प्रत्येक geeky चाल जो आपको अपने एंड्रॉइड डिवाइस के साथ और अधिक करने की अनुमति देती है, उसकी कुछ सुरक्षा को दूर करती है। यह जानना महत्वपूर्ण है कि आप अपने डिवाइस को उजागर कर रहे हैं और व्यापार-बंद समझते हैं।
बूटलोडर अनलॉकिंग
एंड्रॉइड बूटलोडर्स डिफ़ॉल्ट रूप से लॉक हो जाते हैं। ऐसा इसलिए नहीं है क्योंकि बुरा निर्माता या सेलुलर वाहक अपने डिवाइस को लॉक करना चाहता है और आपको इसके साथ कुछ भी करने से रोकता है। यहां तक कि Google के अपने नेक्सस डिवाइस, जिन्हें एंड्रॉइड डेवलपर्स के साथ-साथ उपयोगकर्ताओं के लिए विपणन किया जाता है, डिफ़ॉल्ट रूप से लॉक बूट लोडर के साथ आते हैं।
एक लॉक बूटलोडर सुनिश्चित करता है कि हमलावर बस एक नया एंड्रॉइड रोम स्थापित नहीं कर सकता है और आपके डिवाइस की सुरक्षा को बाईपास कर सकता है। उदाहरण के लिए, मान लें कि कोई आपके फोन को चुरा लेता है और आपके डेटा तक पहुंच प्राप्त करना चाहता है। अगर आपके पास पिन सक्षम है, तो वे अंदर नहीं जा सकते हैं। लेकिन, अगर आपका बूटलोडर अनलॉक हो गया है, तो वे अपना एंड्रॉइड रोम इंस्टॉल कर सकते हैं और आपके द्वारा सक्षम पिन या सुरक्षा सेटिंग को बाईपास कर सकते हैं। यही कारण है कि नेक्सस डिवाइस के बूटलोडर को अनलॉक करने से उसका डेटा मिटा जाएगा - यह किसी हमलावर को डिवाइस चोरी करने के लिए किसी डिवाइस को अनलॉक करने से रोक देगा।
यदि आप एन्क्रिप्शन का उपयोग करते हैं, तो एक अनलॉक बूटलोडर सैद्धांतिक रूप से हमलावर को फ्रीजर हमले के साथ आपके एन्क्रिप्शन समझौता करने की अनुमति दे सकता है, स्मृति में आपकी एन्क्रिप्शन कुंजी की पहचान करने और इसे कॉपी करने के लिए डिज़ाइन किए गए रोम को बूट करना। शोधकर्ताओं ने एक अनलॉक बूटलोडर के साथ गैलेक्सी नेक्सस के खिलाफ सफलतापूर्वक इस हमले का प्रदर्शन किया है।
अनलॉक करने के बाद आप अपने बूटलोडर को फिर से लॉक करना चाहेंगे और उस कस्टम रोम को इंस्टॉल कर सकते हैं जिसका आप उपयोग करना चाहते हैं। बेशक, यह सुविधा के आने पर एक व्यापार-बंद है - यदि आप कभी भी एक नया कस्टम रोम स्थापित करना चाहते हैं तो आपको अपने बूटलोडर को फिर से अनलॉक करना होगा।
पक्ष
रूटिंग एंड्रॉइड की सुरक्षा प्रणाली को बाईपास करता है। एंड्रॉइड में, प्रत्येक ऐप अलग-अलग है, इसकी अपनी अनुमति के साथ अपने स्वयं के लिनक्स उपयोगकर्ता आईडी के साथ। ऐप्स सिस्टम के संरक्षित हिस्सों तक पहुंच या संशोधित नहीं कर सकते हैं, न ही वे अन्य ऐप्स से डेटा पढ़ सकते हैं। एक दुर्भावनापूर्ण ऐप जो आपके बैंकिंग प्रमाण-पत्रों तक पहुंचना चाहता था, आपके इंस्टॉल किए गए बैंक ऐप पर नहीं जा सकता या अपने डेटा तक नहीं पहुंच सकता - वे एक-दूसरे से अलग हो जाते हैं।
जब आप अपने डिवाइस को रूट करते हैं, तो आप ऐप को रूट उपयोगकर्ता के रूप में चलाने की अनुमति दे सकते हैं। यह उन्हें पूरे सिस्टम तक पहुंच प्रदान करता है, जो उन्हें उन चीजों को करने की अनुमति देता है जो आम तौर पर संभव नहीं होते हैं। यदि आपने एक दुर्भावनापूर्ण ऐप इंस्टॉल किया है और इसे रूट एक्सेस दिया है, तो यह आपके पूरे सिस्टम से समझौता करने में सक्षम होगा।
जिन ऐप्स को रूट एक्सेस की आवश्यकता होती है, वे विशेष रूप से खतरनाक हो सकते हैं और अतिरिक्त सावधानीपूर्वक जांच की जानी चाहिए। उन ऐप्स को न दें जिन्हें आप रूट डिवाइस के साथ अपने डिवाइस पर सब कुछ तक पहुंच पर भरोसा नहीं करते हैं।
