दूरस्थ मनमाना कोड निष्पादन
  • दूरस्थ अस्थायी डिवाइस सेवा से इनकार (रिमोट हैंग या रीबूट)
  • एक अप्रतिबंधित संदर्भ में स्थानीय मनमाना कोड निष्पादन
  • एक विशेषाधिकार प्राप्त संदर्भ या TCB . में गहराई से बचाव या शमन तकनीक का शोषण करने के लिए एक सामान्य बाईपास
  • एक विवश प्रक्रिया पर प्रतिबंधों का बायपास
  • असुरक्षित डेटा तक दूरस्थ पहुंच (डेटा आमतौर पर किसी भी स्थानीय रूप से इंस्टॉल किए गए ऐप के लिए सुलभ)
  • संरक्षित डेटा तक स्थानीय पहुंच (डेटा जो एक विशेषाधिकार प्राप्त संदर्भ तक सीमित है)
  • उपयोगकर्ता इंटरैक्शन आवश्यकताओं का स्थानीय बाईपास (कार्यक्षमता या डेटा तक पहुंच जिसे सामान्य रूप से उपयोगकर्ता की शुरुआत या उपयोगकर्ता की अनुमति की आवश्यकता होती है)
  • मानक क्रिप्टो प्रिमिटिव में क्रिप्टोग्राफ़िक भेद्यता जो प्लेनटेक्स्ट को लीक करने की अनुमति देती है (टीएलएस में प्रयुक्त प्राइमेटिव नहीं)
  • वाई-फाई एन्क्रिप्शन या प्रमाणीकरण को दरकिनार करना
कम
  • एक सीमित संदर्भ में स्थानीय मनमाना कोड निष्पादन
  • गैर-मानक उपयोग में क्रिप्टोग्राफ़िक भेद्यता
  • उपयोगकर्ता स्तर की रक्षा के लिए एक सामान्य बायपास गहराई में या एक गैर-विशेषाधिकार प्राप्त संदर्भ में शमन तकनीक का शोषण
  • गलत दस्तावेज़ीकरण जो बाद के कोड दोषों के साथ सुरक्षा संबंधी गलतफहमी पैदा कर सकता है
  • उपकरण पर मौजूद निजीकरण के जनरल बाईपास जैसे सुविधाओं आवाज मैच या चेहरा मैच
नगण्य सुरक्षा प्रभाव (NSI)
  • एक भेद्यता जिसका प्रभाव एक या अधिक रेटिंग संशोधक या संस्करण-विशिष्ट आर्किटेक्चर द्वारा कम किया गया है, जैसे कि प्रभावी गंभीरता कम से कम है, हालांकि अंतर्निहित कोड समस्या बनी रह सकती है
  • किसी भी जोखिम है कि एक विकृत फाइल सिस्टम की आवश्यकता है, अगर है कि फाइल सिस्टम हमेशा है अपनाया / एन्क्रिप्टेड उपयोग करने से पहले।

रेटिंग संशोधक

जबकि सुरक्षा कमजोरियों की गंभीरता को पहचानना अक्सर आसान होता है, परिस्थितियों के आधार पर रेटिंग बदल सकती है।

कारण प्रभाव
हमले को अंजाम देने के लिए विशेषाधिकार प्राप्त संदर्भ के रूप में चलने की आवश्यकता है -1 गंभीरता
भेद्यता-विशिष्ट विवरण समस्या के प्रभाव को सीमित करते हैं -1 गंभीरता
बायोमेट्रिक प्रमाणीकरण बाईपास जिसके लिए सीधे डिवाइस के मालिक से बायोमेट्रिक जानकारी की आवश्यकता होती है -1 गंभीरता
कंपाइलर या प्लेटफ़ॉर्म कॉन्फ़िगरेशन स्रोत कोड में भेद्यता को कम करता है मध्यम गंभीरता यदि अंतर्निहित भेद्यता मध्यम या अधिक है
डिवाइस इंटर्नल तक भौतिक पहुंच की आवश्यकता होती है और यह तब भी संभव है जब डिवाइस बंद हो या चालू होने के बाद से अनलॉक नहीं किया गया हो -1 गंभीरता
डिवाइस के चालू होने और पहले अनलॉक किए जाने के दौरान डिवाइस के आंतरिक हिस्से तक भौतिक पहुंच की आवश्यकता होती है -2 गंभीरता
एक स्थानीय हमला जिसके लिए बूटलोडर श्रृंखला को अनलॉक करने की आवश्यकता होती है निम्न से अधिक नहीं
एक स्थानीय हमला जिसके लिए डिवाइस पर वर्तमान में सक्षम होने के लिए डेवलपर मोड या किसी भी लगातार डेवलपर मोड सेटिंग्स की आवश्यकता होती है (और डेवलपर मोड में ही बग नहीं है)। निम्न से अधिक नहीं
यदि कोई SELinux डोमेन Google द्वारा प्रदत्त SEpolicy के तहत संचालन नहीं कर सकता है नगण्य सुरक्षा प्रभाव

