I ricercatori stanno lavorando a un database sulla sicurezza dei dispositivi Android, un progetto che mira a misurare, quantificare e confrontare la sicurezza dei dispositivi tra gli OEM.
Gli utenti Android hanno numerose opzioni per quanto riguarda i dispositivi, con una variegata combinazione di specifiche, funzionalità e budget diversi per i dispositivi. Abbiamo l’imbarazzo della scelta, ma questo confonde gli utenti quando si tratta di funzionalità che non possono essere facilmente misurate e confrontate. Prendi, ad esempio, lo stato di sicurezza Android. Lo stato attuale della sicurezza Android è lungi dall’essere perfetto e la situazione diventa ancora più complessa tra diversi OEM e diverse regioni. Pertanto, se dovessi confrontare due diversi OEM in base alla qualità con cui hanno fornito gli aggiornamenti di sicurezza nel loro portafoglio, la risposta potrebbe non essere facilmente trovata. Un gruppo di ricercatori si è impegnato a porre rimedio a questa situazione costruendo un database di dispositivi Android concentrandosi sul loro livello di sicurezza generale.
Al Evento virtuale Android Security Symposium 2020, un gruppo di ricercatori tra cui il signor Daniel R. Thomas, signor Alastair R. Beresfor e René Mayrhofer hanno presentato una conferenza intitolata "Android Device Security Database".
Ti consigliamo di guardare la conferenza per avere un'idea migliore degli intenti e degli scopi del database, ma faremo anche del nostro meglio per incapsulare le informazioni di seguito.
Lo scopo dietro il Database sulla sicurezza dei dispositivi Android è "raccogliere e pubblicare dati rilevanti sulla situazione di sicurezza" dei dispositivi Android. Ciò comprende informazioni sugli attributi come la frequenza media delle patch, il ritardo massimo garantito delle patch, l'ultimo livello di patch di sicurezza e altri attributi. IL il database attualmente include smartphone come Samsung Galaxy S20 (Exynos), Nokia 5.3, Google Pixel 4, Xiaomi Redmi Note 7, Huawei P40, Sony Xperia 10 e altri.
Il discorso solleva la questione di come gli OEM di smartphone attualmente abbiano poca motivazione e incentivo quantificabile per fornire aggiornamenti di sicurezza rapidi e pertinenti sul proprio smartphone portafoglio. Il supporto post-vendita degli smartphone è ancora incentrato sui limiti degli aggiornamenti delle versioni Android e delle riparazioni dei dispositivi, e alla sicurezza generale del dispositivo non viene data molta importanza. Gli aggiornamenti di sicurezza non sono una metrica che un reparto marketing può facilmente "vendere" alla maggior parte dei consumatori finali per i futuri smartphone, quindi le prestazioni in quest'area rimangono carenti. E a causa dell’enorme varietà di smartphone rilasciati e degli innumerevoli aggiornamenti nel corso degli anni, anche raccogliere e quantificare questi dati è un compito gigantesco. Ad esempio, Samsung si è comportata molto bene in termini di fornitura di aggiornamenti di sicurezza al suo portafoglio esistente di dispositivi, come il Galaxy S10, Galaxy Z Flip, Galaxy A50, Serie Galaxy Note 10, Galaxy A70, E la serie Galaxy S20- ma ci sono ancora tanti altri dispositivi da valutare e manca anche un grafico più ampio sullo stato di avanzamento degli aggiornamenti di sicurezza per fornire un contesto storico.
Il database di sicurezza dei dispositivi Android tenta di risolvere questo problema in un certo senso. Nel 2015, quando fu intrapresa un'iniziativa simile, il team aveva misurato la sicurezza dei dispositivi Android e aveva assegnato loro un punteggio su 10. Il vecchio approccio presentava alcune limitazioni, poiché si concentrava fortemente sulla valutazione se un dispositivo fosse suscettibile o meno a vulnerabilità note. L’approccio precedente non prendeva in considerazione altri aspetti della sicurezza dei dispositivi, quindi l’approccio attuale tenta di dare uno sguardo molto più olistico alla sicurezza complessiva dei dispositivi.
Un’area in cui il team vuole esplorare ulteriormente è il modo in cui le app preinstallate si comportano nel contesto della sicurezza e della privacy dell’utente. Le app preinstallate spesso dispongono di autorizzazioni elevate preconcesse a livello di piattaforma. Negli ultimi tempi abbiamo notato una maggiore attenzione verso le app preinstallate, a volte si manifesta sotto forma di reclami relativi alla pubblicità nelle app Samsung preinstallate, e talvolta assume la forma di a divieto a livello nazionale contro diverse app Xiaomi Mi preinstallate. Come si può esercitare la supervisione su queste app preinstallate da parte degli OEM?
Il team di ricerca sta affrontando questa domanda raccomandando maggiore trasparenza e responsabilità su quali app sono preinstallate su un dispositivo e cosa hanno il permesso di fare. Per fare ciò, il team vuole anche aggiungere una valutazione del rischio dell'app nel proprio database ed eventualmente creare un sistema di classificazione per classificare i dispositivi in base a questo aspetto. Il team di ricerca vuole inoltre che la sua metodologia venga sottoposta a revisione paritaria e sta cercando feedback da altri ricercatori sulla sicurezza su quali aspetti della sicurezza delle app preinstallate dovrebbero esaminare.
Il database mira a diventare un punto di riferimento per valutare la sicurezza complessiva di un dispositivo e l'esperienza di sicurezza olistica per un OEM. L'iniziativa è sicuramente un work in progress in questa fase e i piani futuri includono lo sviluppo di un'app che raccolga la sicurezza attributi in modo anonimo e li presenta in modo comparabile agli utenti finali, proprio come le prestazioni della generazione attuale i parametri di riferimento funzionano. Con un numero sufficiente di utenti che forniscono volontariamente questi dati al progetto, si può sperare che il progetto diventi un valido punto di riferimento sulla sicurezza che può essere utilizzato per valutare le pratiche di sicurezza complessive di un OEM. Sebbene le prestazioni passate non costituiscano certamente una garanzia per azioni future, questo database/benchmark semplificherebbe comunque il caos opaco e complesso che costituisce attualmente lo stato della sicurezza Android un sistema operativo.