Forskere jobber med en Android Device Security Database – et prosjekt som tar sikte på å måle, kvantifisere og sammenligne enhetssikkerhet på tvers av OEM-er.
Android-brukere har mange alternativer når det kommer til enheter, med en variert kombinasjon av spesifikasjoner, funksjoner og forskjellige enhetsbudsjetter. Vi er bortskjemte med valg, men dette forvirrer brukerne når det kommer til funksjoner som ikke enkelt kan måles og sammenlignes. Ta for eksempel Android-sikkerhetsstatusen. Den nåværende tilstanden for Android-sikkerhet er langt fra perfekt, og situasjonen blir enda mer kompleks på tvers av forskjellige OEM-er og forskjellige regioner. Så hvis du måtte sammenligne to forskjellige OEM-er om hvor godt de har levert sikkerhetsoppdateringer på tvers av porteføljen deres, er det kanskje ikke lett å finne svaret. En gruppe forskere har tatt på seg å bøte på denne situasjonen ved å bygge en database med Android-enheter med fokus på deres generelle sikkerhetsnivå.
På virtuell Android Security Symposium 2020-arrangement
, en gruppe forskere inkludert Daniel R. Thomas, herr Alastair R. Beresfor, og Mr. René Mayrhofer presenterte en tale kalt "Android Device Security Database".Vi anbefaler å se foredraget for å få en bedre ide om intensjonene og formålene med databasen, men vi vil også gjøre vårt beste for å kapsle inn informasjonen nedenfor.
Formålet bak Sikkerhetsdatabase for Android-enheter er å "samle og publisere relevante data om sikkerhetsstillingen" av Android-enheter. Dette inkluderer informasjon om attributter som gjennomsnittlig oppdateringsfrekvens, garantert maksimal oppdateringsforsinkelse, siste sikkerhetsoppdateringsnivå og andre attributter. De databasen inkluderer for tiden smarttelefoner som Samsung Galaxy S20 (Exynos), Nokia 5.3, Google Pixel 4, Xiaomi Redmi Note 7, Huawei P40, Sony Xperia 10 og mer.
Foredraget tar opp spørsmålet om hvordan smarttelefon-OEM-er for tiden har lite når det gjelder motivasjon og kvantifiserbare insentiv for å gi raske og relevante sikkerhetsoppdateringer på tvers av smarttelefonen portefølje. Ettersalgsstøtte for smarttelefoner er fortsatt sentrert rundt grensene for Android-versjonsoppdateringer og enhetsreparasjoner – og generell enhetssikkerhet er ikke tillagt stor betydning. Sikkerhetsoppdateringer er ikke en beregning som en markedsavdeling enkelt kan "selge" til de fleste sluttforbrukere for fremtidige smarttelefoner, så ytelsen på dette området mangler fortsatt. Og på grunn av det enorme utvalget av smarttelefoner som er utgitt og de utallige oppdateringene til dem gjennom årene, er det også en gigantisk oppgave å samle inn og kvantifisere disse dataene. For eksempel har Samsung gjort det veldig bra når det gjelder å levere sikkerhetsoppdateringer til sin eksisterende portefølje av enheter, som Galaxy S10, Galaxy Z Flip, Galaxy A50, Galaxy Note 10-serien, Galaxy A70, og Galaxy S20-serien— Men det er fortsatt så mange flere enheter igjen å vurdere, og et større fremdriftsdiagram for sikkerhetsoppdateringer mangler også for å gi historisk kontekst.
Android Device Security Database prøver å fikse dette på en måte. Tilbake i 2015, da et lignende initiativ ble tatt, hadde teamet målt sikkerheten til Android-enheter og gitt dem en poengsum på 10. Den gamle tilnærmingen hadde noen få begrensninger, da den fokuserte sterkt på å vurdere om en enhet var mottakelig for kjente sårbarheter eller ikke. Den eldre tilnærmingen tok ikke hensyn til andre aspekter ved enhetssikkerhet, så den nåværende tilnærmingen forsøker å ta et mye mer helhetlig blikk på den generelle enhetssikkerheten.
Et område hvor teamet ønsker å utforske mye mer, er hvordan forhåndsinstallerte apper fungerer innenfor rammen av sikkerhet og brukernes personvern. Forhåndsinstallerte apper har ofte forhøyede tillatelser som er forhåndsgitt på plattformnivå. Vi har sett økt oppmerksomhet mot forhåndsinstallerte apper i nyere tid – noen ganger manifesterer det seg i form av klager på annonser i forhåndsinstallerte Samsung-apper, og noen ganger tar det form av en landsdekkende forbud mot flere forhåndsinstallerte Xiaomi Mi-apper. Hvordan fører man tilsyn med disse forhåndsinstallerte appene av OEM-er?
Forskerteamet takler dette spørsmålet ved å anbefale mer åpenhet og ansvarlighet i hvilke apper som er forhåndsinstallert på en enhet og hva de har tillatelse til å gjøre. For å gjøre dette ønsker teamet også å legge til en app-risikovurdering i databasen deres og til slutt lage et rangeringssystem for å rangere enheter på dette aspektet. Forskerteamet ønsker også at metoden deres skal vurderes fagfellevurdert og søker tilbakemelding fra andre sikkerhetsforskere om hvilke aspekter av sikkerheten til forhåndsinstallerte apper de bør se nærmere på.
Databasen har som mål å bli en målestokk for å vurdere den generelle sikkerheten til en enhet og den helhetlige sikkerhetsopplevelsen for en OEM. Initiativet er definitivt et arbeid under utvikling på dette stadiet, og fremtidige planer inkluderer å utvikle en app som samler sikkerhet attributter på en anonym måte og presenterer den på en sammenlignbar måte for sluttbrukere - omtrent som hvordan nåværende generasjons ytelse benchmarks fungerer. Med nok brukere som frivillig gir disse dataene til prosjektet, kan man håpe at prosjektet blir en levedyktig sikkerhetsstandard som kan brukes til å vurdere den generelle sikkerhetspraksisen til en OEM. Selv om tidligere resultater absolutt ikke er noen garanti for fremtidig handling, er denne databasen/benchmarken vil fortsatt forenkle det ugjennomsiktige og komplekse rotet som for tiden er tilstanden til Android-sikkerhet som et OS.