研究者たちは、OEM 間のデバイス セキュリティを測定、定量化、比較することを目的としたプロジェクトである Android デバイス セキュリティ データベースに取り組んでいます。
Android ユーザーには、仕様、機能、さまざまなデバイス予算のさまざまな組み合わせにより、デバイスに関して多数の選択肢があります。 私たちは選択の余地がありますが、簡単に測定したり比較したりできない機能に関してはユーザーを混乱させます。 たとえば、Android のセキュリティ ステータスを考えてみましょう。 Android のセキュリティの現状は完璧とは程遠く、OEM や地域が異なると状況はさらに複雑になります。 そのため、2 つの異なる OEM が自社のポートフォリオ全体にセキュリティ アップデートをどの程度提供しているかを比較する必要がある場合、答えは簡単に見つからない可能性があります。 研究者のグループは、全体的なセキュリティ レベルに焦点を当てた Android デバイスのデータベースを構築することで、この状況を改善することに取り組みました。
で バーチャル Android セキュリティ シンポジウム 2020 イベント、ダニエル R. 氏を含む研究者グループ。 トーマス、アラステア R. Beresfor 氏と René Mayrhofer 氏は、「Android デバイス セキュリティ データベース」と呼ばれる講演を行いました。
データベースの意図と目的をよりよく理解するために講演を視聴することをお勧めしますが、以下の情報をカプセル化するために最善を尽くします。
背後にある目的 Android デバイスのセキュリティ データベース は「」ですセキュリティ体制に関する関連データを収集して公開するAndroid デバイスの「」。 これも 属性に関する情報 平均パッチ頻度、保証される最大パッチ遅延、最新のセキュリティ パッチ レベル、その他の属性などです。 の データベースには現在含まれています Samsung Galaxy S20 (Exynos)、Nokia 5.3、Google Pixel 4、Xiaomi Redmi Note 7、Huawei P40、Sony Xperia 10 などのスマートフォン。
この講演では、スマートフォン OEM が現在、モチベーションやモチベーションの面でほとんど持っていないという問題が提起されます。 スマートフォン全体に関連性のあるセキュリティ アップデートを迅速に提供するという定量化可能なインセンティブ ポートフォリオ。 スマートフォンのアフターサポートは依然として Android のバージョンアップデートと端末の修理の制限が中心であり、端末全体のセキュリティはあまり重要視されていません。 セキュリティ アップデートは、マーケティング部門が簡単に測定できる指標ではありません。」
売る」は、将来のスマートフォンのほとんどの最終消費者に向けたものであるため、この分野のパフォーマンスは依然として不足しています。 また、リリースされているスマートフォンの種類が膨大であり、長年にわたって無数のアップデートが行われているため、このデータを収集して定量化することも膨大な作業です。 たとえば、Samsung は、既存のデバイス ポートフォリオにセキュリティ アップデートを提供するという点で非常にうまくいっていました。 ギャラクシーS10、ギャラクシーZフリップ、ギャラクシーA50, Galaxy Note 10シリーズ、Galaxy A70、 そして ギャラクシーS20シリーズ—しかし、評価すべきデバイスがまだたくさん残っており、歴史的背景を提供するためのより大きなセキュリティ アップデートの進行状況グラフも欠落しています。Android デバイス セキュリティ データベースは、この問題を解決しようとしています。 2015 年に同様の取り組みが行われたとき、チームは Android デバイスのセキュリティを測定し、10 点満点のスコアを付けていました。 古いアプローチは、デバイスが既知の脆弱性の影響を受けやすいかどうかを評価することに重点を置いていたため、いくつかの制限がありました。 古いアプローチではデバイス セキュリティの他の側面が考慮されていなかったため、現在のアプローチではデバイス セキュリティ全体をより包括的に検討しようとしています。
チームがさらに詳しく調査したい領域の 1 つは、セキュリティとユーザーのプライバシーの観点から、プリインストールされたアプリがどのように機能するかです。 プリインストールされたアプリには、多くの場合、プラットフォーム レベルで事前に付与された昇格されたアクセス許可が与えられます。 最近、プリインストールされたアプリに対する注目が高まっています。それは、次のような形で現れることがあります。 プリインストールされた Samsung アプリの広告に関する苦情、という形をとることもあります。 いくつかのプレインストールされたXiaomi Miアプリの全国的な禁止. OEM はこれらのプリインストール アプリをどのように監視するのでしょうか?
研究チームは、どのアプリがデバイスにプリインストールされているか、またアプリに何を実行する権限があるかについて、より透明性と説明責任を高めることを推奨することで、この問題に取り組んでいます。 これを行うために、チームはアプリのリスク評価をデータベースに追加し、最終的にはこの側面でデバイスをランク付けする評価システムを作成したいと考えています。 研究チームはまた、その方法論の査読を望んでおり、プリインストールされたアプリのセキュリティのどの側面を調査すべきかについて他のセキュリティ研究者からのフィードバックを求めている。
このデータベースは、デバイスの全体的なセキュリティと OEM の総合的なセキュリティ エクスペリエンスを評価するためのベンチマークになることを目的としています。 この取り組みは現段階では間違いなく進行中であり、将来の計画にはセキュリティを収集するアプリの開発が含まれます。 匿名の方法で属性を取得し、それを同等の方法でエンドユーザーに提示します。これは、現行世代のパフォーマンスと同様です。 ベンチマークは機能します。 十分な数のユーザーがこのデータをプロジェクトに自発的に提供することで、このプロジェクトが OEM の全体的なセキュリティ実践を評価するために使用できる実行可能なセキュリティ ベンチマークになることが期待できます。 過去のパフォーマンスは確かに将来のアクションを保証するものではありませんが、このデータベース/ベンチマークは Android セキュリティの現在の状態である不透明で複雑な混乱を依然として単純化します。 OS。