Forskere arbejder på en Android Device Security Database - et projekt, der har til formål at måle, kvantificere og sammenligne enhedssikkerhed på tværs af OEM'er.
Android-brugere har adskillige muligheder, når det kommer til enheder, med en varieret kombination af specifikationer, funktioner og forskellige enhedsbudgetter. Vi er forkælet med valg, men det forvirrer brugerne, når det kommer til funktioner, der ikke let kan måles og sammenlignes. Tag for eksempel Android-sikkerhedsstatus. Den nuværende tilstand af Android-sikkerhed er langt fra perfekt, og situationen bliver endnu mere kompleks på tværs af forskellige OEM'er og forskellige regioner. Så hvis du skulle sammenligne to forskellige OEM'er om, hvor godt de har leveret sikkerhedsopdateringer på tværs af deres portefølje, er svaret muligvis ikke nemt at finde. En gruppe forskere har påtaget sig at afhjælpe denne situation ved at bygge en database med Android-enheder med fokus på deres overordnede sikkerhedsniveau.
Ved virtuel Android Security Symposium 2020-begivenhed
Vi anbefaler at se foredraget for at få et bedre indtryk af hensigterne og formålene med databasen, men vi vil også gøre vores bedste for at indkapsle oplysningerne nedenfor.
Formålet bag Android-enhedssikkerhedsdatabase er at"indsamle og offentliggøre relevante data om sikkerhedsstillingen" af Android-enheder. Dette omfatter oplysninger om attributter som den gennemsnitlige patch-frekvens, den garanterede maksimale patch-forsinkelse, det seneste sikkerhedspatch-niveau og andre attributter. Det database omfatter pt smartphones som Samsung Galaxy S20 (Exynos), Nokia 5.3, Google Pixel 4, Xiaomi Redmi Note 7, Huawei P40, Sony Xperia 10 og mere.
Foredraget bringer spørgsmålet op om, hvordan smartphone OEM'er i øjeblikket har lidt med hensyn til motivation og kvantificerbart incitament til at levere hurtige og relevante sikkerhedsopdateringer på tværs af deres smartphone portefølje. Smartphone eftersalgssupport er stadig centreret omkring grænserne for Android-versionsopdateringer og enhedsreparationer - og den overordnede enhedssikkerhed tillægges ikke den store betydning. Sikkerhedsopdateringer er ikke et mål, som en marketingafdeling nemt kan "sælge" til de fleste slutbrugere for fremtidige smartphones, så ydeevnen på dette område mangler stadig. Og på grund af det store udvalg af udgivet smartphones og de utallige opdateringer til dem gennem årene, er indsamling og kvantificering af disse data også en gigantisk opgave. For eksempel har Samsung gjort det meget godt med hensyn til at levere sikkerhedsopdateringer til sin eksisterende portefølje af enheder, som f Galaxy S10, Galaxy Z Flip, Galaxy A50, Galaxy Note 10-serien, Galaxy A70, og Galaxy S20-serien- men der er stadig så mange flere enheder tilbage at vurdere, og der mangler også et større statusdiagram for sikkerhedsopdateringer for at give historisk kontekst.
Android Device Security Database forsøger at løse dette på en måde. Tilbage i 2015, da et lignende initiativ blev taget, havde holdet målt sikkerheden på Android-enheder og givet dem en score ud af 10. Den gamle tilgang havde nogle få begrænsninger, da den fokuserede stærkt på at vurdere, om en enhed var modtagelig for kendte sårbarheder eller ej. Den ældre tilgang tog ikke andre aspekter af enhedssikkerhed i betragtning, så den nuværende tilgang forsøger at tage et meget mere holistisk blik på den overordnede enhedssikkerhed.
Et område, hvor teamet ønsker at udforske meget mere, er, hvordan præinstallerede apps fungerer inden for rammerne af sikkerhed og brugernes privatliv. Forudinstallerede apps har ofte forhøjede tilladelser, der er forhåndstildelt på platformsniveau. Vi har set øget opmærksomhed mod forudinstallerede apps i den seneste tid – nogle gange viser det sig i form af klager over annoncer i forudinstallerede Samsung-apps, og nogle gange tager det form af en landsdækkende forbud mod flere forudinstallerede Xiaomi Mi-apps. Hvordan fører man tilsyn med disse forudinstallerede apps af OEM'er?
Forskerholdet tackler dette spørgsmål ved at anbefale mere gennemsigtighed og ansvarlighed i, hvilke apps der er forudinstalleret på en enhed, og hvad de har tilladelse til at gøre. For at gøre dette ønsker teamet også at tilføje en app-risikovurdering i deres database og til sidst oprette et klassificeringssystem til at rangere enheder på dette aspekt. Forskerholdet ønsker også, at deres metodologi peer-reviewed og søger feedback fra andre sikkerhedsforskere om, hvilke aspekter af sikkerheden af forudinstallerede apps, de bør se nærmere på.
Databasen sigter mod at blive et benchmark for vurdering af en enheds overordnede sikkerhed og den holistiske sikkerhedsoplevelse for en OEM. Initiativet er afgjort et work-in-progress på nuværende tidspunkt, og fremtidige planer omfatter udvikling af en app, der samler sikkerhed attributter på en anonym måde og præsenterer det på en sammenlignelig måde for slutbrugere - ligesom den nuværende generations ydeevne benchmarks virker. Med nok brugere, der frivilligt melder disse data til projektet, kan man håbe, at projektet bliver et levedygtigt sikkerhedsbenchmark, der kan bruges til at vurdere den overordnede sikkerhedspraksis for en OEM. Selvom tidligere resultater bestemt ikke er nogen garanti for fremtidig handling, er denne database/benchmark ville stadig forenkle det uigennemsigtige og komplekse rod, der i øjeblikket er tilstanden for Android-sikkerhed som et OS.