מסד הנתונים של אבטחת מכשירי אנדרואיד משווה אבטחת סמארטפון אנדרואיד

למשתמשי אנדרואיד יש אפשרויות רבות בכל הנוגע למכשירים, עם שילוב מגוון של מפרטים, תכונות ותקציבי מכשירים שונים. אנחנו מפונקים מבחירה, אבל זה מבלבל את המשתמשים כשמדובר בתכונות שלא ניתן למדוד ולהשוות בקלות. קח, למשל, את סטטוס האבטחה של אנדרואיד. המצב הנוכחי של אבטחת אנדרואיד רחוק מלהיות מושלם, והמצב הופך מורכב עוד יותר בין יצרני OEM שונים ואזורים שונים. אז אם היית צריך להשוות בין שני יצרני OEM שונים לגבי מידת היעילות שהם סיפקו עדכוני אבטחה בכל תיק העבודות שלהם, ייתכן שהתשובה לא תימצא בקלות. קבוצת חוקרים לקחה על עצמה לתקן מצב זה על ידי בניית מסד נתונים של מכשירי אנדרואיד המתמקדים ברמת האבטחה הכוללת שלהם.

ב אירוע אבטחת אנדרואיד וירטואלי 2020, קבוצת חוקרים ובהם מר דניאל ר. תומס, מר אלסטייר ר. Beresfor, ומר רנה מאיירהופר הציגו הרצאה בשם "מסד הנתונים של אבטחת מכשירי אנדרואיד".

אנו ממליצים לצפות בהרצאה כדי לקבל מושג טוב יותר על הכוונות והמטרות של מסד הנתונים, אך אנו גם נעשה כמיטב יכולתנו להקיף את המידע שלהלן.

המטרה מאחורי ה מסד נתונים אבטחה של מכשיר אנדרואיד הוא ל"לאסוף ולפרסם נתונים רלוונטיים על מצב האבטחה" של מכשירי אנדרואיד. זה כולל מידע על תכונות כמו תדירות התיקון הממוצעת, עיכוב התיקון המרבי המובטח, רמת תיקון האבטחה העדכנית ותכונות אחרות. ה מסד הנתונים כולל כרגע סמארטפונים כמו Samsung Galaxy S20 (Exynos), Nokia 5.3, Google Pixel 4, Xiaomi Redmi Note 7, Huawei P40, Sony Xperia 10 ועוד.

ההרצאה מעלה את הסוגיה כיצד ליצרני ציוד מקורי של סמארטפונים יש כיום מעט מבחינת מוטיבציה ו תמריץ שניתן לכמת לספק עדכוני אבטחה מהירים ורלוונטיים בסמארטפון שלהם תיק עבודות. התמיכה לאחר המכירה לסמארטפון עדיין מתרכזת סביב המגבלות של עדכוני גרסאות אנדרואיד ותיקוני מכשירים - ולאבטחת המכשיר הכוללת לא ניתנת חשיבות רבה. עדכוני אבטחה אינם מדד שמחלקת שיווק יכולה בקלות "מכירה"לרוב צרכני הקצה עבור סמארטפונים עתידיים, כך שהביצועים בתחום זה עדיין חסרים. ובגלל המגוון העצום של טלפונים חכמים שיצאו ואינספור העדכונים בהם לאורך השנים, איסוף וכימות הנתונים הללו היא גם משימה ענקית. לדוגמה, סמסונג הצליחה מאוד במונחים של מתן עדכוני אבטחה לפורטפוליו המכשירים הקיים שלה, כמו Galaxy S10, Galaxy Z Flip, Galaxy A50, סדרת Galaxy Note 10, Galaxy A70, ו סדרת ה-Galaxy S20— אבל עדיין נותרו עוד כל כך הרבה מכשירים להעריך וגם חסר טבלת התקדמות גדולה יותר של עדכון אבטחה כדי לספק הקשר היסטורי.

מסד הנתונים של אבטחת מכשירי אנדרואיד מנסה לתקן זאת בצורה מסוימת. עוד בשנת 2015, כאשר בוצעה יוזמה דומה, הצוות מדד את האבטחה של מכשירי אנדרואיד ונתן להם ציון מתוך 10. לגישה הישנה היו כמה מגבלות, שכן היא התמקדה רבות בהערכה האם מכשיר חשוף לפגיעויות ידועות או לא. הגישה הישנה יותר לא התייחסה להיבטים אחרים של אבטחת מכשירים, ולכן הגישה הנוכחית מנסה להסתכל הרבה יותר הוליסטי על אבטחת המכשיר הכוללת.

תחום אחד שבו הצוות רוצה לחקור הרבה יותר הוא הביצועים של אפליקציות מותקנות מראש בהקשר של אבטחה ופרטיות המשתמש. לאפליקציות המותקנות מראש יש לרוב הרשאות גבוהות שניתנו מראש ברמת הפלטפורמה. ראינו תשומת לב מוגברת כלפי אפליקציות מותקנות מראש בזמן האחרון - לפעמים זה מתבטא בצורה של תלונות על מודעות באפליקציות סמסונג מותקנות מראש, ולפעמים זה לובש צורה של א איסור כלל ארצי נגד מספר אפליקציות Xiaomi Mi מותקנות מראש. כיצד מפעילים פיקוח על האפליקציות המותקנות מראש על ידי יצרני OEM?

צוות המחקר מתמודד עם שאלה זו על ידי המלצה על יותר שקיפות ואחריות לגבי אילו אפליקציות מותקנות מראש במכשיר ומה יש להם הרשאה לעשות. לשם כך, הצוות רוצה גם להוסיף דירוג סיכון לאפליקציה למסד הנתונים שלהם ובסופו של דבר ליצור מערכת דירוג לדירוג מכשירים בהיבט זה. צוות המחקר רוצה גם את המתודולוגיה שלו לביקורת עמיתים ומבקש משוב מחוקרי אבטחה אחרים לגבי היבטי האבטחה של אפליקציות מותקנות מראש שעליהם לבחון.

מסד הנתונים שואף להפוך לאמת מידה להערכת האבטחה הכוללת של מכשיר וחוויית האבטחה ההוליסטית עבור יצרן OEM. היוזמה היא בהחלט עבודה בשלב זה, והתכניות העתידיות כוללות פיתוח אפליקציה שאוספת אבטחה מייחס באופן אנונימי ומציג אותו בצורה דומה למשתמשי קצה - בדומה לביצועי הדור הנוכחי אמות מידה עובדות. כשמספיק משתמשים מנדבים את הנתונים הללו לפרויקט, אפשר לקוות שהפרויקט יהפוך למבחן אבטחה בר-קיימא שניתן להשתמש בו כדי להעריך את שיטות האבטחה הכוללות של יצרן OEM. בעוד שביצועי העבר בהחלט אינם ערובה לפעולה עתידית, מסד נתונים/אמת מידה זה עדיין יפשט את הבלגן האטום והמורכב שכרגע הוא מצב האבטחה של אנדרואיד מערכת הפעלה.