تقارن قاعدة بيانات أمان جهاز Android بين أمان الهواتف الذكية التي تعمل بنظام Android

منوعاتNov 14, 2023
click fraud protection

يعمل الباحثون على قاعدة بيانات أمان أجهزة Android - وهو مشروع يهدف إلى قياس وقياس ومقارنة أمان الأجهزة عبر مصنعي المعدات الأصلية.

يتوفر لمستخدمي Android العديد من الخيارات عندما يتعلق الأمر بالأجهزة، مع مجموعة متنوعة من المواصفات والميزات وميزانيات الأجهزة المختلفة. نحن مدللون بالاختيار، ولكن هذا يربك المستخدمين عندما يتعلق الأمر بالميزات التي لا يمكن قياسها ومقارنتها بسهولة. خذ على سبيل المثال حالة أمان Android. الوضع الحالي لأمن Android أبعد ما يكون عن الكمال، ويصبح الوضع أكثر تعقيدًا عبر مختلف مصنعي المعدات الأصلية والمناطق المختلفة. لذلك، إذا كان عليك مقارنة اثنين من مصنعي المعدات الأصلية المختلفين حول مدى جودة تقديم التحديثات الأمنية عبر محفظتهم، فقد لا يكون من السهل العثور على الإجابة. وقد أخذت مجموعة من الباحثين على عاتقهم معالجة هذا الوضع من خلال بناء قاعدة بيانات لأجهزة Android مع التركيز على مستوى الأمان العام الخاص بها.

في ال الحدث الافتراضي لندوة أمان Android 2020، مجموعة من الباحثين من بينهم السيد دانيال ر. توماس، السيد أليستر ر. قدم بيريسفور والسيد رينيه مايرهوفر محاضرة بعنوان "قاعدة بيانات أمان جهاز Android".

نوصي بمشاهدة المحادثة للحصول على فكرة أفضل عن مقاصد قاعدة البيانات وأغراضها، ولكننا سنبذل قصارى جهدنا أيضًا لتغليف المعلومات أدناه.

الهدف من وراء قاعدة بيانات أمان جهاز Android هو "جمع ونشر البيانات ذات الصلة حول الوضع الأمني"لأجهزة أندرويد. هذا يتضمن معلومات عن الصفات مثل متوسط ​​تكرار التصحيح، والحد الأقصى المضمون لتأخير التصحيح، وأحدث مستوى للتصحيح الأمني، والسمات الأخرى. ال تتضمن قاعدة البيانات حاليًا الهواتف الذكية مثل Samsung Galaxy S20 (Exynos) وNokia 5.3 وGoogle Pixel 4 وXiaomi Redmi Note 7 وHuawei P40 وSony Xperia 10 والمزيد.

يثير الحديث مسألة كيف أن الشركات المصنعة للهواتف الذكية لديها القليل حاليًا من حيث التحفيز والتحفيز حافز قابل للقياس لتوفير تحديثات أمنية سريعة وذات صلة عبر هواتفهم الذكية مَلَفّ. لا يزال دعم ما بعد البيع للهواتف الذكية يتمحور حول حدود تحديثات إصدار Android وإصلاحات الأجهزة، ولا يُعطى أمان الجهاز بشكل عام أهمية كبيرة. التحديثات الأمنية ليست مقياسًا يمكن لقسم التسويق بسهولة "يبيع" لمعظم المستهلكين النهائيين للهواتف الذكية المستقبلية، لذلك لا يزال الأداء في هذا المجال ضعيفًا. ونظرًا للتنوع الكبير في الهواتف الذكية التي تم إصدارها والتحديثات التي لا تعد ولا تحصى لها على مر السنين، فإن جمع هذه البيانات وقياسها يعد أيضًا مهمة ضخمة. على سبيل المثال، كان أداء سامسونج جيدًا جدًا فيما يتعلق بتوفير التحديثات الأمنية لمجموعة أجهزتها الحالية، مثل جالاكسي إس10، جالاكسي زد فليب، جالاكسي A50, سلسلة جالاكسي نوت 10، جالاكسي A70، و سلسلة جالاكسي S20- ولكن لا يزال هناك الكثير من الأجهزة المتبقية لتقييمها كما أن مخطط تقدم التحديث الأمني ​​الأكبر مفقود أيضًا لتوفير السياق التاريخي.

