Les chercheurs travaillent sur une base de données sur la sécurité des appareils Android, un projet qui vise à mesurer, quantifier et comparer la sécurité des appareils entre les constructeurs OEM.
Les utilisateurs d'Android disposent de nombreuses options en matière d'appareils, avec une combinaison variée de spécifications, de fonctionnalités et de budgets d'appareils différents. Nous n'avons que l'embarras du choix, mais cela déroute les utilisateurs lorsqu'il s'agit de fonctionnalités qui ne peuvent pas être facilement mesurées et comparées. Prenez, par exemple, le statut de sécurité Android. L’état actuel de la sécurité Android est loin d’être parfait et la situation devient encore plus complexe selon les différents constructeurs OEM et les différentes régions. Ainsi, si vous deviez comparer deux OEM différents sur la manière dont ils ont fourni des mises à jour de sécurité sur l’ensemble de leur portefeuille, la réponse ne sera peut-être pas facile à trouver. Un groupe de chercheurs a décidé de remédier à cette situation en créant une base de données d'appareils Android en se concentrant sur leur niveau de sécurité global.
Au Événement virtuel du Symposium sur la sécurité Android 2020, un groupe de chercheurs dont M. Daniel R. Thomas, M. Alastair R. Beresfor et M. René Mayrhofer ont présenté une conférence intitulée "Android Device Security Database".
Nous vous recommandons de regarder la présentation pour avoir une meilleure idée des intentions et des objectifs de la base de données, mais nous ferons également de notre mieux pour résumer les informations ci-dessous.
Le but derrière le Base de données de sécurité des appareils Android est de "recueillir et publier des données pertinentes sur la posture de sécurité" des appareils Android. Ceci comprend informations sur les attributs comme la fréquence moyenne des correctifs, le délai maximal garanti des correctifs, le dernier niveau de correctif de sécurité et d'autres attributs. Le la base de données comprend actuellement des smartphones comme le Samsung Galaxy S20 (Exynos), le Nokia 5.3, le Google Pixel 4, le Xiaomi Redmi Note 7, le Huawei P40, le Sony Xperia 10, et plus encore.
L'exposé soulève la question du manque de motivation et de motivation des constructeurs de smartphones. incitation quantifiable à fournir des mises à jour de sécurité rapides et pertinentes sur leur smartphone portefeuille. Le service après-vente des smartphones se concentre toujours sur les limites des mises à jour des versions d'Android et des réparations des appareils, et la sécurité globale des appareils n'a pas beaucoup d'importance. Les mises à jour de sécurité ne sont pas une mesure qu'un service marketing peut facilement "vendre" à la plupart des consommateurs finaux pour les futurs smartphones, les performances dans ce domaine restent donc insuffisantes. Et en raison de la grande variété de smartphones commercialisés et des innombrables mises à jour apportées au fil des années, la collecte et la quantification de ces données constituent également une tâche gargantuesque. Par exemple, Samsung a très bien réussi à fournir des mises à jour de sécurité à son portefeuille d'appareils existant, comme le Galaxy S10, Galaxy Z Flip, Galaxy A50, Série Galaxy Note 10, Galaxy A70, et la série Galaxy S20- mais il reste encore beaucoup d'appareils à évaluer et il manque également un tableau plus détaillé de la progression des mises à jour de sécurité pour fournir un contexte historique.
La base de données de sécurité des appareils Android tente de résoudre ce problème d'une manière ou d'une autre. En 2015, lorsqu'une initiative similaire avait été entreprise, l'équipe avait mesuré la sécurité des appareils Android et leur avait attribué une note sur 10. L’ancienne approche présentait quelques limites, car elle se concentrait fortement sur l’évaluation si un appareil était sensible ou non à des vulnérabilités connues. L’ancienne approche ne prenait pas en compte d’autres aspects de la sécurité des appareils. L’approche actuelle tente donc d’adopter une vision beaucoup plus globale de la sécurité globale des appareils.
L’un des domaines que l’équipe souhaite explorer davantage est celui des performances des applications préinstallées dans le contexte de la sécurité et de la confidentialité des utilisateurs. Les applications préinstallées disposent souvent d'autorisations élevées qui sont pré-accordées au niveau de la plate-forme. Nous avons récemment constaté une attention accrue portée aux applications préinstallées. Cela se manifeste parfois sous la forme de plaintes concernant les publicités dans les applications Samsung préinstallées, et parfois cela prend la forme d'un interdiction à l'échelle nationale de plusieurs applications Xiaomi Mi préinstallées. Comment exercer un contrôle sur ces applications préinstallées par les OEM ?
L’équipe de recherche aborde cette question en recommandant plus de transparence et de responsabilité quant aux applications préinstallées sur un appareil et à ce qu’elles sont autorisées à faire. Pour ce faire, l’équipe souhaite également ajouter une évaluation des risques liés aux applications dans leur base de données et éventuellement créer un système d’évaluation pour classer les appareils sur cet aspect. L'équipe de recherche souhaite également que sa méthodologie soit examinée par des pairs et sollicite les commentaires d'autres chercheurs en sécurité sur les aspects de la sécurité des applications préinstallées qu'ils devraient examiner.
La base de données vise à devenir une référence pour évaluer la sécurité globale d’un appareil et l’expérience de sécurité globale pour un OEM. L'initiative est définitivement en cours à ce stade, et les projets futurs incluent le développement d'une application qui collecte les données de sécurité. attributs de manière anonyme et les présente de manière comparable aux utilisateurs finaux, un peu comme la façon dont les performances de la génération actuelle les repères fonctionnent. Avec suffisamment d’utilisateurs fournissant volontairement ces données au projet, on peut espérer que le projet deviendra une référence de sécurité viable pouvant être utilisée pour évaluer les pratiques de sécurité globales d’un OEM. Même si les performances passées ne constituent certainement pas une garantie des actions futures, cette base de données/référence simplifierait encore le désordre opaque et complexe qui est actuellement l'état de la sécurité Android car un système d'exploitation.