يحتوي هذا القسم على اقتراحات لضمان أمان اتصالات الشبكات من أجهزة Android.
مقابس الاستماع الآمنة
يُرجى استخدام مآخذ الاستماع بحذر. يجب ألا تكون هناك عمومًا أي مقابس استماع مفتوحة على الأجهزة لأنّها توفّر وسيطًا لهجوم عن بُعد للوصول إلى الجهاز.
- يجب أن تقلِّل أجهزة Android من عدد مآخذ الاستماع إلى الإنترنت
التي تعرضها، خاصةً عند التشغيل أو تلقائيًا. يجب ألا يكون هناك أي مقبس
يستمع إلى الإنترنت عند التشغيل تلقائيًا.
- يجب ألا تُعرِض العمليات الجذر والعمليات التي يملكها المعرّف الفريد للنظام (UID) أيّ مقابس استماع.
- يجب أن يكون بالإمكان إيقاف مآخذ الاستماع بدون تحديث عبر الهواء. ويمكن تنفيذ ذلك باستخدام تغيير في إعدادات الخادم أو الجهاز.
- بالنسبة إلى مآخذ البيانات التي تستخدم تنسيق IPC المحلي، يجب أن تستخدم التطبيقات مقبس نطاق UNIX مع إذن وصول محدود إلى مجموعة. أنشئ وصف ملف لوحدة التحكّم في العمليات (IPC) واجعله +RW لمجموعة محددة من أنظمة التشغيل UNIX. يجب أن تكون أي تطبيقات عملاء ضمن مجموعة UNIX هذه.
- تستخدم بعض الأجهزة التي تحتوي على معالجات متعددة (مثل راديو/مودم منفصلين عن معالج التطبيق) مقابس الشبكة للتواصل بين المعالجات. في مثل هذه الحالات، يجب أن يستخدم مقبس الشبكة المستخدَم للتواصل بين المعالجات واجهة شبكة معزولة لمنع وصول التطبيقات غير المصرَّح بها على الجهاز (أي استخدام iptables لمنع وصول التطبيقات الأخرى على الجهاز).
- يجب أن تكون الخدمات الدائمة التي تتعامل مع منافذ الاستماع قوية ضد البيانات التي تم إنشاؤها بشكلٍ غير سليم. يجب إجراء اختبار التداخل على المنفذ باستخدام برنامج غير مصرَّح به، وبرنامج مصرَّح به إن أمكن. الإبلاغ عن الأخطاء لمتابعة الأعطال
تتضمّن مجموعة اختبار التوافق مع Android (CTS) اختبارات تتحقّق من توفّر منافذ استماع مفتوحة.
إيقاف adb
Android Debug Bridge (adb) هي أداة مُهمّة لتطوير البرامج وتصحيح الأخطاء، ولكن تم تصميمها للاستخدام في بيئة آمنة خاضعة للرقابة، ويجب عدم تفعيلها للاستخدام العام.
- تأكَّد من أنّ أداة adb غير مفعَّلة تلقائيًا.
- تأكَّد من أنّ adb يطلب من المستخدم تفعيله قبل قبول عمليات الربط.