تحاول قاعدة بيانات أمان جهاز Android إصلاح هذه المشكلة بطريقة ما. وبالعودة إلى عام 2015، عندما تم تنفيذ مبادرة مماثلة، قام الفريق بقياس أمان أجهزة Android ومنحها درجة من 10. كان للنهج القديم بعض القيود، حيث كان يركز بشكل كبير على تقييم ما إذا كان الجهاز عرضة لنقاط الضعف المعروفة أم لا. لم يأخذ النهج القديم في الاعتبار الجوانب الأخرى لأمان الجهاز، لذا يحاول النهج الحالي إلقاء نظرة أكثر شمولية على أمان الجهاز بشكل عام.

أحد المجالات التي يرغب الفريق في استكشافها بشكل أكبر هو كيفية أداء التطبيقات المثبتة مسبقًا في سياق الأمان وخصوصية المستخدم. غالبًا ما تحتوي التطبيقات المثبتة مسبقًا على أذونات مرتفعة يتم منحها مسبقًا على مستوى النظام الأساسي. لقد شهدنا اهتمامًا متزايدًا بالتطبيقات المثبتة مسبقًا في الآونة الأخيرة، وفي بعض الأحيان يتجلى ذلك في شكل شكاوى حول الإعلانات في تطبيقات سامسونج المثبتة مسبقًا، وأحياناً يأخذ شكل أ حظر وطني على العديد من تطبيقات Xiaomi Mi المثبتة مسبقًا. كيف يمكن للمرء ممارسة الرقابة على هذه التطبيقات المثبتة مسبقًا بواسطة مصنعي المعدات الأصلية؟

يعالج فريق البحث هذا السؤال من خلال التوصية بمزيد من الشفافية والمساءلة فيما يتعلق بالتطبيقات المثبتة مسبقًا على الجهاز وما لديهم الإذن للقيام به. وللقيام بذلك، يريد الفريق أيضًا إضافة تصنيف مخاطر التطبيق إلى قاعدة البيانات الخاصة به وإنشاء نظام تصنيف في النهاية لتصنيف الأجهزة في هذا الجانب. يريد فريق البحث أيضًا مراجعة النظراء لمنهجيته ويسعى للحصول على تعليقات من باحثين أمنيين آخرين حول جوانب أمان التطبيقات المثبتة مسبقًا التي يجب عليهم النظر فيها.

تهدف قاعدة البيانات إلى أن تصبح معيارًا لتقييم الأمان العام للجهاز وتجربة الأمان الشاملة لمصنعي المعدات الأصلية. من المؤكد أن هذه المبادرة قيد التنفيذ في هذه المرحلة، وتشمل الخطط المستقبلية تطوير تطبيق يجمع الأمان السمات بطريقة مجهولة ويقدمها بطريقة قابلة للمقارنة للمستخدمين النهائيين - يشبه إلى حد كبير أداء الجيل الحالي تعمل المعايير. مع وجود عدد كافٍ من المستخدمين الذين يتطوعون بهذه البيانات للمشروع، يمكن للمرء أن يأمل أن يصبح المشروع معيارًا أمنيًا قابلاً للتطبيق يمكن استخدامه لتقييم ممارسات الأمان العامة لمصنعي المعدات الأصلية (OEM). في حين أن الأداء السابق لا يشكل بالتأكيد ضمانًا تجاه العمل المستقبلي، فإن قاعدة البيانات/المقياس المعياري هذه سيظل يبسط الفوضى المبهمة والمعقدة التي تمثل حالة أمان Android حاليًا نظام التشغيل.