Изследователите работят върху база данни за сигурност на устройства с Android - проект, който има за цел да измери, количествено определи и сравни сигурността на устройствата между производителите на оригинално оборудване.
Потребителите на Android имат множество опции, когато става въпрос за устройства, с разнообразна комбинация от спецификации, функции и различни бюджети на устройства. Ние сме разглезени от избор, но това обърква потребителите, когато става въпрос за функции, които не могат лесно да бъдат измерени и сравнени. Вземете например състоянието на сигурността на Android. Текущото състояние на сигурността на Android далеч не е перфектно и ситуацията става още по-сложна в различните OEM производители и различни региони. Така че, ако трябва да сравните два различни OEM производителя за това колко добре са предоставили актуализации за сигурност в своето портфолио, отговорът може да не бъде лесно намерен. Група изследователи се заеха да поправят тази ситуация, като изградиха база данни от устройства с Android, като се фокусират върху общото им ниво на сигурност.
В виртуално събитие симпозиум по сигурността на Android 2020, група изследователи, включително г-н Даниел Р. Томас, г-н Аластър Р. Beresfor и г-н René Mayrhofer представиха лекция, наречена „База данни за сигурност на Android устройства“.
Препоръчваме да гледате разговора, за да получите по-добра представа за намеренията и целите на базата данни, но също така ще направим всичко възможно, за да капсулираме информацията по-долу.
Целта зад База данни за сигурност на устройството с Android е да "събират и публикуват подходящи данни за състоянието на сигурността“ на устройства с Android. Това включва информация за атрибути като средната честота на корекцията, гарантираното максимално забавяне на корекцията, най-новото ниво на корекция на сигурността и други атрибути. The базата данни в момента включва смартфони като Samsung Galaxy S20 (Exynos), Nokia 5.3, Google Pixel 4, Xiaomi Redmi Note 7, Huawei P40, Sony Xperia 10 и др.
Разговорът повдига въпроса как производителите на оригинално оборудване за смартфони в момента имат малко мотивация и количествено измерим стимул за предоставяне на бързи и подходящи актуализации за сигурност на своя смартфон портфолио. Поддръжката след продажбата на смартфони все още е съсредоточена около ограниченията на актуализациите на версията на Android и ремонтите на устройствата – и цялостната сигурност на устройството не се отдава на голямо значение. Актуализациите за защита не са показател, който маркетинговият отдел може лесно да "продавам" за повечето крайни потребители за бъдещи смартфони, така че производителността в тази област остава недостатъчна. И поради огромното разнообразие от пуснати смартфони и безбройните актуализации за тях през годините, събирането и количественото определяне на тези данни също е огромна задача. Например, Samsung се справя много добре по отношение на предоставянето на актуализации за сигурност на съществуващото си портфолио от устройства, като Galaxy S10, Galaxy Z Flip, Galaxy A50, Серия Galaxy Note 10, Galaxy A70, и серията Galaxy S20— но все още остават толкова много устройства за оценка и липсва по-голяма диаграма за напредъка на актуализацията на защитата, за да се предостави исторически контекст.
Базата данни за сигурност на Android устройства се опитва да поправи това по някакъв начин. Още през 2015 г., когато беше предприета подобна инициатива, екипът беше измерил сигурността на устройства с Android и им даде оценка от 10. Старият подход имаше няколко ограничения, тъй като се фокусираше силно върху оценката дали дадено устройство е податливо на известни уязвимости или не. По-старият подход не взема предвид други аспекти на сигурността на устройството, така че настоящият подход се опитва да погледне много по-цялостно цялостната сигурност на устройството.
Една област, в която екипът иска да проучи много повече, е как работят предварително инсталираните приложения в контекста на сигурността и поверителността на потребителите. Предварително инсталираните приложения често имат повишени разрешения, които са предварително предоставени на ниво платформа. Напоследък сме свидетели на повишено внимание към предварително инсталираните приложения – понякога то се проявява под формата на оплаквания относно реклами в предварително инсталирани приложения на Samsung, а понякога приема формата на a национална забрана срещу няколко предварително инсталирани приложения на Xiaomi Mi. Как се упражнява надзор върху тези предварително инсталирани приложения от OEM?
Изследователският екип се занимава с този въпрос, като препоръчва повече прозрачност и отчетност за това какви приложения са предварително инсталирани на устройството и какво имат разрешение да правят. За да направи това, екипът също така иска да добави оценка на риска на приложението в своята база данни и в крайна сметка да създаде система за оценяване, за да класира устройствата по този аспект. Изследователският екип също така иска методологията му да бъде рецензирана от партньори и търси обратна връзка от други изследователи по сигурността за това какви аспекти на сигурността на предварително инсталираните приложения трябва да разгледат.
Базата данни има за цел да се превърне в еталон за оценка на цялостната сигурност на дадено устройство и холистичното изживяване на сигурността за OEM. Инициативата определено е в процес на работа на този етап и бъдещите планове включват разработване на приложение, което събира сигурност атрибути по анонимен начин и го представя по сравним начин на крайните потребители - подобно на начина, по който производителността на текущото поколение бенчмарковете работят. С достатъчно потребители, които доброволно предоставят тези данни за проекта, може да се надяваме, че проектът ще се превърне в жизнеспособен показател за сигурност, който може да се използва за оценка на цялостните практики за сигурност на OEM. Докато предишното представяне със сигурност не е гаранция за бъдещи действия, тази база данни/бенчмарк все още ще опрости непрозрачната и сложна бъркотия, която в момента представлява състоянието на сигурността на Android ОС.