Los investigadores están trabajando en una base de datos de seguridad de dispositivos Android, un proyecto que tiene como objetivo medir, cuantificar y comparar la seguridad de los dispositivos entre fabricantes de equipos originales.
Los usuarios de Android tienen numerosas opciones en lo que respecta a dispositivos, con una variada combinación de especificaciones, características y diferentes presupuestos de dispositivos. Tenemos muchas opciones para elegir, pero esto confunde a los usuarios cuando se trata de características que no se pueden medir y comparar fácilmente. Tomemos, por ejemplo, el estado de seguridad de Android. El estado actual de la seguridad de Android está lejos de ser perfecto y la situación se vuelve aún más compleja en diferentes OEM y diferentes regiones. Entonces, si tuviera que comparar dos OEM diferentes sobre qué tan bien han entregado actualizaciones de seguridad en su cartera, es posible que la respuesta no se encuentre fácilmente. Un grupo de investigadores se ha encargado de remediar esta situación creando una base de datos de dispositivos Android centrándose en su nivel de seguridad general.
En el Evento virtual del Simposio de seguridad de Android 2020, un grupo de investigadores entre los que se encontraba el Sr. Daniel R. Thomas, Sr. Alastair R. Beresfor y el Sr. René Mayrhofer presentaron una charla denominada "Base de datos de seguridad de dispositivos Android".
Recomendamos ver la charla para tener una mejor idea de las intenciones y propósitos de la base de datos, pero también haremos nuestro mejor esfuerzo para resumir la información a continuación.
El propósito detrás del Base de datos de seguridad de dispositivos Android Es para "recopilar y publicar datos relevantes sobre la postura de seguridad" de los dispositivos Android. Esto incluye información sobre atributos como la frecuencia promedio de parches, el retraso máximo garantizado de parches, el último nivel de parche de seguridad y otros atributos. El La base de datos incluye actualmente teléfonos inteligentes como el Samsung Galaxy S20 (Exynos), Nokia 5.3, Google Pixel 4, Xiaomi Redmi Note 7, Huawei P40, Sony Xperia 10 y más.
La charla plantea la cuestión de cómo los OEM de teléfonos inteligentes actualmente tienen poca motivación y Incentivo cuantificable para proporcionar actualizaciones de seguridad rápidas y relevantes en sus teléfonos inteligentes. portafolio. El soporte posventa de teléfonos inteligentes todavía se centra en los límites de las actualizaciones de la versión de Android y las reparaciones de dispositivos, y no se le da mucha importancia a la seguridad general del dispositivo. Las actualizaciones de seguridad no son una métrica que un departamento de marketing pueda fácilmente"vender" a la mayoría de los consumidores finales para futuros teléfonos inteligentes, por lo que sigue siendo deficiente el rendimiento en esta área. Y debido a la enorme variedad de teléfonos inteligentes lanzados y las innumerables actualizaciones que han recibido a lo largo de los años, recopilar y cuantificar estos datos también es una tarea gigantesca. Por ejemplo, a Samsung le ha ido muy bien en términos de proporcionar actualizaciones de seguridad a su cartera existente de dispositivos, como el Galaxy S10, Galaxy Z Flip, Galaxy A50, Serie Galaxy Note 10, Galaxy A70, y la serie Galaxy S20—Pero todavía quedan muchos más dispositivos por evaluar y también falta un gráfico de progreso de actualización de seguridad más amplio para proporcionar un contexto histórico.
La base de datos de seguridad de dispositivos Android intenta solucionar este problema de alguna manera. En 2015, cuando se llevó a cabo una iniciativa similar, el equipo midió la seguridad de los dispositivos Android y les dio una puntuación sobre 10. El antiguo enfoque tenía algunas limitaciones, ya que se centraba en gran medida en evaluar si un dispositivo era susceptible a vulnerabilidades conocidas o no. El enfoque anterior no consideraba otros aspectos de la seguridad del dispositivo, por lo que el enfoque actual intenta adoptar una visión mucho más holística de la seguridad general del dispositivo.
Un área donde el equipo quiere explorar mucho más es cómo funcionan las aplicaciones preinstaladas en el contexto de la seguridad y la privacidad del usuario. Las aplicaciones preinstaladas suelen tener permisos elevados que se otorgan previamente a nivel de plataforma. Hemos visto una mayor atención hacia las aplicaciones preinstaladas en los últimos tiempos; a veces se manifiesta en forma de quejas sobre anuncios en aplicaciones Samsung preinstaladas, y a veces toma la forma de un prohibición a nivel nacional contra varias aplicaciones Xiaomi Mi preinstaladas. ¿Cómo se ejerce la supervisión de estas aplicaciones preinstaladas por parte de los OEM?
El equipo de investigación está abordando esta cuestión recomendando más transparencia y responsabilidad sobre qué aplicaciones están preinstaladas en un dispositivo y qué tienen permiso para hacer. Para hacer esto, el equipo también quiere agregar una calificación de riesgo de la aplicación a su base de datos y, eventualmente, crear un sistema de calificación para clasificar los dispositivos según este aspecto. El equipo de investigación también quiere que su metodología sea revisada por pares y está buscando comentarios de otros investigadores de seguridad sobre qué aspectos de la seguridad de las aplicaciones preinstaladas deberían considerar.
La base de datos pretende convertirse en un punto de referencia para evaluar la seguridad general de un dispositivo y la experiencia de seguridad integral para un OEM. La iniciativa es definitivamente un trabajo en progreso en esta etapa, y los planes futuros incluyen el desarrollo de una aplicación que recopile datos de seguridad. atributos de manera anónima y los presenta de manera comparable a los usuarios finales, de manera muy similar a como se muestra el rendimiento de la generación actual. Los puntos de referencia funcionan. Con suficientes usuarios ofreciendo voluntariamente estos datos al proyecto, se puede esperar que el proyecto se convierta en un punto de referencia de seguridad viable que pueda usarse para evaluar las prácticas generales de seguridad de un OEM. Si bien el desempeño pasado ciertamente no es garantía de acciones futuras, esta base de datos/punto de referencia seguiría simplificando el lío opaco y complejo que es actualmente el estado de seguridad de Android como un sistema operativo.