Para peneliti sedang mengerjakan Database Keamanan Perangkat Android - sebuah proyek yang bertujuan untuk mengukur, mengukur, dan membandingkan keamanan perangkat di seluruh OEM.
Pengguna Android memiliki banyak pilihan perangkat, dengan beragam kombinasi spesifikasi, fitur, dan anggaran perangkat yang berbeda. Kami dimanjakan oleh pilihan, namun hal ini membingungkan pengguna ketika menyangkut fitur yang tidak dapat diukur dan dibandingkan dengan mudah. Ambil contoh, status Keamanan Android. Kondisi keamanan Android saat ini masih jauh dari sempurna, dan situasinya menjadi lebih kompleks di berbagai OEM dan wilayah berbeda. Jadi, jika Anda harus membandingkan dua OEM berbeda mengenai seberapa baik mereka memberikan pembaruan keamanan di seluruh portofolionya, jawabannya mungkin tidak mudah ditemukan. Sekelompok peneliti telah mengambil tindakan untuk memperbaiki situasi ini dengan membangun database perangkat Android yang berfokus pada tingkat keamanannya secara keseluruhan.
Pada acara virtual Simposium Keamanan Android 2020
Kami merekomendasikan menonton pembicaraan untuk mendapatkan gagasan yang lebih baik tentang maksud dan tujuan database, namun kami juga akan melakukan yang terbaik dalam merangkum informasi di bawah ini.
Tujuan di balik Basis Data Keamanan Perangkat Android adalah untuk "mengumpulkan dan mempublikasikan data yang relevan tentang postur keamanan" perangkat Android. Ini termasuk informasi tentang atribut seperti frekuensi patch rata-rata, jaminan penundaan patch maksimum, tingkat patch keamanan terbaru, dan atribut lainnya. Itu database saat ini termasuk smartphone seperti Samsung Galaxy S20 (Exynos), Nokia 5.3, Google Pixel 4, Xiaomi Redmi Note 7, Huawei P40, Sony Xperia 10, dan banyak lagi.
Pembicaraan tersebut mengangkat masalah bagaimana OEM ponsel pintar saat ini hanya memiliki sedikit motivasi dan insentif yang dapat diukur untuk memberikan pembaruan keamanan yang cepat dan relevan di seluruh ponsel cerdas mereka portofolio. Dukungan purna jual ponsel cerdas masih berpusat pada batasan pembaruan versi Android dan perbaikan perangkat—dan keamanan perangkat secara keseluruhan tidak terlalu dianggap penting. Pembaruan keamanan bukanlah metrik yang dapat dengan mudah dilakukan oleh departemen pemasaran "menjual" kepada sebagian besar konsumen akhir yang menginginkan smartphone masa depan, sehingga performa di area ini masih kurang. Dan karena banyaknya variasi ponsel cerdas yang dirilis dan pembaruan yang tak terhitung jumlahnya selama bertahun-tahun, mengumpulkan dan mengukur data ini juga merupakan tugas yang sangat besar. Misalnya, Samsung telah melakukannya dengan sangat baik dalam hal menyediakan pembaruan keamanan pada portofolio perangkat yang ada, seperti Galaxy S10, Galaxy Z Balik, Galaxy A50, Seri Galaxy Note 10, Galaxy A70, Dan seri Galaxy S20—tetapi masih banyak perangkat yang perlu dinilai dan diagram kemajuan pembaruan keamanan yang lebih besar juga tidak ada untuk memberikan konteks historis.
Basis Data Keamanan Perangkat Android mencoba memperbaikinya. Pada tahun 2015 ketika inisiatif serupa dilakukan, tim telah mengukur keamanan perangkat Android dan memberi mereka skor 10. Pendekatan lama memiliki beberapa keterbatasan, karena pendekatan ini sangat berfokus pada penilaian apakah suatu perangkat rentan terhadap kerentanan yang diketahui atau tidak. Pendekatan lama tidak mempertimbangkan aspek lain dari keamanan perangkat, sehingga pendekatan saat ini berupaya untuk melihat secara lebih holistik keamanan perangkat secara keseluruhan.
Salah satu area yang ingin dieksplorasi lebih jauh oleh tim adalah bagaimana kinerja aplikasi pra-instal dalam konteks keamanan dan privasi pengguna. Aplikasi pra-instal sering kali memiliki izin yang lebih tinggi yang telah diberikan sebelumnya di tingkat platform. Kami telah melihat peningkatan perhatian terhadap aplikasi pra-instal belakangan ini—terkadang hal ini terwujud dalam bentuk keluhan tentang iklan di aplikasi Samsung yang sudah diinstal sebelumnya, dan terkadang berbentuk a larangan nasional terhadap beberapa aplikasi Xiaomi Mi yang sudah diinstal sebelumnya. Bagaimana cara seseorang melakukan pengawasan terhadap aplikasi pra-instal ini oleh OEM?
Tim peneliti menjawab pertanyaan ini dengan merekomendasikan transparansi dan akuntabilitas yang lebih besar mengenai aplikasi apa saja yang sudah diinstal sebelumnya pada perangkat dan izin apa yang dapat mereka lakukan. Untuk melakukan hal ini, tim juga ingin menambahkan peringkat risiko aplikasi ke dalam database mereka dan pada akhirnya membuat sistem peringkat untuk menentukan peringkat perangkat berdasarkan aspek ini. Tim peneliti juga ingin metodologinya ditinjau oleh rekan sejawat dan mencari masukan dari peneliti keamanan lainnya mengenai aspek keamanan aplikasi pra-instal apa yang harus mereka perhatikan.
Basis data ini bertujuan untuk menjadi tolok ukur untuk menilai keamanan perangkat secara keseluruhan dan pengalaman keamanan holistik untuk OEM. Inisiatif ini jelas masih dalam proses pada tahap ini, dan rencana masa depan termasuk mengembangkan aplikasi yang mengumpulkan keamanan atribut secara anonim dan menyajikannya dengan cara yang sebanding dengan pengguna akhir—seperti kinerja generasi saat ini benchmark berfungsi. Dengan cukup banyaknya pengguna yang menyumbangkan data ini ke proyek, kita dapat berharap bahwa proyek ini akan menjadi tolok ukur keamanan yang layak dan dapat digunakan untuk menilai praktik keamanan OEM secara keseluruhan. Meskipun kinerja masa lalu tentu saja tidak menjamin tindakan di masa depan, basis data/tolok ukur ini masih akan menyederhanakan kekacauan buram dan kompleks yang saat ini terjadi pada keamanan Android sebuah sistem operasi.