Pētnieki strādā pie Android ierīču drošības datu bāzes — projekta, kura mērķis ir izmērīt, kvantificēt un salīdzināt ierīču drošību starp OEM.
Android lietotājiem ir daudz iespēju, kad runa ir par ierīcēm, izmantojot dažādas specifikācijas, funkcijas un dažādu ierīču budžetus. Mūs lutina izvēle, taču tas mulsina lietotājus, kad runa ir par funkcijām, kuras nevar viegli izmērīt un salīdzināt. Ņemiet, piemēram, Android drošības statusu. Pašreizējais Android drošības stāvoklis nebūt nav ideāls, un situācija kļūst vēl sarežģītāka dažādos OEM un dažādos reģionos. Tātad, ja jums būtu jāsalīdzina divi dažādi oriģinālā aprīkojuma ražotāji, lai noskaidrotu, cik labi tie ir nodrošinājuši drošības atjauninājumus savā portfelī, atbildi var nebūt viegli atrast. Pētnieku grupa ir apņēmusies labot šo situāciju, izveidojot Android ierīču datubāzi, koncentrējoties uz to vispārējo drošības līmeni.
Pie virtuālais Android drošības simpozijs 2020 pasākumspētnieku grupa, tostarp Daniels R. Tomass, Alasters R. Beresfors un Renē Meirhofera kungs uzstājās ar runu ar nosaukumu "Android ierīču drošības datu bāze".
Mēs iesakām noskatīties sarunu, lai iegūtu labāku priekšstatu par datu bāzes nolūkiem un mērķiem, taču mēs arī darīsim visu iespējamo, lai apkopotu tālāk sniegto informāciju.
Mērķis aiz Android ierīču drošības datu bāze ir "apkopot un publicēt atbilstošus datus par drošības stāvokli" no Android ierīcēm. Tas iekļauj informācija par atribūtiem piemēram, vidējais ielāpu biežums, garantētā maksimālā ielāpu aizkave, jaunākais drošības ielāpu līmenis un citi atribūti. The datubāze pašlaik ietver viedtālruņi, piemēram, Samsung Galaxy S20 (Exynos), Nokia 5.3, Google Pixel 4, Xiaomi Redmi Note 7, Huawei P40, Sony Xperia 10 un citi.
Saruna aktualizē jautājumu par to, kā viedtālruņu oriģinālo iekārtu ražotājiem pašlaik ir maz motivācijas un kvantitatīvs stimuls nodrošināt ātrus un atbilstošus drošības atjauninājumus visā viedtālrunī portfolio. Viedtālruņa pēcpārdošanas atbalsts joprojām ir vērsts uz Android versiju atjauninājumu un ierīču remonta ierobežojumiem, un vispārējai ierīces drošībai netiek piešķirta liela nozīme. Drošības atjauninājumi nav rādītājs, ko mārketinga nodaļa var viegli izmantot.pārdot" lielākajai daļai galapatērētāju nākotnes viedtālruņiem, tāpēc veiktspēja šajā jomā joprojām ir nepietiekama. Un, ņemot vērā izlaisto viedtālruņu milzīgo dažādību un to neskaitāmos atjauninājumus gadu gaitā, šo datu vākšana un kvantitatīva noteikšana ir arī milzīgs uzdevums. Piemēram, Samsung ir veicies ļoti labi, nodrošinot drošības atjauninājumus esošajam ierīču portfelim, piemēram, Galaxy S10, Galaxy Z Flip, Galaxy A50, Galaxy Note 10 sērija, Galaxy A70, un Galaxy S20 sērija— taču vēl ir vēl daudz ierīču, ko novērtēt, un trūkst arī lielākas drošības atjauninājumu progresa diagrammas, lai nodrošinātu vēsturisko kontekstu.
Android ierīču drošības datu bāze mēģina to novērst. Jau 2015. gadā, kad tika uzsākta līdzīga iniciatīva, komanda bija novērtējusi Android ierīču drošību un piešķīrusi tām punktu skaitu no 10. Vecajai pieejai bija daži ierobežojumi, jo tā lielā mērā koncentrējās uz to, lai novērtētu, vai ierīce ir jutīga pret zināmām ievainojamībām. Vecākā pieeja neņēma vērā citus ierīces drošības aspektus, tāpēc pašreizējā pieeja mēģina daudz holistiskāk aplūkot vispārējo ierīces drošību.
Viena no jomām, ko komanda vēlas izpētīt daudz tālāk, ir iepriekš instalēto lietotņu darbība drošības un lietotāju privātuma kontekstā. Iepriekš instalētajām lietotnēm bieži ir paaugstinātas atļaujas, kas tiek iepriekš piešķirtas platformas līmenī. Pēdējā laikā esam novērojuši pastiprinātu uzmanību iepriekš instalētām lietotnēm — dažkārt tas izpaužas kā sūdzības par reklāmām iepriekš instalētās Samsung lietotnēs, un dažreiz tas izpaužas kā a valsts mēroga aizliegums vairākām iepriekš instalētām Xiaomi Mi lietotnēm. Kā veikt šo oriģinālo iekārtu ražotāju iepriekš instalēto lietotņu uzraudzību?
Pētnieku komanda risina šo jautājumu, iesakot lielāku pārredzamību un atbildību par to, kuras lietotnes ir iepriekš instalētas ierīcē un ko tām ir atļauts darīt. Lai to paveiktu, komanda vēlas arī pievienot lietotnes riska vērtējumu savā datu bāzē un galu galā izveidot vērtēšanas sistēmu ierīču klasificēšanai šajā aspektā. Pētnieku komanda arī vēlas, lai tās metodoloģija tiktu pārskatīta, un tā vēlas saņemt atsauksmes no citiem drošības pētniekiem par to, kādi iepriekš instalēto lietotņu drošības aspekti viņiem būtu jāizpēta.
Datubāzes mērķis ir kļūt par etalonu, lai novērtētu ierīces vispārējo drošību un oriģinālā aprīkojuma ražotāju holistiskās drošības pieredzi. Iniciatīva šajā posmā noteikti ir nepabeigta, un nākotnes plānos ir izstrādāt lietotni, kas apkopo drošību anonīmi un parāda to salīdzināmā veidā galalietotājiem — līdzīgi kā pašreizējās paaudzes veiktspēja etaloni darbojas. Tā kā pietiekami daudz lietotāju brīvprātīgi pievienos šos datus projektam, var cerēt, ka projekts kļūs par dzīvotspējīgu drošības etalonu, ko var izmantot, lai novērtētu oriģinālā aprīkojuma ražotāju vispārējo drošības praksi. Lai gan pagātnes sniegums noteikti nav garantija turpmākai darbībai, šī datubāze/etalons joprojām vienkāršotu necaurredzamo un sarežģīto jucekli, kas pašlaik ir Android drošības stāvoklis OS.