यूएसबी डिबगिंग
यूएसबी डिबगिंग आपको फ़ाइलों को आगे और पीछे स्थानांतरित करने की अनुमति देता है और आपके डिवाइस की स्क्रीन के वीडियो रिकॉर्ड करता है। जब आप यूएसबी डिबगिंग सक्षम करते हैं, तो आपका डिवाइस उस कंप्यूटर से कमांड स्वीकार करेगा जिसे आप इसे यूएसबी कनेक्शन के माध्यम से प्लग करते हैं। यूएसबी डीबगिंग अक्षम होने के साथ, कंप्यूटर के पास आपके डिवाइस पर कमांड जारी करने का कोई तरीका नहीं है। (हालांकि, यदि आप प्लग इन करते समय अपने डिवाइस को अनलॉक करते हैं तो एक कंप्यूटर अभी भी फ़ाइलों को प्रतिलिपि बना सकता है।)
सिद्धांत रूप में, यदि यूएसबी डिबगिंग सक्षम है और सुरक्षा प्रॉम्प्ट स्वीकार किया गया है तो कनेक्ट किए गए एंड्रॉइड डिवाइसों से समझौता करने के लिए एक दुर्भावनापूर्ण यूएसबी चार्जिंग पोर्ट के लिए यह संभव होगा। एंड्रॉइड के पुराने संस्करणों में यह विशेष रूप से खतरनाक था, जहां एक एंड्रॉइड डिवाइस एक सुरक्षा संकेत प्रदर्शित नहीं करेगा और अगर यूएसबी डिबगिंग सक्षम था तो किसी भी यूएसबी कनेक्शन से कमांड स्वीकार करेंगे।
सौभाग्य से, एंड्रॉइड अब एक चेतावनी प्रदान करता है, भले ही आपके पास यूएसबी डिबगिंग सक्षम हो। यूएस डिबगिंग कमांड जारी करने से पहले आपको डिवाइस की पुष्टि करनी होगी। यदि आप अपने फोन को कंप्यूटर या यूएसबी चार्जिंग पोर्ट में प्लग करते हैं और जब आप इसकी अपेक्षा नहीं कर रहे हैं तो यह प्रॉम्प्ट देखें, इसे स्वीकार न करें। वास्तव में, आपको यूएसबी डीबगिंग अक्षम कर देना चाहिए जबतक कि आप इसे किसी चीज़ के लिए उपयोग नहीं कर रहे हैं।
यह विचार है कि एक यूएसबी चार्जिंग पोर्ट आपके डिवाइस से छेड़छाड़ कर सकता है जिसे "रस जैकिंग" कहा जाता है।
अज्ञात स्रोत
अज्ञात स्रोत विकल्प आपको Google के Play Store के बाहर से एंड्रॉइड ऐप्स (एपीके फाइल) इंस्टॉल करने की अनुमति देता है। उदाहरण के लिए, आप अमेज़ॅन ऐप स्टोर से ऐप्स इंस्टॉल करना, विनम्र बंडल ऐप के माध्यम से गेम इंस्टॉल करना चाहते हैं, या डेवलपर की वेबसाइट से एपीके फॉर्म में ऐप डाउनलोड करना चाहते हैं।
यह सेटिंग डिफ़ॉल्ट रूप से अक्षम है, क्योंकि यह कम ज्ञानी उपयोगकर्ताओं को वेबसाइटों या ईमेल से एपीके फ़ाइलों को डाउनलोड करने और उचित परिश्रम के बिना इंस्टॉल करने से रोकती है।
जब आप एपीके फ़ाइल स्थापित करने के लिए इस विकल्प को सक्षम करते हैं, तो आपको सुरक्षा के लिए इसे बाद में अक्षम करने पर विचार करना चाहिए। यदि आप नियमित रूप से Google Play के बाहर से ऐप्स इंस्टॉल करते हैं - उदाहरण के लिए, यदि आप अमेज़ॅन ऐप स्टोर का उपयोग करते हैं - तो आप इस विकल्प को सक्षम करना छोड़ सकते हैं।
किसी भी तरह से, आपको Google Play के बाहर से इंस्टॉल किए गए ऐप्स से अतिरिक्त सावधान रहना चाहिए। एंड्रॉइड अब उन्हें मैलवेयर के लिए स्कैन करने की पेशकश करेगा, लेकिन, किसी भी एंटीवायरस की तरह, यह सुविधा सही नहीं है।
इन सुविधाओं में से प्रत्येक आपके डिवाइस के कुछ पहलू पर पूर्ण नियंत्रण लेना संभव बनाता है, लेकिन सुरक्षा कारणों से वे सभी डिफ़ॉल्ट रूप से अक्षम हो जाते हैं। उन्हें सक्षम करते समय, सुनिश्चित करें कि आप जोखिम जानते हैं।