Οι ερευνητές εργάζονται σε μια βάση δεδομένων ασφαλείας συσκευής Android - ένα έργο που στοχεύει στη μέτρηση, την ποσοτικοποίηση και τη σύγκριση της ασφάλειας της συσκευής μεταξύ των OEM.
Οι χρήστες Android έχουν πολλές επιλογές όσον αφορά τις συσκευές, με ποικίλο συνδυασμό προδιαγραφών, λειτουργιών και διαφορετικών προϋπολογισμών συσκευών. Μας χαλάει η επιλογή, αλλά αυτό προκαλεί σύγχυση στους χρήστες όταν πρόκειται για χαρακτηριστικά που δεν μπορούν εύκολα να μετρηθούν και να συγκριθούν. Πάρτε, για παράδειγμα, την κατάσταση Android Security. Η τρέχουσα κατάσταση της ασφάλειας του Android απέχει πολύ από το να είναι τέλεια και η κατάσταση γίνεται ακόμη πιο περίπλοκη σε διαφορετικούς OEM και διαφορετικές περιοχές. Επομένως, εάν έπρεπε να συγκρίνετε δύο διαφορετικούς OEM σχετικά με το πόσο καλά έχουν παραδώσει ενημερώσεις ασφαλείας σε όλο το χαρτοφυλάκιό τους, η απάντηση μπορεί να μην βρεθεί εύκολα. Μια ομάδα ερευνητών ανέλαβε να διορθώσει αυτήν την κατάσταση δημιουργώντας μια βάση δεδομένων συσκευών Android που εστιάζουν στο συνολικό επίπεδο ασφαλείας τους.
Στο εικονική εκδήλωση Android Security Symposium 2020, μια ομάδα ερευνητών συμπεριλαμβανομένου του κ. Daniel R. Thomas, κ. Alastair R. Beresfor, και ο κ. René Mayrhofer παρουσίασαν μια ομιλία που ονομάζεται "Android Device Security Database".
Συνιστούμε να παρακολουθήσετε την ομιλία για να έχετε μια καλύτερη ιδέα για τις προθέσεις και τους σκοπούς της βάσης δεδομένων, αλλά θα κάνουμε επίσης το καλύτερο δυνατό για να ενσωματώσουμε τις παρακάτω πληροφορίες.
Ο σκοπός πίσω από το Βάση δεδομένων ασφαλείας συσκευής Android είναι να "συλλέγει και δημοσιεύει σχετικά δεδομένα σχετικά με τη στάση ασφαλείας" των συσκευών Android. Αυτό περιλαμβάνει πληροφορίες για τα χαρακτηριστικά όπως η μέση συχνότητα ενημέρωσης κώδικα, η εγγυημένη μέγιστη καθυστέρηση ενημέρωσης κώδικα, το πιο πρόσφατο επίπεδο ενημέρωσης κώδικα ασφαλείας και άλλα χαρακτηριστικά. ο βάση δεδομένων περιλαμβάνει επί του παρόντος smartphone όπως το Samsung Galaxy S20 (Exynos), το Nokia 5.3, το Google Pixel 4, το Xiaomi Redmi Note 7, το Huawei P40, το Sony Xperia 10 και άλλα.
Η ομιλία φέρνει στο προσκήνιο το ζήτημα του τρόπου με τον οποίο οι OEM smartphones έχουν επί του παρόντος λίγα κίνητρα και μετρήσιμο κίνητρο για την παροχή γρήγορων και σχετικών ενημερώσεων ασφαλείας σε όλο το smartphone τους χαρτοφυλάκιο. Η υποστήριξη μετά την πώληση smartphone εξακολουθεί να επικεντρώνεται στα όρια των ενημερώσεων έκδοσης Android και των επισκευών συσκευών—και δεν δίνεται μεγάλη σημασία στη συνολική ασφάλεια της συσκευής. Οι ενημερώσεις ασφαλείας δεν είναι μια μέτρηση που μπορεί εύκολα ένα τμήμα μάρκετινγκ "ΠουλώΓια τους περισσότερους τελικούς καταναλωτές για μελλοντικά smartphone, επομένως η απόδοση σε αυτόν τον τομέα παραμένει ανεπαρκής. Και λόγω της τεράστιας ποικιλίας των smartphone που κυκλοφόρησαν και των αναρίθμητων ενημερώσεων σε αυτά με την πάροδο των ετών, η συλλογή και ο ποσοτικός προσδιορισμός αυτών των δεδομένων είναι επίσης ένα τεράστιο έργο. Για παράδειγμα, η Samsung τα πάει πολύ καλά όσον αφορά την παροχή ενημερώσεων ασφαλείας στο υπάρχον χαρτοφυλάκιο συσκευών της, όπως η Galaxy S10, Galaxy Z Flip, Galaxy A50, Σειρά Galaxy Note 10, Galaxy A70, και της σειράς Galaxy S20—αλλά απομένουν ακόμη τόσες πολλές συσκευές για αξιολόγηση και λείπει επίσης ένα μεγαλύτερο γράφημα προόδου ενημέρωσης ασφαλείας για να παρέχει το ιστορικό πλαίσιο.
