Android Device Security Database võrdleb Androidi nutitelefoni turvalisust

Teadlased töötavad Android-seadmete turbeandmebaasi kallal – projektil, mille eesmärk on mõõta, kvantifitseerida ja võrrelda seadme turvalisust OEM-ide lõikes.

Android-kasutajatel on seadmete osas palju valikuvõimalusi, millel on mitmekesine spetsifikatsioonide, funktsioonide ja erinevate seadmeeelarvete kombinatsioon. Oleme valikuga hellitatud, kuid see ajab kasutajad segadusse, kui rääkida funktsioonidest, mida ei saa lihtsalt mõõta ja võrrelda. Võtke näiteks Androidi turvalisuse olek. Androidi turvalisuse praegune seis pole kaugeltki täiuslik ja olukord muutub erinevate originaalseadmete tootjate ja piirkondade lõikes veelgi keerulisemaks. Nii et kui peaksite võrdlema kahte erinevat originaalseadmete tootjat selle kohta, kui hästi nad on oma portfellis turvavärskendusi tarninud, ei pruugi vastust kergesti leida. Rühm teadlasi on võtnud endale ülesandeks see olukord parandada, luues Android-seadmete andmebaasi, mis keskendub nende üldisele turbetasemele.

Juures virtuaalne Android Security Symposium 2020 üritus

, teadlaste rühm, sealhulgas hr Daniel R. Thomas, hr Alastair R. Beresfor ja hr René Mayrhofer pidasid kõne nimega "Android-seadme turbeandmebaas".

Soovitame vestlust vaadata, et saada parem ülevaade andmebaasi kavatsustest ja eesmärkidest, kuid anname endast parima ka alloleva teabe kapseldamiseks.

Selle taga olev eesmärk Androidi seadme turvalisuse andmebaas on "koguda ja avaldada asjakohaseid andmeid turvaasendi kohta" Android-seadmetest. See sisaldab teave atribuutide kohta nagu keskmine paikade sagedus, garanteeritud maksimaalne paiga viivitus, uusim turvapaiga tase ja muud atribuudid. The andmebaas praegu sisaldab nutitelefonid nagu Samsung Galaxy S20 (Exynos), Nokia 5.3, Google Pixel 4, Xiaomi Redmi Note 7, Huawei P40, Sony Xperia 10 ja palju muud.

Vestlus tõstatab teema, kuidas nutitelefonide originaalseadmete tootjatel on praegu vähe motivatsiooni ja mõõdetav stiimul pakkuda kiireid ja asjakohaseid turvavärskendusi kogu oma nutitelefonis portfell. Nutitelefonide müügijärgne tugi on endiselt keskendunud Androidi versiooniuuenduste ja seadmete parandamise piiridele ning seadme üldisele turvalisusele ei pöörata erilist tähelepanu. Turbevärskendused ei ole mõõdik, mida turundusosakond hõlpsasti saaksmüüa" enamikule lõpptarbijatele tulevaste nutitelefonide jaoks, nii et jõudlus selles valdkonnas on endiselt puudulik. Ja kuna välja antud nutitelefonid on väga erinevad ja neid on aastate jooksul tehtud lugematul hulgal uuendusi, on nende andmete kogumine ja kvantifitseerimine samuti tohutu ülesanne. Näiteks Samsungil on läinud väga hästi oma olemasolevale seadmete portfellile, nagu näiteks, turvavärskenduste pakkumisel Galaxy S10, Galaxy Z Flip, Galaxy A50, Galaxy Note 10 seeria, Galaxy A70, ja Galaxy S20 seeria— kuid veel on veel palju seadmeid, mida hinnata, ja ajaloolise konteksti pakkumiseks puudub ka suurem turvavärskenduste edenemise diagramm.

Android-seadme turbeandmebaas püüab seda mingil viisil parandada. 2015. aastal, kui sarnane algatus ette võeti, oli meeskond mõõtnud Android-seadmete turvalisust ja andnud neile hinde 10-st. Vanal lähenemisviisil oli mõned piirangud, kuna see keskendus suuresti sellele, kas seade on teadaolevate haavatavuste suhtes vastuvõtlik või mitte. Vanem lähenemine ei võtnud arvesse seadme turvalisuse muid aspekte, seega üritab praegune lähenemisviis vaadata seadme üldist turvalisust palju terviklikumalt.

Üks valdkond, mida meeskond soovib palju rohkem uurida, on eelinstallitud rakenduste toimimine turvalisuse ja kasutajate privaatsuse kontekstis. Eelinstallitud rakendustel on sageli kõrgendatud õigused, mis on eelnevalt antud platvormi tasemel. Oleme viimasel ajal näinud suuremat tähelepanu eelinstallitud rakendustele – mõnikord avaldub see kaebused eelinstallitud Samsungi rakenduste reklaamide kohtaja mõnikord on see a üleriigiline keeld mitmele eelinstallitud Xiaomi Mi rakendusele. Kuidas teostada OEM-i eelinstallitud rakenduste järelevalvet?

Uurimisrühm tegeleb selle küsimusega, soovitades suuremat läbipaistvust ja vastutust selle osas, millised rakendused on seadmesse eelinstallitud ja mida neil on luba teha. Selleks soovib meeskond lisada oma andmebaasi rakenduse riskireitingi ja lõpuks luua hindamissüsteemi seadmete selle aspekti järgi järjestamiseks. Uurimisrühm soovib ka selle metoodika eelretsenseerimist ja otsib teistelt turvateadlastelt tagasisidet selle kohta, milliseid eelinstallitud rakenduste turvalisuse aspekte nad peaksid uurima.

Andmebaasi eesmärk on saada võrdlusaluseks seadme üldise turvalisuse ja OEM-i tervikliku turbekogemuse hindamisel. Algatus on praeguses etapis kindlasti pooleliolev ja tulevikuplaanides on ka turvalisust koguva rakenduse väljatöötamine atribuudid anonüümselt ja esitavad seda lõppkasutajatele võrreldaval viisil – sarnaselt praeguse põlvkonna jõudlusega etalonid töötavad. Kui piisavalt kasutajaid lisab need andmed projekti vabatahtlikult, võib loota, et projektist saab elujõuline turbeetalon, mida saab kasutada OEM-i üldiste turvatavade hindamiseks. Kuigi varasem tootlus ei garanteeri kindlasti tulevasi meetmeid, on see andmebaas/võrdlusalus lihtsustaks siiski läbipaistmatut ja keerulist segadust, mis praegu on Androidi turvalisuse seisukorras OS.