Istraživači rade na Android Device Security Database - projektu koji ima za cilj izmjeriti, kvantificirati i usporediti sigurnost uređaja među proizvođačima originalne opreme.
Korisnici Androida imaju brojne mogućnosti kada su u pitanju uređaji, s raznolikom kombinacijom specifikacija, značajki i različitih proračuna uređaja. Razmaženi smo izborom, ali to zbunjuje korisnike kada su u pitanju značajke koje se ne mogu lako izmjeriti i usporediti. Uzmimo, na primjer, sigurnosni status Androida. Trenutačno stanje sigurnosti Androida daleko je od savršenog, a situacija postaje još složenija među različitim proizvođačima originalne opreme i različitim regijama. Dakle, ako biste morali usporediti dva različita OEM-a o tome koliko su dobro isporučili sigurnosna ažuriranja u svom portfelju, odgovor možda neće biti lako pronaći. Grupa istraživača preuzela je na sebe rješavanje ove situacije izgradnjom baze podataka Android uređaja usredotočujući se na njihovu ukupnu razinu sigurnosti.
na virtualni događaj Android Security Symposium 2020
, skupina istraživača uključujući gospodina Daniela R. Thomas, g. Alastair R. Beresfor, a gospodin René Mayrhofer predstavio je govor pod nazivom "Baza podataka o sigurnosti Android uređaja".Preporučamo da pogledate razgovor kako biste stekli bolju predodžbu o namjerama i svrsi baze podataka, ali također ćemo se potruditi sažeti informacije u nastavku.
Svrha iza Sigurnosna baza podataka Android uređaja je "prikupiti i objaviti relevantne podatke o sigurnosnom stanju" Android uređaja. Ovo uključuje informacije o atributima poput prosječne učestalosti zakrpa, zajamčenog maksimalnog kašnjenja zakrpa, najnovije razine sigurnosne zakrpe i drugih atributa. The baza podataka trenutno uključuje pametni telefoni kao što su Samsung Galaxy S20 (Exynos), Nokia 5.3, Google Pixel 4, Xiaomi Redmi Note 7, Huawei P40, Sony Xperia 10 i drugi.
Razgovor pokreće pitanje kako proizvođači originalne opreme pametnih telefona trenutno imaju malo motivacije i mjerljivi poticaj za pružanje brzih i relevantnih sigurnosnih ažuriranja na svom pametnom telefonu portfelj. Podrška za pametne telefone nakon prodaje i dalje je usredotočena na ograničenja ažuriranja verzije Androida i popravaka uređaja—a općoj sigurnosti uređaja ne pridaje se velika važnost. Sigurnosna ažuriranja nisu mjera koju marketinški odjel može lako "prodavati" većini krajnjih potrošača za buduće pametne telefone, tako da performanse u ovom području i dalje nedostaju. A zbog ogromne raznolikosti izdanih pametnih telefona i bezbrojnih ažuriranja na njima tijekom godina, prikupljanje i kvantificiranje ovih podataka također je ogroman zadatak. Na primjer, Samsungu je išlo vrlo dobro u smislu osiguravanja sigurnosnih ažuriranja za svoj postojeći portfelj uređaja, poput Galaxy S10, Galaxy Z Flip, Galaxy A50, Serija Galaxy Note 10, Galaxy A70, i serije Galaxy S20— ali još uvijek ima toliko više uređaja za procjenu, a nedostaje i veća dijagram napretka sigurnosnog ažuriranja da bi se pružio povijesni kontekst.
Sigurnosna baza podataka Android uređaja pokušava to na neki način popraviti. Kada je 2015. godine pokrenuta slična inicijativa, tim je mjerio sigurnost Android uređaja i dao im ocjenu od 10. Stari pristup imao je nekoliko ograničenja, budući da se snažno usredotočio na procjenu je li uređaj osjetljiv na poznate ranjivosti ili ne. Stariji pristup nije razmatrao druge aspekte sigurnosti uređaja, tako da sadašnji pristup pokušava holistički sagledati cjelokupnu sigurnost uređaja.
Jedno područje koje tim želi dalje istražiti je kako se unaprijed instalirane aplikacije ponašaju u kontekstu sigurnosti i privatnosti korisnika. Unaprijed instalirane aplikacije često imaju povišena dopuštenja koja su unaprijed dodijeljena na razini platforme. U posljednje vrijeme primijetili smo povećanu pozornost prema unaprijed instaliranim aplikacijama—ponekad se manifestira u obliku pritužbe na oglase u unaprijed instaliranim Samsungovim aplikacijama, a ponekad ima oblik a nacionalna zabrana nekoliko unaprijed instaliranih Xiaomi Mi aplikacija. Kako se vrši nadzor nad ovim unaprijed instaliranim aplikacijama od strane OEM-a?
Istraživački tim bavi se ovim pitanjem preporučujući veću transparentnost i odgovornost u pogledu toga koje su aplikacije unaprijed instalirane na uređaju i za što imaju dopuštenja. Kako bi to učinio, tim također želi dodati ocjenu rizika aplikacije u svoju bazu podataka i na kraju stvoriti sustav ocjenjivanja za rangiranje uređaja prema ovom aspektu. Istraživački tim također želi recenziju svoje metodologije i traži povratne informacije od drugih sigurnosnih istraživača o tome koje aspekte sigurnosti unaprijed instaliranih aplikacija trebaju razmotriti.
Baza podataka ima za cilj postati mjerilo za procjenu ukupne sigurnosti uređaja i holističkog sigurnosnog iskustva za OEM. Inicijativa je definitivno u tijeku u ovoj fazi, a budući planovi uključuju razvoj aplikacije koja prikuplja sigurnost atribute na anoniman način i predstavlja ih na usporediv način krajnjim korisnicima—slično kao performanse trenutne generacije mjerila rada. Uz dovoljan broj korisnika koji dobrovoljno prilažu ove podatke projektu, možemo se nadati da će projekt postati održiva sigurnosna referentna vrijednost koja se može koristiti za procjenu cjelokupne sigurnosne prakse OEM-a. Dok prošli učinak sigurno nije jamstvo za buduće radnje, ova baza podataka/mjera i dalje bi pojednostavio neproziran i složen nered koji je trenutno stanje sigurnosti Androida kao OS.