Tyrėjai kuria „Android“ įrenginių saugos duomenų bazę – projektą, kurio tikslas – įvertinti, kiekybiškai įvertinti ir palyginti įrenginių saugumą tarp OĮG.
„Android“ naudotojai turi daugybę galimybių, susijusių su įrenginiais, su įvairiomis specifikacijomis, funkcijomis ir skirtingais įrenginių biudžetais. Esame išlepinti pasirinkimo, tačiau tai glumina vartotojus, kai kalbama apie funkcijas, kurių negalima lengvai išmatuoti ir palyginti. Paimkite, pavyzdžiui, „Android“ saugos būseną. Dabartinė „Android“ saugos būklė toli gražu nėra tobula, o padėtis tampa dar sudėtingesnė skirtinguose OĮG ir skirtinguose regionuose. Taigi, jei turėtumėte palyginti du skirtingus originalios įrangos gamintojus pagal tai, kaip gerai jie pateikė saugos naujinimus visame savo portfelyje, atsakymas gali būti nelengvas. Grupė tyrėjų ėmėsi ištaisyti šią situaciją, sukurdama „Android“ įrenginių duomenų bazę, sutelkdama dėmesį į bendrą jų saugos lygį.
Prie virtualus Android Security Symposium 2020 renginys, tyrėjų grupė, įskaitant Danielį R. Tomas, ponas Alastair R. Beresfor ir p. René Mayrhofer pristatė pokalbį „Android įrenginių saugos duomenų baze“.
Rekomenduojame žiūrėti pokalbį, kad geriau suprastumėte duomenų bazės ketinimus ir tikslus, tačiau taip pat pasistengsime, kad toliau pateikta informacija būtų įtraukta.
Tikslas už „Android“ įrenginio saugos duomenų bazė yra "rinkti ir skelbti atitinkamus duomenis apie saugos padėtį" Android įrenginių. Tai įtraukia informacija apie atributus kaip vidutinis pataisų dažnis, garantuotas didžiausias pataisos delsa, naujausias saugos pataisos lygis ir kiti atributai. The Šiuo metu duomenų bazėje yra išmanieji telefonai, tokie kaip Samsung Galaxy S20 (Exynos), Nokia 5.3, Google Pixel 4, Xiaomi Redmi Note 7, Huawei P40, Sony Xperia 10 ir kt.
Pokalbyje iškeliamas klausimas, kaip išmaniųjų telefonų originalios įrangos gamintojai šiuo metu turi mažai motyvacijos ir kiekybiškai įvertinama paskata teikti greitus ir tinkamus saugos naujinimus savo išmaniajame telefone portfelį. Pagalba po pardavimo išmaniajame telefone vis dar yra sutelkta į „Android“ versijos atnaujinimų ir įrenginio remonto ribas, o bendrai įrenginio saugai neskiriama didelė reikšmė. Saugos naujinimai nėra metrika, kurią rinkodaros skyrius gali lengvai atlikti.parduotiDaugumai būsimų išmaniųjų telefonų galutinių vartotojų, todėl našumo šioje srityje vis dar trūksta. Dėl didžiulės išleistų išmaniųjų telefonų įvairovės ir daugybės jų atnaujinimų bėgant metams šių duomenų rinkimas ir kiekybinis įvertinimas taip pat yra didžiulė užduotis. Pavyzdžiui, „Samsung“ labai gerai sekėsi teikti saugos naujinimus esamam įrenginių portfeliui, pvz., „ „Galaxy S10“, „Galaxy Z Flip“, „Galaxy A50“., Galaxy Note 10 serija, Galaxy A70, ir „Galaxy S20“ serija– tačiau dar liko įvertinti tiek daug įrenginių, o didesnės saugos naujinimo eigos diagramos taip pat trūksta, kad būtų pateiktas istorinis kontekstas.
„Android“ įrenginio saugos duomenų bazė bando tai išspręsti tam tikru būdu. Dar 2015 m., kai buvo imtasi panašios iniciatyvos, komanda įvertino „Android“ įrenginių saugumą ir suteikė jiems balų iš 10. Senasis metodas turėjo keletą apribojimų, nes daugiausia dėmesio buvo skirta įvertinti, ar įrenginys yra jautrus žinomiems pažeidžiamumams, ar ne. Senesniame požiūryje nebuvo atsižvelgta į kitus įrenginio saugos aspektus, todėl dabartiniame požiūryje į bendrą įrenginio saugumą bandoma pažvelgti daug holistiškiau.
Viena sritis, kurią komanda nori ištirti daug toliau, yra tai, kaip iš anksto įdiegtos programos veikia saugos ir naudotojų privatumo kontekste. Iš anksto įdiegtos programos dažnai turi padidintus leidimus, kurie iš anksto suteikiami platformos lygiu. Pastaruoju metu pastebėjome didesnį dėmesį iš anksto įdiegtoms programoms – kartais tai pasireiškia skundų dėl skelbimų iš anksto įdiegtose „Samsung“ programose, o kartais jis įgauna a formą visoje šalyje uždrausta kelioms iš anksto įdiegtoms „Xiaomi Mi“ programėlėms. Kaip galima prižiūrėti šias originalios įrangos gamintojų iš anksto įdiegtas programas?
Tyrimo grupė sprendžia šį klausimą rekomenduodama daugiau skaidrumo ir atskaitomybės nustatant, kokios programos yra iš anksto įdiegtos įrenginyje ir ką jos turi leidimą. Kad tai padarytų, komanda taip pat nori į savo duomenų bazę įtraukti programos rizikos įvertinimą ir galiausiai sukurti įvertinimo sistemą, pagal kurią būtų vertinami įrenginiai pagal šį aspektą. Tyrėjų komanda taip pat nori, kad jos metodika būtų peržiūrėta tarpusavyje, ir ieško kitų saugumo tyrinėtojų atsiliepimų apie tai, į kokius iš anksto įdiegtų programų saugos aspektus jie turėtų atsižvelgti.
Duomenų bazės tikslas – tapti etalonu vertinant bendrą įrenginio saugumą ir visapusišką OĮG saugumo patirtį. Šiuo metu iniciatyva neabejotinai vykdoma, o ateities planuose yra programėlės, kuri renka saugumą, kūrimas priskiriami anonimiškai ir pateikiami galutiniams vartotojams panašiu būdu – panašiai kaip dabartinės kartos našumas etalonas veikia. Kai projekte šiuos duomenis savanoriškai pateiks pakankamai vartotojų, galima tikėtis, kad projektas taps perspektyviu saugos etalonu, kurį bus galima naudoti vertinant bendrą OĮG saugumo praktiką. Nors ankstesni rezultatai tikrai negarantuoja būsimų veiksmų, ši duomenų bazė / etalonas vis tiek supaprastintų neskaidrią ir sudėtingą netvarką, kuri šiuo metu yra „Android“ saugos būklė OS.