स्थानीय बनाम समीपस्थ बनाम रिमोट

रिमोट अटैक वेक्टर इंगित करता है कि ऐप इंस्टॉल किए बिना या डिवाइस तक भौतिक पहुंच के बिना बग का फायदा उठाया जा सकता है। इसमें बग शामिल हैं जिन्हें वेब पेज पर ब्राउज़ करने, ईमेल पढ़ने, एसएमएस संदेश प्राप्त करने या शत्रुतापूर्ण नेटवर्क से कनेक्ट करके ट्रिगर किया जा सकता है। हमारी गंभीरता रेटिंग के उद्देश्य से, हम "समीपस्थ" अटैक वैक्टर को भी रिमोट मानते हैं। इनमें ऐसे बग शामिल हैं जिनका शोषण केवल एक हमलावर द्वारा किया जा सकता है जो लक्ष्य डिवाइस के पास शारीरिक रूप से है, उदाहरण के लिए, एक बग जिसके लिए विकृत वाई-फाई या ब्लूटूथ पैकेट भेजने की आवश्यकता होती है। हम अल्ट्रा-वाइडबैंड (यूडब्ल्यूबी) और एनएफसी-आधारित हमलों को समीपस्थ और इसलिए दूरस्थ मानते हैं।

स्थानीय हमलों, एक अनुप्रयोग चलाने के लिए या तो स्थापित करने और किसी ऐप चला कर या एक को चलाने के लिए सहमति देने से शिकार की आवश्यकता होती है त्वरित अनुप्रयोग । गंभीरता रेटिंग के उद्देश्य से, हम फिजिकल अटैक वैक्टर को भी स्थानीय मानते हैं। इनमें बग शामिल हैं जिनका शोषण केवल एक हमलावर द्वारा किया जा सकता है जिसके पास डिवाइस तक भौतिक पहुंच है, उदाहरण के लिए लॉक स्क्रीन में एक बग या एक जिसे यूएसबी केबल में प्लगिंग की आवश्यकता होती है। ध्यान दें कि जिन हमलों के लिए USB कनेक्शन की आवश्यकता होती है, वे समान गंभीरता के होते हैं, भले ही डिवाइस को अनलॉक करने की आवश्यकता हो या नहीं; USB में प्लग इन करते समय उपकरणों का अनलॉक होना आम बात है।

नेटवर्क सुरक्षा

एंड्रॉइड मानता है कि सभी नेटवर्क शत्रुतापूर्ण हैं और हमलों को इंजेक्ट कर सकते हैं या ट्रैफ़िक पर जासूसी कर सकते हैं। जबकि लिंक-लेयर सुरक्षा (उदाहरण के लिए, वाई-फाई एन्क्रिप्शन) डिवाइस और एक्सेस प्वाइंट के बीच संचार को सुरक्षित करता है, यह डिवाइस और सर्वर के बीच की श्रृंखला में शेष लिंक को सुरक्षित करने के लिए कुछ भी नहीं करता है।

इसके विपरीत, HTTPS आम तौर पर पूरे संचार को अंत से अंत तक सुरक्षित रखता है, इसके स्रोत पर डेटा को एन्क्रिप्ट करता है, फिर इसे अपने अंतिम गंतव्य तक पहुंचने के बाद ही इसे डिक्रिप्ट और सत्यापित करता है। इस वजह से, लिंक-लेयर नेटवर्क सुरक्षा से समझौता करने वाली कमजोरियों को HTTPS/TLS में कमजोरियों की तुलना में कम गंभीर दर्जा दिया गया है: इंटरनेट पर अधिकांश संचार के लिए अकेले वाई-फाई एन्क्रिप्शन अपर्याप्त है।

