Forscher arbeiten an einer Android-Gerätesicherheitsdatenbank – einem Projekt, das darauf abzielt, die Gerätesicherheit zwischen OEMs zu messen, zu quantifizieren und zu vergleichen.
Android-Benutzer haben zahlreiche Optionen, wenn es um Geräte geht, mit einer vielfältigen Kombination aus Spezifikationen, Funktionen und unterschiedlichen Gerätebudgets. Wir haben die Qual der Wahl, aber das verwirrt die Benutzer, wenn es um Funktionen geht, die nicht einfach gemessen und verglichen werden können. Nehmen Sie zum Beispiel den Android-Sicherheitsstatus. Der aktuelle Stand der Android-Sicherheit ist alles andere als perfekt und die Situation wird bei verschiedenen OEMs und verschiedenen Regionen noch komplexer. Wenn Sie also zwei verschiedene OEMs hinsichtlich der Qualität der Bereitstellung von Sicherheitsupdates in ihrem gesamten Portfolio vergleichen müssten, wäre die Antwort möglicherweise nicht leicht zu finden. Eine Gruppe von Forschern hat es sich zur Aufgabe gemacht, dieser Situation abzuhelfen, indem sie eine Datenbank mit Android-Geräten erstellt hat, die sich auf deren allgemeines Sicherheitsniveau konzentriert.
Bei der virtuelle Veranstaltung des Android Security Symposium 2020, einer Gruppe von Forschern, darunter Herr Daniel R. Thomas, Herr Alastair R. Beresfor und Herr René Mayrhofer hielten einen Vortrag mit dem Titel „Android Device Security Database“.
Wir empfehlen, sich den Vortrag anzusehen, um eine bessere Vorstellung von den Absichten und Zwecken der Datenbank zu bekommen, aber wir werden auch unser Bestes tun, um die folgenden Informationen zusammenzufassen.
Der Zweck dahinter Android-Gerätesicherheitsdatenbank ist „Sammeln und veröffentlichen Sie relevante Daten über die Sicherheitslage" von Android-Geräten. Das beinhaltet Informationen zu Attributen wie die durchschnittliche Patch-Häufigkeit, die garantierte maximale Patch-Verzögerung, die neueste Sicherheitspatch-Stufe und andere Attribute. Der Die Datenbank umfasst derzeit Smartphones wie das Samsung Galaxy S20 (Exynos), Nokia 5.3, Google Pixel 4, Xiaomi Redmi Note 7, Huawei P40, Sony Xperia 10 und mehr.
Der Vortrag wirft die Frage auf, dass Smartphone-OEMs derzeit wenig Motivation und Motivation haben quantifizierbarer Anreiz, schnelle und relevante Sicherheitsupdates für ihr Smartphone bereitzustellen Portfolio. Der After-Sales-Support für Smartphones konzentriert sich immer noch auf die Grenzen von Android-Versionsaktualisierungen und Gerätereparaturen – und der allgemeinen Gerätesicherheit wird keine große Bedeutung beigemessen. Sicherheitsupdates sind keine Kennzahl, die eine Marketingabteilung ohne weiteres ermitteln kann.verkaufen" für die meisten Endverbraucher für zukünftige Smartphones, sodass die Leistung in diesem Bereich weiterhin mangelhaft ist. Und aufgrund der enormen Vielfalt an Smartphones, die im Laufe der Jahre auf den Markt kamen und zahllos aktualisiert wurden, ist auch das Sammeln und Quantifizieren dieser Daten eine gigantische Aufgabe. Samsung hat sich beispielsweise bei der Bereitstellung von Sicherheitsupdates für sein bestehendes Geräteportfolio wie dem sehr gut geschlagen Galaxy S10, Galaxy Z Flip, Galaxy A50, Galaxy Note 10-Serie, Galaxy A70, Und die Galaxy S20-Serie– aber es müssen noch so viele weitere Geräte bewertet werden, und es fehlt auch ein größeres Diagramm zum Fortschritt des Sicherheitsupdates, um einen historischen Kontext bereitzustellen.
Die Android Device Security Database versucht, dies auf eine Weise zu beheben. Bereits im Jahr 2015, als eine ähnliche Initiative durchgeführt wurde, hatte das Team die Sicherheit von Android-Geräten gemessen und ihnen eine Bewertung von 10 gegeben. Der alte Ansatz hatte einige Einschränkungen, da er sich stark auf die Beurteilung konzentrierte, ob ein Gerät für bekannte Schwachstellen anfällig ist oder nicht. Der ältere Ansatz berücksichtigte keine anderen Aspekte der Gerätesicherheit, daher versucht der aktuelle Ansatz, einen viel ganzheitlicheren Blick auf die gesamte Gerätesicherheit zu werfen.
Ein Bereich, in dem das Team noch weiter erforschen möchte, ist die Leistung vorinstallierter Apps im Hinblick auf Sicherheit und Datenschutz der Benutzer. Vorinstallierte Apps verfügen oft über erhöhte Berechtigungen, die auf Plattformebene vorab gewährt werden. Wir haben in letzter Zeit eine erhöhte Aufmerksamkeit für vorinstallierte Apps festgestellt – manchmal äußert sich dies in Form von Beschwerden über Werbung in vorinstallierten Samsung-Apps, und manchmal hat es die Form eines bundesweites Verbot mehrerer vorinstallierter Xiaomi Mi-Apps. Wie kann man die Kontrolle über diese vorinstallierten Apps durch OEMs ausüben?
Das Forschungsteam geht dieser Frage nach, indem es mehr Transparenz und Rechenschaftspflicht darüber empfiehlt, welche Apps auf einem Gerät vorinstalliert sind und wozu sie berechtigt sind. Zu diesem Zweck möchte das Team seiner Datenbank auch eine App-Risikobewertung hinzufügen und schließlich ein Bewertungssystem erstellen, um Geräte nach diesem Aspekt zu bewerten. Das Forschungsteam möchte außerdem, dass seine Methodik einem Peer-Review unterzogen wird, und bittet andere Sicherheitsforscher um Feedback dazu, welche Aspekte der Sicherheit vorinstallierter Apps sie untersuchen sollten.
Die Datenbank soll ein Maßstab für die Bewertung der Gesamtsicherheit eines Geräts und des ganzheitlichen Sicherheitserlebnisses für einen OEM werden. Die Initiative ist zum jetzigen Zeitpunkt definitiv in Arbeit, und zukünftige Pläne beinhalten die Entwicklung einer App, die Sicherheit sammelt Attribute auf anonyme Weise und präsentiert sie Endbenutzern auf vergleichbare Weise – ähnlich wie die Leistung der aktuellen Generation Benchmarks funktionieren. Da genügend Benutzer diese Daten freiwillig für das Projekt zur Verfügung stellen, kann man hoffen, dass das Projekt zu einem brauchbaren Sicherheitsmaßstab wird, der zur Bewertung der gesamten Sicherheitspraktiken eines OEM verwendet werden kann. Während die bisherige Leistung sicherlich keine Garantie für zukünftige Maßnahmen ist, ist diese Datenbank/Benchmark würde das undurchsichtige und komplexe Durcheinander, das derzeit in der Android-Sicherheit herrscht, immer noch vereinfachen ein Betriebssystem.