Onderzoekers werken aan een Android Device Security Database - een project dat tot doel heeft de apparaatbeveiliging bij OEM's te meten, kwantificeren en vergelijken.
Android-gebruikers hebben talloze opties als het om apparaten gaat, met een gevarieerde combinatie van specificaties, functies en verschillende apparaatbudgetten. We worden verwend met keuzemogelijkheden, maar dit brengt gebruikers in verwarring als het gaat om functies die niet eenvoudig kunnen worden gemeten en vergeleken. Neem bijvoorbeeld de Android-beveiligingsstatus. De huidige staat van Android-beveiliging is verre van perfect en de situatie wordt zelfs nog complexer tussen verschillende OEM's en verschillende regio's. Dus als je twee verschillende OEM's zou moeten vergelijken op hoe goed ze beveiligingsupdates voor hun portfolio hebben geleverd, is het antwoord misschien niet zo eenvoudig te vinden. Een groep onderzoekers heeft de taak op zich genomen om deze situatie te verhelpen door een database van Android-apparaten op te bouwen, gericht op hun algehele beveiligingsniveau.
Bij de virtueel Android Security Symposium 2020-evenement, een groep onderzoekers, waaronder de heer Daniel R. Thomas, de heer Alastair R. Beresfor en de heer René Mayrhofer hielden een lezing genaamd de "Android Device Security Database".
We raden u aan de lezing te bekijken om een beter idee te krijgen van de bedoelingen en doeleinden van de database, maar we zullen ook ons best doen om de onderstaande informatie samen te vatten.
Het doel achter de Beveiligingsdatabase voor Android-apparaten is om "relevante gegevens over de beveiligingssituatie verzamelen en publiceren"van Android-apparaten. Dit bevat informatie over attributen zoals de gemiddelde patchfrequentie, de gegarandeerde maximale patchvertraging, het nieuwste beveiligingspatchniveau en andere kenmerken. De database bevat momenteel smartphones zoals de Samsung Galaxy S20 (Exynos), Nokia 5.3, Google Pixel 4, Xiaomi Redmi Note 7, Huawei P40, Sony Xperia 10 en meer.
De lezing brengt de vraag aan de orde hoe OEM's van smartphones momenteel weinig motivatie hebben kwantificeerbare stimulans om snelle en relevante beveiligingsupdates op hun smartphone aan te bieden portefeuille. De after-sale-ondersteuning voor smartphones concentreert zich nog steeds rond de beperkingen van Android-versie-updates en apparaatreparaties – en aan de algehele apparaatbeveiliging wordt niet veel belang gehecht. Beveiligingsupdates zijn geen maatstaf die een marketingafdeling gemakkelijk kan meten'verkopen" voor de meeste eindgebruikers voor toekomstige smartphones, dus de prestaties op dit gebied blijven achterwege. En vanwege de enorme verscheidenheid aan smartphones die op de markt zijn gekomen en de talloze updates die er door de jaren heen zijn doorgevoerd, is het verzamelen en kwantificeren van deze gegevens ook een gigantische taak. Samsung doet het bijvoorbeeld erg goed op het gebied van het leveren van beveiligingsupdates aan zijn bestaande portfolio van apparaten, zoals de Galaxy S10, Galaxy Z Flip, Galaxy A50, Galaxy Note 10-serie, Galaxy A70, En de Galaxy S20-serie– maar er moeten nog zoveel meer apparaten worden beoordeeld en er ontbreekt ook een groter voortgangsdiagram voor de beveiligingsupdates om historische context te bieden.
De Android Device Security Database probeert dit op een bepaalde manier op te lossen. Toen in 2015 een soortgelijk initiatief werd ondernomen, had het team de beveiliging van Android-apparaten gemeten en deze een score op 10 gegeven. De oude aanpak had enkele beperkingen, omdat deze sterk gericht was op het beoordelen of een apparaat gevoelig was voor bekende kwetsbaarheden of niet. Bij de oudere aanpak werd geen rekening gehouden met andere aspecten van apparaatbeveiliging, dus probeert de huidige aanpak een veel holistischer kijk te werpen op de algehele apparaatbeveiliging.
Eén gebied waarop het team nog veel verder wil onderzoeken, is hoe vooraf geïnstalleerde apps presteren binnen de context van beveiliging en gebruikersprivacy. Vooraf geïnstalleerde apps hebben vaak verhoogde machtigingen die vooraf op platformniveau zijn verleend. We hebben de laatste tijd een toenemende aandacht gezien voor vooraf geïnstalleerde apps, soms manifesteert dit zich in de vorm van klachten over advertenties in vooraf geïnstalleerde Samsung-apps, en soms heeft het de vorm van een landelijk verbod op verschillende vooraf geïnstalleerde Xiaomi Mi-apps. Hoe oefen je toezicht uit op deze vooraf geïnstalleerde apps door OEM's?
Het onderzoeksteam pakt deze vraag aan door meer transparantie en verantwoording aan te bevelen over welke apps vooraf op een apparaat zijn geïnstalleerd en waarvoor ze toestemming hebben. Om dit te doen wil het team ook een app-risicobeoordeling aan hun database toevoegen en uiteindelijk een beoordelingssysteem opzetten om apparaten op dit aspect te beoordelen. Het onderzoeksteam wil ook dat zijn methodologie door vakgenoten wordt beoordeeld en zoekt naar feedback van andere beveiligingsonderzoekers over welke aspecten van de beveiliging van vooraf geïnstalleerde apps zij moeten onderzoeken.
De database wil een benchmark worden voor het beoordelen van de algehele beveiliging van een apparaat en de holistische beveiligingservaring voor een OEM. Het initiatief is in dit stadium zeker een work-in-progress en toekomstige plannen omvatten onder meer de ontwikkeling van een app die beveiligingsgegevens verzamelt attributen op een anonieme manier en presenteert deze op een vergelijkbare manier aan eindgebruikers, net zoals de prestaties van de huidige generatie benchmarks werken. Als voldoende gebruikers deze gegevens vrijwillig aan het project verstrekken, mag men hopen dat het project een levensvatbare beveiligingsbenchmark wordt die kan worden gebruikt om de algemene beveiligingspraktijken van een OEM te beoordelen. Hoewel prestaties uit het verleden zeker geen garantie bieden voor toekomstige actie, is deze database/benchmark zou nog steeds de ondoorzichtige en complexe puinhoop vereenvoudigen waarin de Android-beveiliging momenteel verkeert een besturingssysteem.