बायोमेट्रिक प्रमाणीकरण

बॉयोमीट्रिक प्रमाणीकरण एक को चुनौती देने की जगह है, और यहां तक कि सबसे अच्छा प्रणालियों एक के पास मैचों से मूर्ख बनाया जा सकता है (देखें Android डेवलपर ब्लॉग: एंड्रॉयड 11 में लॉक स्क्रीन और प्रमाणीकरण सुधार )। ये गंभीरता रेटिंग दो वर्गों के हमलों के बीच अंतर करती है और इसका उद्देश्य अंतिम उपयोगकर्ता के लिए वास्तविक जोखिम को दर्शाना है।

हमलों का पहला वर्ग मालिक से उच्च गुणवत्ता वाले बायोमेट्रिक डेटा के बिना, एक सामान्य तरीके से बायोमेट्रिक प्रमाणीकरण को दरकिनार करने की अनुमति देता है। यदि, उदाहरण के लिए, एक हमलावर फिंगरप्रिंट सेंसर पर गम का एक टुकड़ा रख सकता है, और यह सेंसर पर छोड़े गए अवशेषों के आधार पर डिवाइस तक पहुंच प्रदान करता है, तो यह एक साधारण हमला है जिसे किसी भी संवेदनशील डिवाइस पर किया जा सकता है। इसे डिवाइस के मालिक के किसी भी ज्ञान की आवश्यकता नहीं है। यह देखते हुए कि यह सामान्यीकृत है और संभावित रूप से बड़ी संख्या में उपयोगकर्ताओं को प्रभावित करता है, इस हमले को पूर्ण गंभीरता रेटिंग प्राप्त होती है (उदाहरण के लिए, लॉकस्क्रीन बाईपास के लिए उच्च)।

हमलों के दूसरे वर्ग में आम तौर पर डिवाइस के मालिक के आधार पर एक प्रेजेंटेशन अटैक इंस्ट्रूमेंट (स्पूफ) शामिल होता है। कभी-कभी यह बायोमेट्रिक जानकारी प्राप्त करना अपेक्षाकृत आसान होता है (उदाहरण के लिए, यदि सोशल मीडिया पर किसी की प्रोफ़ाइल तस्वीर बायोमेट्रिक प्रमाणीकरण को मूर्ख बनाने के लिए पर्याप्त है, तो बायोमेट्रिक बाईपास को पूर्ण गंभीरता रेटिंग प्राप्त होगी)। लेकिन अगर किसी हमलावर को डिवाइस के मालिक से सीधे बायोमेट्रिक डेटा प्राप्त करने की आवश्यकता होगी (उदाहरण के लिए, उनके चेहरे का एक इन्फ्रारेड स्कैन), तो यह एक महत्वपूर्ण पर्याप्त बाधा है कि यह हमले से प्रभावित लोगों की संख्या को सीमित करता है, इसलिए एक -1 संशोधक है .

SYSTEM_ALERT_WINDOW और Tapjacking

के बारे में हमारी नीतियों के बारे में जानकारी के लिए SYSTEM_ALERT_WINDOW और tapjacking, BugHunter विश्वविद्यालय के की धारा "Tapjacking / ओवरले SYSTEM_ALERT_WINDOW एक गैर सुरक्षा-महत्वपूर्ण स्क्रीन पर जोखिम" देख किसी भी सुरक्षा प्रभाव के साथ बग्स पेज।

प्रभावित घटक

बग को ठीक करने के लिए जिम्मेदार विकास टीम इस बात पर निर्भर करती है कि बग किस घटक में है। यह एंड्रॉइड प्लेटफॉर्म का एक मुख्य घटक हो सकता है, एक मूल उपकरण निर्माता (ओईएम) द्वारा आपूर्ति किया गया कर्नेल ड्राइवर, या पिक्सेल उपकरणों पर पहले से लोड किए गए ऐप्स में से एक हो सकता है। .

