Android Device Security Database ადარებს Android სმარტფონის უსაფრთხოებას

MiscellaneaNov 14, 2023

მკვლევარები მუშაობენ Android მოწყობილობის უსაფრთხოების მონაცემთა ბაზაზე - პროექტი, რომელიც მიზნად ისახავს გაზომოს, რაოდენობრივად განსაზღვროს და შეადაროს მოწყობილობის უსაფრთხოება OEM-ებში.

Android მომხმარებლებს აქვთ მრავალი ვარიანტი, როდესაც საქმე ეხება მოწყობილობებს, სპეციფიკაციების, მახასიათებლებისა და მოწყობილობის სხვადასხვა ბიუჯეტის მრავალფეროვანი კომბინაციით. ჩვენ გაფუჭებულები ვართ არჩევანით, მაგრამ ეს აბნევს მომხმარებლებს, როდესაც საქმე ეხება ფუნქციებს, რომელთა გაზომვა და შედარება შეუძლებელია. აიღეთ, მაგალითად, Android უსაფრთხოების სტატუსი. Android-ის უსაფრთხოების ამჟამინდელი მდგომარეობა შორს არის სრულყოფილი და სიტუაცია კიდევ უფრო რთული ხდება სხვადასხვა OEM-ებსა და სხვადასხვა რეგიონებში. ასე რომ, თუ მოგიწევთ ორი განსხვავებული OEM-ის შედარება იმის შესახებ, თუ რამდენად კარგად მიაწოდეს მათ უსაფრთხოების განახლებები თავიანთ პორტფოლიოში, პასუხი შეიძლება ადვილად არ მოიძებნოს. მკვლევართა ჯგუფმა თავის თავზე აიღო ამ სიტუაციის გამოსწორება Android მოწყობილობების მონაცემთა ბაზის შექმნით, რომელიც ფოკუსირებულია მათ საერთო უსაფრთხოების დონეზე.

ზე ვირტუალური Android უსაფრთხოების სიმპოზიუმი 2020 ღონისძიება, მკვლევართა ჯგუფი, მათ შორის ბ-ნი დანიელ რ. თომასი, ბატონი ალასტერ რ. ბერესფორმა და ბატონმა რენე მაიროფერმა წარმოადგინეს მოხსენება სახელწოდებით "Android Device Security Database".

ჩვენ გირჩევთ უყუროთ მოხსენებას, რათა უკეთ გაეცნოთ მონაცემთა ბაზის მიზნებსა და მიზნებს, მაგრამ ჩვენ ასევე ყველაფერს გავაკეთებთ ქვემოთ მოცემული ინფორმაციის ინკაფსულაციისთვის.

მიზანი უკან Android მოწყობილობის უსაფრთხოების მონაცემთა ბაზა არის "შეაგროვოს და გამოაქვეყნოს შესაბამისი მონაცემები უსაფრთხოების პოზიციის შესახებAndroid მოწყობილობებიდან. Ეს მოიცავს ინფორმაცია ატრიბუტებზე როგორიცაა პატჩის საშუალო სიხშირე, გარანტირებული მაქსიმალური დაყოვნება, უსაფრთხოების უახლესი პაჩის დონე და სხვა ატრიბუტები. The მონაცემთა ბაზა ამჟამად შეიცავს სმარტფონები, როგორიცაა Samsung Galaxy S20 (Exynos), Nokia 5.3, Google Pixel 4, Xiaomi Redmi Note 7, Huawei P40, Sony Xperia 10 და სხვა.

საუბარი აჩენს საკითხს იმის შესახებ, თუ როგორ აქვთ სმარტფონების OEM-ებს ამჟამად ცოტა მოტივაციის და რაოდენობრივი სტიმული, რათა უზრუნველყონ სწრაფი და შესაბამისი უსაფრთხოების განახლებები თავიანთ სმარტფონზე პორტფოლიო. სმარტფონების გაყიდვის შემდგომი მხარდაჭერა კვლავ ორიენტირებულია Android-ის ვერსიის განახლებისა და მოწყობილობის შეკეთების საზღვრებზე — და მთლიანი მოწყობილობის უსაფრთხოებას დიდი მნიშვნელობა არ ენიჭება. უსაფრთხოების განახლებები არ არის მეტრიკა, რომელიც მარკეტინგის დეპარტამენტს ადვილად შეუძლია "გაყიდე”მომავალი სმარტფონების საბოლოო მომხმარებლების უმეტესობისთვის, ასე რომ, ამ სფეროში შესრულება კვლავ აკლია. და გამოშვებული სმარტფონების უზარმაზარი მრავალფეროვნებისა და წლების განმავლობაში მათზე უთვალავი განახლების გამო, ამ მონაცემების შეგროვება და რაოდენობრივი დადგენა ასევე უზარმაზარი ამოცანაა. მაგალითად, Samsung-ი ძალიან კარგად აკეთებს უსაფრთხოების განახლებების მიწოდებას მისი არსებული მოწყობილობების პორტფოლიოსთვის, როგორიცაა Galaxy S10, Galaxy Z Flip, Galaxy A50, Galaxy Note 10 სერია, Galaxy A70, და Galaxy S20 სერია— მაგრამ ჯერ კიდევ ბევრი მოწყობილობა დარჩა შესაფასებლად და უფრო დიდი უსაფრთხოების განახლების პროგრესის დიაგრამა ასევე აკლია ისტორიული კონტექსტის უზრუნველსაყოფად.

