बहुतों के अलावा उपयोगकर्ता-सामना में सुधार कल घोषित एंड्रॉइड के नवीनतम अवतार में, कई दिलचस्प सुरक्षाएं हैं सुधार, जो इंगित करते प्रतीत होते हैं कि Google ने इस नए में प्लेटफ़ॉर्म सुरक्षा की पूरी तरह से उपेक्षा नहीं की है मुक्त करना। यह आलेख बताएगा कि नया क्या है और इसका आपके लिए क्या अर्थ है।
एनफोर्स मोड में SELinux
एंड्रॉइड 4.4 में, SELinux अनुमेय मोड (जो केवल विफलताओं को लॉग करता है) से एनफोर्सिंग मोड में चला गया है। SELinux, जिसे एंड्रॉइड 4.3 में पेश किया गया था, मौजूदा एक्सेस कंट्रोल अधिकारों को लागू करने में मदद करने के लिए, लिनक्स कर्नेल में निर्मित एक अनिवार्य एक्सेस कंट्रोल सिस्टम है (अर्थात। अनुमतियाँ), और विशेषाधिकार वृद्धि हमलों को रोकने का प्रयास करने के लिए (अर्थात। एक ऐप आपके डिवाइस पर रूट एक्सेस हासिल करने की कोशिश कर रहा है)।
AndroidKeyStore में एलिप्टिक कर्व क्रिप्टोग्राफी (ECDSA) साइनिंग कुंजियों के लिए समर्थन
एकीकृत एंड्रॉइड कीस्टोर प्रदाता में अब एलिप्टिक कर्व साइनिंग कुंजी के लिए समर्थन शामिल है। जबकि एलिप्टिक कर्व क्रिप्टोग्राफी को हाल ही में कुछ (अनुचित) खराब प्रचार मिला है, ईसीसी एक है सार्वजनिक कुंजी क्रिप्टोग्राफी का व्यवहार्य रूप जो आरएसए और ऐसे अन्य के लिए एक अच्छा विकल्प प्रदान कर सकता है एल्गोरिदम. जबकि असममित क्रिप्टोग्राफी क्वांटम कंप्यूटिंग विकास का सामना नहीं करेगी, यह देखना अच्छा है कि एंड्रॉइड 4.4 डेवलपर्स के लिए अधिक विकल्प पेश कर रहा है। दीर्घकालिक डेटा भंडारण के लिए, सममित एन्क्रिप्शन सबसे अच्छा तरीका है।
एसएसएल सीए प्रमाणपत्र चेतावनियाँ
कई कॉर्पोरेट आईटी परिवेशों में एसएसएल मॉनिटरिंग सॉफ्टवेयर शामिल होता है, जो आपके कंप्यूटर और/या ब्राउज़र में एक सर्टिफिकेट अथॉरिटी (सीए) जोड़ता है। सुरक्षा और निगरानी के लिए कॉर्पोरेट वेब फ़िल्टरिंग सॉफ़्टवेयर को आपके HTTPS सत्रों पर "बीच में आदमी" हमला करने की अनुमति दें उद्देश्य. एंड्रॉइड के साथ डिवाइस में एक अतिरिक्त सीए कुंजी जोड़कर यह संभव हो गया है (जो आपकी कंपनी के गेटवे सर्वर को उसके द्वारा चुनी गई किसी भी वेबसाइट का "दिखावा" करने की अनुमति देता है)। एंड्रॉइड 4.4 उपयोगकर्ताओं को चेतावनी देगा यदि उनके डिवाइस में ऐसा कोई सीए प्रमाणपत्र जोड़ा गया है, जिससे उन्हें ऐसा होने की संभावना के बारे में पता चल सके।
स्वचालित बफ़र अतिप्रवाह जांच
एंड्रॉइड 4.4 अब स्तर 2 पर चलने वाले FORTIFY_SOURCE के साथ संकलित है, और यह सुनिश्चित करता है कि सभी सी कोड इस सुरक्षा के साथ संकलित हैं। क्लैंग के साथ संकलित कोड भी इसके अंतर्गत आता है। FORTIFY_SOURCE कंपाइलर की एक सुरक्षा सुविधा है, जो पहचानने का प्रयास करती है कुछ बफ़र ओवरफ़्लो अवसर (जिसका उपयोग दुर्भावनापूर्ण सॉफ़्टवेयर या उपयोगकर्ताओं द्वारा किसी डिवाइस पर मनमाना कोड निष्पादन प्राप्त करने के लिए किया जा सकता है)। हालाँकि FORTIFY_SOURCE बफ़र ओवरफ़्लो की सभी संभावनाओं को समाप्त नहीं करता है, लेकिन बफ़र्स आवंटित करते समय किसी भी स्पष्ट निरीक्षण से बचने के लिए, अप्रयुक्त की तुलना में इसका उपयोग निश्चित रूप से बेहतर है।
Google प्रमाणपत्र पिनिंग
जेलीबीन के पुराने संस्करणों में प्रमाणपत्र पिनिंग के लिए समर्थन का विस्तार करते हुए, एंड्रॉइड 4.4 Google प्रमाणपत्रों के लिए प्रमाणपत्र प्रतिस्थापन के खिलाफ सुरक्षा जोड़ता है। सर्टिफिकेट पिनिंग एक निश्चित डोमेन के विरुद्ध केवल कुछ श्वेतसूचीबद्ध एसएसएल प्रमाणपत्रों का उपयोग करने की अनुमति देने का कार्य है। यह आपको आपके प्रदाता द्वारा आपके देश की सरकार द्वारा एक आदेश के तहत प्रदान किए गए प्रमाणपत्र को प्रतिस्थापित करने (उदाहरण के लिए) से बचाता है। प्रमाणपत्र पिनिंग के बिना, आपका डिवाइस इस वैध एसएसएल प्रमाणपत्र को स्वीकार कर लेगा (क्योंकि एसएसएल किसी भी विश्वसनीय सीए को कोई भी प्रमाणपत्र जारी करने की अनुमति देता है)। सर्टिफिकेट पिनिंग के साथ, केवल हार्ड-कोडेड वैध प्रमाणपत्र ही आपके फोन द्वारा स्वीकार किया जाएगा, जो आपको बीच-बीच में होने वाले हमले से बचाएगा।
यह निश्चित रूप से प्रतीत होता है कि Google Android सुरक्षा के मामले में अपनी उपलब्धियों पर कायम नहीं है। यह इसके अतिरिक्त है डीएम-सत्यापन का समावेश, जिसके संभवतः उन लोगों के लिए गंभीर परिणाम हो सकते हैं जो लॉक किए गए बूटलोडर्स के साथ अपने डिवाइस को रूट और संशोधित करना पसंद करते हैं (अर्थात। जो कर्नेल हस्ताक्षर लागू करता है)।