AOSP कोड में बग्स को Android इंजीनियरिंग टीम द्वारा ठीक किया जाता है। कम-गंभीरता वाले बग, कुछ घटकों में बग, या बग जो पहले से ही सार्वजनिक रूप से ज्ञात हैं, उन्हें सीधे सार्वजनिक रूप से उपलब्ध AOSP मास्टर शाखा में ठीक किया जा सकता है; अन्यथा वे पहले हमारे आंतरिक भंडार में तय हो गए हैं।

यह घटक भी एक कारक है कि कैसे उपयोगकर्ताओं को अपडेट मिलते हैं। फ्रेमवर्क या कर्नेल में एक बग के लिए एक ओवर-द-एयर (OTA) फर्मवेयर अपडेट की आवश्यकता होती है जिसे प्रत्येक OEM को पुश करने की आवश्यकता होती है। Google Play में प्रकाशित किसी ऐप या लाइब्रेरी में एक बग (उदाहरण के लिए, जीमेल, Google Play सेवाएं, या वेबव्यू) को Google Play से अपडेट के रूप में Android उपयोगकर्ताओं को भेजा जा सकता है।

भागीदारों को सूचित करना

जब एंड्रॉइड सुरक्षा बुलेटिन में एओएसपी में सुरक्षा भेद्यता तय की जाती है, तो हम एंड्रॉइड भागीदारों को समस्या विवरण के बारे में सूचित करेंगे और पैच प्रदान करेंगे। प्रत्येक नए Android रिलीज़ के साथ बैकपोर्ट-समर्थित संस्करणों की सूची बदल जाती है। समर्थित उपकरणों की सूची के लिए अपने डिवाइस निर्माता से संपर्क करें।

AOSP को कोड जारी करना

यदि सुरक्षा बग AOSP घटक में है, तो उपयोगकर्ताओं को OTA जारी होने के बाद AOSP को फिक्स पुश आउट कर दिया जाता है। ओटीए के माध्यम से उपकरणों के लिए फिक्स उपलब्ध होने से पहले कम-गंभीर मुद्दों के समाधान सीधे एओएसपी मास्टर शाखा में जमा किए जा सकते हैं।

Android अपडेट प्राप्त करना

एंड्रॉइड सिस्टम के अपडेट आमतौर पर ओटीए अपडेट पैकेज के माध्यम से उपकरणों को वितरित किए जाते हैं। ये अपडेट उस ओईएम से आ सकते हैं जिसने डिवाइस का निर्माण किया है या वाहक जो डिवाइस को सेवा प्रदान करता है। Google Pixel डिवाइस अपडेट Google Pixel टीम की ओर से कैरियर तकनीकी स्वीकृति (TA) परीक्षण प्रक्रिया से गुजरने के बाद आते हैं। गूगल भी प्रकाशित करता है पिक्सेल कारखाने छवियों उस तरफ से लोड किए गए उपकरणों के लिए हो सकता है।

Google सेवाओं को अपडेट करना

सुरक्षा बग के लिए पैच प्रदान करने के अलावा, Android सुरक्षा टीम यह निर्धारित करने के लिए सुरक्षा बग की समीक्षा करती है कि क्या उपयोगकर्ताओं की सुरक्षा के अन्य तरीके हैं। उदाहरण के लिए, Google Play सभी ऐप्स को स्कैन करता है और सुरक्षा बग का फायदा उठाने का प्रयास करने वाले किसी भी ऐप को हटा देता है। Google Play के बाहर से इंस्टॉल किए गए एप्लिकेशन लिए, Google Play सेवाओं के साथ उपकरणों के लिए भी उपयोग कर सकते हैं ऐप्स सत्यापित क्षुधा ऐसी संभावित हानिकारक हो सकता है के बारे में उपयोगकर्ताओं को सचेत करने के लिए सुविधा।

अन्य संसाधन

एंड्रॉयड एप्लिकेशन डेवलपर के लिए जानकारी: https://developer.android.com

सुरक्षा जानकारी संपूर्ण Android ओपन सोर्स और डेवलपर साइटों पर मौजूद है। शुरू करने के लिए अच्छी जगहें:

रिपोर्टों

कभी-कभी Android सुरक्षा टीम रिपोर्ट या श्वेतपत्र प्रकाशित करती है। देखें सुरक्षा रिपोर्ट अधिक जानकारी के लिए।