Android მოწყობილობის უსაფრთხოების მონაცემთა ბაზა ცდილობს ამის გამოსწორებას რაიმე გზით. ჯერ კიდევ 2015 წელს, როდესაც მსგავსი ინიციატივა განხორციელდა, გუნდმა გაზომა Android მოწყობილობების უსაფრთხოება და მიანიჭა მათ ქულა 10-დან. ძველ მიდგომას ჰქონდა რამდენიმე შეზღუდვა, რადგან ის დიდწილად იყო ორიენტირებული იმის შეფასებაზე, იყო თუ არა მოწყობილობა ცნობილი დაუცველობისადმი მგრძნობიარე. ძველი მიდგომა არ ითვალისწინებდა მოწყობილობის უსაფრთხოების სხვა ასპექტებს, ამიტომ ამჟამინდელი მიდგომა ცდილობს ბევრად უფრო ჰოლისტიკური გადახედოს მოწყობილობის მთლიან უსაფრთხოებას.

ერთი სფერო, სადაც გუნდს უფრო მეტის შესწავლა სურს, არის ის, თუ როგორ მუშაობს წინასწარ დაინსტალირებული აპლიკაციები უსაფრთხოებისა და მომხმარებლის კონფიდენციალურობის კონტექსტში. წინასწარ დაინსტალირებულ აპებს ხშირად აქვთ ამაღლებული ნებართვები, რომლებიც წინასწარ არის მინიჭებული პლატფორმის დონეზე. ბოლო დროს ჩვენ ვნახეთ გაზრდილი ყურადღება წინასწარ დაინსტალირებული აპების მიმართ - ზოგჯერ ეს ვლინდება საჩივრები რეკლამების შესახებ წინასწარ დაინსტალირებული Samsung აპებში, ზოგჯერ კი ა-ს ფორმას იღებს ქვეყნის მასშტაბით აკრძალვა რამდენიმე წინასწარ დაინსტალირებული Xiaomi Mi აპისთვის. როგორ ახორციელებს ზედამხედველობა OEM-ების მიერ წინასწარ დაინსტალირებულ აპებზე?

კვლევითი ჯგუფი ამ საკითხს აგვარებს მეტი გამჭვირვალობისა და ანგარიშვალდებულების რეკომენდაციით იმის შესახებ, თუ რა აპლიკაციებია წინასწარ დაინსტალირებული მოწყობილობაზე და რისი გაკეთების უფლება აქვთ მათ. ამისათვის გუნდს ასევე სურს დაამატოს აპლიკაციის რისკის რეიტინგი მათ მონაცემთა ბაზაში და საბოლოოდ შექმნას რეიტინგული სისტემა მოწყობილობების ამ ასპექტის შესაფასებლად. კვლევით ჯგუფს ასევე სურს მისი მეთოდოლოგიის განხილვა და ეძებს უკუკავშირს უსაფრთხოების სხვა მკვლევარებისგან იმის შესახებ, თუ რა ასპექტები უნდა შეისწავლონ წინასწარ დაინსტალირებული აპლიკაციების უსაფრთხოების შესახებ.

მონაცემთა ბაზა მიზნად ისახავს გახდეს საორიენტაციო ნიშანი მოწყობილობის საერთო უსაფრთხოებისა და OEM-ის უსაფრთხოების ჰოლისტიკური გამოცდილების შესაფასებლად. ინიციატივა ნამდვილად მიმდინარეობს ამ ეტაპზე და სამომავლო გეგმები მოიცავს უსაფრთხოების აპლიკაციის შემუშავებას. ატრიბუტებს ანონიმურად და შესადარებლად წარუდგენს მას საბოლოო მომხმარებლებთან - ისევე როგორც მიმდინარე თაობის შესრულება ეტალონები მუშაობს. საკმარისად მომხმარებლებმა, რომლებიც ამ მონაცემებს ნებაყოფლობით წარუდგენენ პროექტს, შეიძლება იმედი ვიქონიოთ, რომ პროექტი გახდება სიცოცხლისუნარიანი უსაფრთხოების საორიენტაციო ნიშანი, რომელიც შეიძლება გამოყენებულ იქნას OEM-ის უსაფრთხოების საერთო პრაქტიკის შესაფასებლად. მიუხედავად იმისა, რომ წარსული შესრულება, რა თქმა უნდა, არ არის გარანტია სამომავლო ქმედებებისთვის, ეს მონაცემთა ბაზა/ეტალონი მაინც გაამარტივებს გაუმჭვირვალე და რთულ არეულობას, რომელიც ამჟამად არის Android-ის უსაფრთხოების მდგომარეობა OS.