Výzkumníci pracují na databázi zabezpečení zařízení Android – projektu, jehož cílem je měřit, kvantifikovat a porovnávat zabezpečení zařízení napříč výrobci OEM.
Uživatelé Androidu mají mnoho možností, pokud jde o zařízení, s pestrou kombinací specifikací, funkcí a různých rozpočtů zařízení. Jsme rozmazlení výběrem, ale to uživatele mate, pokud jde o funkce, které nelze snadno měřit a porovnávat. Vezměte si například stav zabezpečení systému Android. Současný stav zabezpečení Androidu má k dokonalosti daleko a situace se v různých OEM a různých regionech stává ještě složitější. Pokud byste tedy měli porovnat dva různé výrobce OEM, jak dobře dodali aktualizace zabezpečení v rámci svého portfolia, odpověď nemusí být snadno nalezena. Skupina výzkumníků se rozhodla tuto situaci napravit vytvořením databáze zařízení Android se zaměřením na jejich celkovou úroveň zabezpečení.
Na virtuální událost Android Security Symposium 2020, skupina výzkumníků včetně pana Daniela R. Thomas, pan Alastair R. Beresfor a pan René Mayrhofer přednesli přednášku nazvanou „Bezpečnostní databáze zařízení Android“.
Doporučujeme shlédnout přednášku, abyste si udělali lepší představu o záměrech a účelech databáze, ale také uděláme maximum pro shrnutí níže uvedených informací.
Účel za Databáze zabezpečení zařízení Android je "shromažďovat a zveřejňovat relevantní údaje o bezpečnostní pozici" zařízení Android. To zahrnuje informace o atributech jako je průměrná frekvence oprav, zaručené maximální zpoždění opravy, nejnovější úroveň opravy zabezpečení a další atributy. The databáze aktuálně obsahuje smartphony jako Samsung Galaxy S20 (Exynos), Nokia 5.3, Google Pixel 4, Xiaomi Redmi Note 7, Huawei P40, Sony Xperia 10 a další.
Přednáška nastoluje problém, jak mají výrobci OEM chytrých telefonů v současnosti málo motivace a motivace kvantifikovatelnou pobídku k poskytování rychlých a relevantních bezpečnostních aktualizací na jejich smartphonu portfolia. Poprodejní podpora smartphonu se stále soustředí na limity aktualizací verzí Androidu a oprav zařízení – a celkové bezpečnosti zařízení se nepřikládá velký význam. Aktualizace zabezpečení nejsou metrikou, kterou by marketingové oddělení mohlo snadnoprodat" pro většinu koncových spotřebitelů pro budoucí smartphony, takže výkon v této oblasti stále chybí. A vzhledem k obrovské rozmanitosti vydaných smartphonů a jejich nesčetným aktualizacím v průběhu let je shromažďování a kvantifikování těchto dat také obrovským úkolem. Společnost Samsung si například vede velmi dobře, pokud jde o poskytování bezpečnostních aktualizací pro své stávající portfolio zařízení, jako je např Galaxy S10, Galaxy Z Flip, Galaxy A50, Řada Galaxy Note 10, Galaxy A70, a řady Galaxy S20– ale stále zbývá mnohem více zařízení k posouzení a chybí také větší graf průběhu aktualizace zabezpečení, který by poskytl historický kontext.
Databáze zabezpečení zařízení Android se to snaží určitým způsobem napravit. V roce 2015, kdy došlo k podobné iniciativě, tým změřil bezpečnost zařízení Android a přidělil jim skóre z 10. Starý přístup měl několik omezení, protože se silně zaměřoval na posouzení, zda je zařízení náchylné ke známým zranitelnostem či nikoli. Starší přístup nezohledňoval další aspekty zabezpečení zařízení, takže současný přístup se pokouší pohlížet na celkové zabezpečení zařízení mnohem komplexněji.
Jednou z oblastí, kterou chce tým prozkoumat mnohem dále, je výkon předinstalovaných aplikací v kontextu zabezpečení a soukromí uživatelů. Předinstalované aplikace mají často zvýšená oprávnění, která jsou předem udělena na úrovni platformy. V poslední době jsme byli svědky zvýšené pozornosti vůči předinstalovaným aplikacím – někdy se projevuje ve formě stížnosti na reklamy v předinstalovaných aplikacích Samsunga někdy má tvar a celostátní zákaz několika předinstalovaných aplikací Xiaomi Mi. Jak lze provádět dohled nad těmito předinstalovanými aplikacemi od výrobců OEM?
Výzkumný tým řeší tuto otázku doporučením větší transparentnosti a odpovědnosti za to, jaké aplikace jsou předinstalované v zařízení a k čemu mají oprávnění. Za tímto účelem chce tým také přidat hodnocení rizika aplikace do své databáze a případně vytvořit systém hodnocení pro hodnocení zařízení podle tohoto aspektu. Výzkumný tým také chce, aby byla jeho metodika přezkoumána a hledá zpětnou vazbu od ostatních bezpečnostních výzkumníků ohledně toho, jaké aspekty zabezpečení předinstalovaných aplikací by měli zkoumat.
Cílem databáze je stát se měřítkem pro hodnocení celkového zabezpečení zařízení a holistického zabezpečení pro výrobce OEM. Iniciativa je v této fázi rozhodně nedokončená a budoucí plány zahrnují vývoj aplikace, která shromažďuje zabezpečení atributy anonymním způsobem a prezentuje je srovnatelným způsobem koncovým uživatelům – podobně jako výkon současné generace benchmarky fungují. S dostatečným počtem uživatelů, kteří do projektu vloží tato data, lze doufat, že se projekt stane životaschopným bezpečnostním měřítkem, které lze použít k posouzení celkových bezpečnostních postupů výrobce OEM. Zatímco minulá výkonnost rozhodně není zárukou budoucí akce, tato databáze/benchmark by stále zjednodušilo neprůhledný a složitý nepořádek, který je v současnosti stavem zabezpečení Androidu OS.