A kutatók egy Android-eszközbiztonsági adatbázison dolgoznak – egy olyan projekten, amelynek célja az OEM-ek eszközbiztonságának mérése, számszerűsítése és összehasonlítása.
Az Android-felhasználók számos lehetőség közül választhatnak, ha az eszközökről van szó, a specifikációk, funkciók és különböző eszközköltségvetések változatos kombinációjával. El vagyunk kényeztetve a választástól, de ez megzavarja a felhasználókat, amikor olyan funkciókról van szó, amelyeket nem lehet könnyen mérni és összehasonlítani. Vegyük például az Android biztonsági állapotát. Az Android biztonságának jelenlegi állapota korántsem tökéletes, és a helyzet még bonyolultabbá válik a különböző OEM-ek és régiók között. Tehát ha össze kellene hasonlítania két különböző OEM-et, hogy mennyire teljesítették a biztonsági frissítéseket a portfóliójukban, akkor nem biztos, hogy könnyű megtalálni a választ. Kutatók egy csoportja úgy döntött, hogy orvosolja ezt a helyzetet az Android-eszközök adatbázisának létrehozásával, amely az általános biztonsági szintre összpontosít.
A virtuális Android Security Symposium 2020 esemény, egy kutatócsoport, köztük Mr. Daniel R. Thomas, Mr. Alastair R. Beresfor és René Mayrhofer úr előadást tartott az "Android-eszköz biztonsági adatbázisa" címmel.
Javasoljuk, hogy nézze meg a beszélgetést, hogy jobb képet kapjon az adatbázis szándékairól és céljairól, de mindent megteszünk az alábbi információk összefoglalása érdekében.
A cél mögött a Android Device Security Database az, hogy "összegyűjti és közzéteszi a biztonsági helyzettel kapcsolatos releváns adatokat" az Android készülékek közül. Ebbe beletartozik attribútumokkal kapcsolatos információk mint az átlagos javítási gyakoriság, a garantált maximális javítási késleltetés, a legújabb biztonsági javítási szint és egyéb attribútumok. A az adatbázis jelenleg tartalmazza okostelefonok, például a Samsung Galaxy S20 (Exynos), a Nokia 5.3, a Google Pixel 4, a Xiaomi Redmi Note 7, a Huawei P40, a Sony Xperia 10 és még sok más.
A beszélgetés felveti azt a kérdést, hogy az okostelefonok eredeti gyártóinak jelenleg kevés a motivációja és számszerűsíthető ösztönző arra, hogy gyors és releváns biztonsági frissítéseket biztosítsanak okostelefonjukon portfólió. Az okostelefonok értékesítés utáni támogatása továbbra is az Android-verziófrissítések és az eszközjavítások korlátai köré összpontosul – és az eszköz általános biztonságának nem tulajdonítanak nagy jelentőséget. A biztonsági frissítések nem olyan mérőszámok, amelyeket a marketing osztály könnyen be tud számolnielad" a legtöbb végfelhasználónak a jövőbeli okostelefonokhoz, így a teljesítmény ezen a területen továbbra is hiányos. És a kiadott okostelefonok hatalmas választéka és az évek során számtalan frissítés miatt ezeknek az adatoknak az összegyűjtése és számszerűsítése is óriási feladat. A Samsung például nagyon jól teljesít a biztonsági frissítések biztosítása terén meglévő eszközportfóliójához, mint például a Galaxy S10, Galaxy Z Flip, Galaxy A50, Galaxy Note 10 sorozat, Galaxy A70, és a Galaxy S20 sorozat– de még mindig nagyon sok eszköz van hátra, amelyet értékelni kell, és hiányzik egy nagyobb biztonsági frissítési folyamatábra is, amely a történelmi kontextust biztosítaná.
Az Android Device Security Database megpróbálja ezt valamilyen módon kijavítani. Még 2015-ben, amikor egy hasonló kezdeményezésre sor került, a csapat felmérte az Android-eszközök biztonságát, és 10-ből pontszámot adott nekik. A régi megközelítésnek volt néhány korlátja, mivel nagy hangsúlyt fektetett annak felmérésére, hogy egy eszköz érzékeny-e az ismert sebezhetőségekre vagy sem. A régebbi megközelítés nem vette figyelembe az eszközbiztonság egyéb szempontjait, ezért a jelenlegi megközelítés sokkal holisztikusabb pillantást igyekszik az általános eszközbiztonságra.
Az egyik terület, ahol a csapat sokkal tovább szeretne kutatni, az az előre telepített alkalmazások teljesítménye a biztonság és a felhasználói adatvédelem összefüggésében. Az előre telepített alkalmazások gyakran magasabb szintű jogosultságokkal rendelkeznek, amelyeket platformszinten előre megadnak. Az utóbbi időben fokozott figyelmet kaptunk az előre telepített alkalmazások felé – ez néha a következő formában nyilvánul meg az előre telepített Samsung alkalmazások hirdetéseivel kapcsolatos panaszok, és néha a formáját ölti a országos tilalom több előre telepített Xiaomi Mi alkalmazásra. Hogyan lehet felügyelni ezeket az OEM-ek által előre telepített alkalmazásokat?
A kutatócsoport ezzel a kérdéssel foglalkozik azzal, hogy nagyobb átláthatóságot és elszámoltathatóságot javasol azzal kapcsolatban, hogy mely alkalmazások vannak előre telepítve az eszközre, és mire van engedélyük. Ennek érdekében a csapat egy alkalmazáskockázati besorolást is szeretne hozzáadni az adatbázisához, és végül létrehozni egy értékelési rendszert az eszközök rangsorolására ezen szempont szerint. A kutatócsoport azt is szeretné, ha a módszertan szakértői felülvizsgálatot kapna, és visszajelzést kér más biztonsági kutatóktól arra vonatkozóan, hogy az előre telepített alkalmazások biztonságának milyen szempontjait érdemes megvizsgálniuk.
Az adatbázis célja, hogy referenciaponttá váljon az eszközök általános biztonságának és az OEM-ek holisztikus biztonsági tapasztalatainak értékeléséhez. A kezdeményezés ebben a szakaszban határozottan folyamatban van, és a jövőbeni tervek között szerepel egy olyan alkalmazás fejlesztése, amely gyűjti a biztonságot névtelenül adja meg, és összehasonlítható módon mutatja be a végfelhasználók számára – hasonlóan a jelenlegi generáció teljesítményéhez a benchmarkok működnek. Ha elegendő felhasználó adja át ezeket az adatokat a projektnek, akkor remélhető, hogy a projekt életképes biztonsági referenciaértékké válik, amely felhasználható az OEM általános biztonsági gyakorlatának felmérésére. Bár a múltbeli teljesítmény semmiképpen sem garancia a jövőbeli cselekvésre, ez az adatbázis/benchmark továbbra is leegyszerűsítené azt az átláthatatlan és összetett rendetlenséget, amely jelenleg az Android biztonságának állapota egy OS.