Tutkijat työskentelevät Android Device Security Database -projektin parissa, jonka tavoitteena on mitata, mitata ja vertailla laiteturvallisuutta OEM-valmistajien välillä.
Android-käyttäjillä on lukuisia vaihtoehtoja laitteissa, joissa on erilaisia teknisiä ominaisuuksia, ominaisuuksia ja erilaisia laitebudjetteja. Olemme valinnan hemmoteltuja, mutta tämä hämmentää käyttäjiä sellaisten ominaisuuksien suhteen, joita ei voi helposti mitata ja verrata. Otetaan esimerkiksi Android-suojauksen tila. Android-suojauksen nykyinen tila ei ole läheskään täydellinen, ja tilanne muuttuu entistä monimutkaisemmaksi eri OEM-valmistajilla ja eri alueilla. Joten jos sinun täytyisi vertailla kahta eri OEM-valmistajaa sen suhteen, kuinka hyvin ne ovat toimittaneet tietoturvapäivitykset koko valikoimaansa, vastausta ei välttämättä löydy helposti. Ryhmä tutkijoita on ryhtynyt korjaamaan tilannetta rakentamalla tietokannan Android-laitteista, jotka keskittyvät niiden yleiseen tietoturvatasoon.
klo virtuaalinen Android Security Symposium 2020 -tapahtuma
, ryhmä tutkijoita, mukaan lukien herra Daniel R. Thomas, herra Alastair R. Beresfor ja René Mayrhofer pitivät puheen nimeltä "Android Device Security Database".Suosittelemme katsomaan keskustelua saadaksesi paremman käsityksen tietokannan tarkoituksesta, mutta teemme myös parhaamme kiteyttääksemme alla olevat tiedot.
Takana oleva tarkoitus Android-laitteen suojaustietokanta on "kerätä ja julkaista olennaista tietoa turva-asennosta" Android-laitteista. Tämä sisältää tietoja ominaisuuksista kuten keskimääräinen korjaustiedoston taajuus, taattu enimmäiskorjausviive, viimeisin suojauskorjaustaso ja muut attribuutit. The tietokanta sisältää tällä hetkellä älypuhelimet, kuten Samsung Galaxy S20 (Exynos), Nokia 5.3, Google Pixel 4, Xiaomi Redmi Note 7, Huawei P40, Sony Xperia 10 ja muut.
Keskustelu tuo esiin kysymyksen siitä, kuinka älypuhelinten OEM-valmistajilla on tällä hetkellä vähän motivaatiota ja mitattavissa oleva kannustin tarjota nopeita ja osuvia tietoturvapäivityksiä älypuhelimeensa portfolio. Älypuhelinten myynnin jälkeinen tuki keskittyy edelleen Android-versiopäivitysten ja laitekorjausten rajojen ympärille, eikä laitteen yleistä turvallisuutta pidetä kovinkaan tärkeänä. Tietoturvapäivitykset eivät ole mittari, jonka markkinointiosasto voi helposti "myydä" useimmille loppukäyttäjille tulevia älypuhelimia varten, joten suorituskyky tällä alueella on edelleen puutteellista. Ja koska älypuhelimia on julkaistu valtavasti ja niihin on tehty lukemattomia päivityksiä vuosien varrella, näiden tietojen kerääminen ja kvantifiointi on myös valtava tehtävä. Esimerkiksi Samsung on menestynyt erittäin hyvin tietoturvapäivitysten tarjoamisessa olemassa olevaan laitevalikoimaansa, kuten Galaxy S10, Galaxy Z Flip, Galaxy A50, Galaxy Note 10 -sarja, Galaxy A70, ja Galaxy S20 -sarja— mutta arvioitavana on vielä paljon enemmän laitteita, ja laajempi tietoturvapäivityksen edistymiskaavio puuttuu myös historiallisen kontekstin tarjoamiseksi.
Android-laitteen suojaustietokanta yrittää korjata tämän jollain tavalla. Vuonna 2015, kun vastaava aloite tehtiin, tiimi oli mitannut Android-laitteiden turvallisuuden ja antanut niille pisteet 10:stä. Vanhalla lähestymistavalla oli muutamia rajoituksia, koska se keskittyi voimakkaasti arvioimaan, oliko laite herkkä tunnetuille haavoittuvuuksille vai ei. Vanhassa lähestymistavassa ei otettu huomioon muita laiteturvallisuuden näkökohtia, joten nykyisessä lähestymistavassa yritetään tarkastella laitteen yleistä turvallisuutta paljon kokonaisvaltaisemmin.
Yksi alue, jolla tiimi haluaa tutkia paljon enemmän, on esiasennettujen sovellusten suorituskyky turvallisuuden ja käyttäjien yksityisyyden kannalta. Esiasennetuilla sovelluksilla on usein korotetut käyttöoikeudet, jotka on etukäteen myönnetty alustatasolla. Olemme nähneet viime aikoina lisääntynyttä huomiota esiasennettuihin sovelluksiin – joskus se ilmenee mm. esiasennettujen Samsung-sovellusten mainoksia koskevat valitukset, ja joskus se on muodossa a valtakunnallinen kielto useille esiasennetuille Xiaomi Mi -sovelluksille. Miten näitä OEM-valmistajien esiasennettuja sovelluksia valvotaan?
Tutkimusryhmä käsittelee tätä kysymystä suosittelemalla lisää läpinäkyvyyttä ja vastuullisuutta sen suhteen, mitä sovelluksia laitteelle on esiasennettu ja mitä niillä on lupa tehdä. Tätä varten tiimi haluaa myös lisätä sovelluksen riskiluokituksen tietokantaansa ja lopulta luoda luokitusjärjestelmän laitteiden luokittelemiseksi tällä näkökohdalla. Tutkimusryhmä haluaa myös vertaisarvioitavan menetelmänsä ja pyytää muilta tietoturvatutkijoilta palautetta siitä, mitä esiasennettujen sovellusten turvallisuuden näkökohtia heidän tulisi tutkia.
Tietokannasta on tarkoitus tulla vertailukohta laitteen yleisen turvallisuuden ja OEM: n kokonaisvaltaisen tietoturvakokemuksen arvioinnissa. Aloite on tässä vaiheessa ehdottomasti työn alla, ja tulevaisuuden suunnitelmiin kuuluu turvallisuutta keräävän sovelluksen kehittäminen määrittää anonyymisti ja esittää sen vertailukelpoisella tavalla loppukäyttäjille – aivan kuten nykyisen sukupolven suorituskyky vertailuarvot toimivat. Kun tarpeeksi käyttäjiä vapaaehtoisesti toimittaa nämä tiedot projektiin, voidaan toivoa, että projektista tulee elinkelpoinen tietoturvavertailu, jota voidaan käyttää arvioitaessa OEM: n yleisiä tietoturvakäytäntöjä. Vaikka aiempi suorituskyky ei todellakaan takaa tulevaa toimintaa, tämä tietokanta/benchmark yksinkertaistaisi silti sitä läpinäkymätöntä ja monimutkaista sotkua, joka on tällä hetkellä Android-suojauksen tila käyttöjärjestelmä.