Η βάση δεδομένων ασφαλείας συσκευής Android προσπαθεί να το διορθώσει με κάποιο τρόπο. Το 2015, όταν αναλήφθηκε μια παρόμοια πρωτοβουλία, η ομάδα είχε μετρήσει την ασφάλεια των συσκευών Android και τους έδωσε βαθμολογία στα 10. Η παλιά προσέγγιση είχε μερικούς περιορισμούς, καθώς επικεντρωνόταν σε μεγάλο βαθμό στην αξιολόγηση του εάν μια συσκευή ήταν ευαίσθητη σε γνωστά τρωτά σημεία ή όχι. Η παλαιότερη προσέγγιση δεν έλαβε υπόψη άλλες πτυχές της ασφάλειας της συσκευής, επομένως η τρέχουσα προσέγγιση επιχειρεί να ρίξει μια πολύ πιο ολιστική ματιά στη συνολική ασφάλεια της συσκευής.
Ένας τομέας στον οποίο η ομάδα θέλει να εξερευνήσει πολύ περισσότερο είναι ο τρόπος με τον οποίο αποδίδουν οι προεγκατεστημένες εφαρμογές στο πλαίσιο της ασφάλειας και του απορρήτου των χρηστών. Οι προεγκατεστημένες εφαρμογές έχουν συχνά αυξημένα δικαιώματα που έχουν εκ των προτέρων χορηγηθεί σε επίπεδο πλατφόρμας. Έχουμε δει αυξημένη προσοχή στις προεγκατεστημένες εφαρμογές τον τελευταίο καιρό—μερικές φορές εκδηλώνεται με τη μορφή παράπονα για διαφημίσεις σε προεγκατεστημένες εφαρμογές Samsung, και μερικές φορές παίρνει τη μορφή α πανελλαδική απαγόρευση πολλών προεγκατεστημένων εφαρμογών Xiaomi Mi. Πώς ασκεί κανείς επίβλεψη αυτών των προεγκατεστημένες εφαρμογές από OEM;
Η ερευνητική ομάδα αντιμετωπίζει αυτό το ζήτημα προτείνοντας περισσότερη διαφάνεια και υπευθυνότητα σχετικά με το ποιες εφαρμογές είναι προεγκατεστημένες σε μια συσκευή και τι έχουν άδεια να κάνουν. Για να γίνει αυτό, η ομάδα θέλει επίσης να προσθέσει μια αξιολόγηση κινδύνου εφαρμογής στη βάση δεδομένων της και τελικά να δημιουργήσει ένα σύστημα αξιολόγησης για την κατάταξη των συσκευών σε αυτήν την πτυχή. Η ερευνητική ομάδα θέλει επίσης τη μεθοδολογία της να αξιολογηθεί από ομοτίμους και αναζητά σχόλια από άλλους ερευνητές ασφαλείας σχετικά με τις πτυχές της ασφάλειας των προεγκατεστημένες εφαρμογές που πρέπει να εξετάσουν.
Η βάση δεδομένων στοχεύει να γίνει σημείο αναφοράς για την αξιολόγηση της συνολικής ασφάλειας μιας συσκευής και της ολιστικής εμπειρίας ασφάλειας για έναν OEM. Η πρωτοβουλία είναι σίγουρα ένα έργο σε εξέλιξη σε αυτό το στάδιο και τα μελλοντικά σχέδια περιλαμβάνουν την ανάπτυξη μιας εφαρμογής που συλλέγει ασφάλεια χαρακτηρίζει με ανώνυμο τρόπο και το παρουσιάζει με συγκρίσιμο τρόπο με τους τελικούς χρήστες—όπως ακριβώς η απόδοση της τρέχουσας γενιάς λειτουργούν τα σημεία αναφοράς. Με αρκετούς χρήστες που προσφέρουν εθελοντικά αυτά τα δεδομένα στο έργο, μπορεί κανείς να ελπίζει ότι το έργο θα γίνει ένα βιώσιμο σημείο αναφοράς ασφαλείας που μπορεί να χρησιμοποιηθεί για την αξιολόγηση των συνολικών πρακτικών ασφαλείας ενός OEM. Αν και οι προηγούμενες επιδόσεις σίγουρα δεν αποτελούν εγγύηση για μελλοντικές ενέργειες, αυτή η βάση δεδομένων/σημείο αναφοράς θα εξακολουθούσε να απλοποιεί το αδιαφανές και περίπλοκο χάος που είναι αυτή τη στιγμή η κατάσταση της ασφάλειας Android ένα ΛΣ.