Naukowcy pracują nad bazą danych bezpieczeństwa urządzeń z Androidem – projektem, którego celem jest pomiar, określenie ilościowe i porównanie bezpieczeństwa urządzeń u różnych producentów OEM.
Użytkownicy Androida mają wiele opcji, jeśli chodzi o urządzenia, z różnorodną kombinacją specyfikacji, funkcji i różnych budżetów urządzeń. Jesteśmy rozpieszczani wyborem, ale to dezorientuje użytkowników, jeśli chodzi o funkcje, których nie można łatwo zmierzyć i porównać. Weźmy na przykład stan zabezpieczeń Androida. Obecny stan bezpieczeństwa Androida jest daleki od ideału, a sytuacja staje się jeszcze bardziej złożona w przypadku różnych producentów OEM i różnych regionów. Jeśli więc trzeba byłoby porównać dwóch różnych producentów OEM pod kątem tego, jak dobrze dostarczyli aktualizacje zabezpieczeń w swoim portfolio, znalezienie odpowiedzi może nie być łatwe. Grupa badaczy podjęła się zaradzenia tej sytuacji, budując bazę danych urządzeń z Androidem, koncentrując się na ich ogólnym poziomie bezpieczeństwa.
Na wirtualne wydarzenie Android Security Symposium 2020, grupa badaczy, w tym pan Daniel R. Thomas, pan Alastair R. Beresfor i René Mayrhofer wygłosili wykład zatytułowany „Baza danych zabezpieczeń urządzeń Android”.
Zalecamy obejrzenie wykładu, aby lepiej zrozumieć intencje i cele bazy danych, ale dołożymy również wszelkich starań, aby zawrzeć poniższe informacje.
Cel stojący za Baza danych zabezpieczeń urządzeń z Androidem jest "gromadzić i publikować odpowiednie dane na temat stanu bezpieczeństwa" urządzeń z Androidem. To zawiera informacje o atrybutach takie jak średnia częstotliwość aktualizacji, gwarantowane maksymalne opóźnienie aktualizacji, poziom najnowszej poprawki zabezpieczeń i inne atrybuty. The baza danych zawiera obecnie smartfony takie jak Samsung Galaxy S20 (Exynos), Nokia 5.3, Google Pixel 4, Xiaomi Redmi Note 7, Huawei P40, Sony Xperia 10 i inne.
Rozmowa porusza kwestię tego, że producenci OEM smartfonów mają obecnie niewiele motywacji i wymierną zachętę do zapewniania szybkich i odpowiednich aktualizacji zabezpieczeń na swoim smartfonie teczka. Wsparcie posprzedażowe smartfonów w dalszym ciągu koncentruje się wokół limitów aktualizacji wersji Androida i napraw urządzeń, a ogólne bezpieczeństwo urządzenia nie jest przywiązywane zbyt dużej wagi. Aktualizacje zabezpieczeń nie są wskaźnikiem, który dział marketingu może łatwo „sprzedać„dla większości konsumentów końcowych w przypadku przyszłych smartfonów, dlatego wydajność w tym obszarze jest nadal niewystarczająca. Ze względu na ogromną różnorodność produkowanych smartfonów i niezliczone aktualizacje ich na przestrzeni lat, gromadzenie i kwantyfikacja tych danych jest również gigantycznym zadaniem. Na przykład Samsung radzi sobie bardzo dobrze, jeśli chodzi o dostarczanie aktualizacji zabezpieczeń do swojego istniejącego portfolio urządzeń, takich jak Galaxy S10, Galaxy Z Flip, Galaxy A50, Seria Galaxy Note 10, Galaxy A70, I serii Galaxy S20— ale wciąż pozostało o wiele więcej urządzeń do oceny i brakuje również większego wykresu postępu aktualizacji zabezpieczeń, który przedstawiałby kontekst historyczny.
Baza danych zabezpieczeń urządzeń z Androidem próbuje w pewnym sensie to naprawić. Kiedy w 2015 roku podjęto podobną inicjatywę, zespół ocenił bezpieczeństwo urządzeń z Androidem i przyznał im ocenę na 10. Stare podejście miało kilka ograniczeń, ponieważ skupiało się głównie na ocenie, czy urządzenie jest podatne na znane luki w zabezpieczeniach, czy nie. Starsze podejście nie uwzględniało innych aspektów bezpieczeństwa urządzenia, dlatego obecne podejście próbuje przyjąć znacznie bardziej całościowe spojrzenie na ogólne bezpieczeństwo urządzenia.
Jednym z obszarów, który zespół chce dokładniej zbadać, jest działanie preinstalowanych aplikacji w kontekście bezpieczeństwa i prywatności użytkowników. Wstępnie zainstalowane aplikacje często mają podwyższone uprawnienia, które są wstępnie przyznawane na poziomie platformy. W ostatnim czasie zaobserwowaliśmy wzrost zainteresowania preinstalowanymi aplikacjami — czasami objawia się to w postaci skargi dotyczące reklam w preinstalowanych aplikacjach Samsung, a czasami przybiera formę ogólnokrajowy zakaz kilku preinstalowanych aplikacji Xiaomi Mi. W jaki sposób sprawuje się nadzór nad aplikacjami preinstalowanymi przez producentów OEM?
Zespół badawczy stara się odpowiedzieć na tę kwestię, zalecając większą przejrzystość i rozliczalność w zakresie tego, jakie aplikacje są preinstalowane na urządzeniu i do czego mają uprawnienia. W tym celu zespół chce również dodać ocenę ryzyka aplikacji do swojej bazy danych i ostatecznie stworzyć system oceny, który będzie oceniał urządzenia pod tym kątem. Zespół badawczy chce również, aby jego metodologia została poddana recenzji przez środowiska badawcze i oczekuje od innych badaczy bezpieczeństwa opinii na temat tego, jakimi aspektami bezpieczeństwa preinstalowanych aplikacji powinni się przyjrzeć.
Baza danych ma stać się punktem odniesienia dla oceny ogólnego bezpieczeństwa urządzenia i całościowego doświadczenia w zakresie bezpieczeństwa dla producenta OEM. Na tym etapie inicjatywa z pewnością jest w toku, a plany na przyszłość obejmują opracowanie aplikacji gromadzącej dane dotyczące bezpieczeństwa przypisuje atrybuty w sposób anonimowy i prezentuje je użytkownikom końcowym w porównywalny sposób – podobnie jak wydajność obecnej generacji benchmarki działają. Jeśli wystarczająca liczba użytkowników dobrowolnie udostępni te dane projektowi, można mieć nadzieję, że projekt stanie się realnym punktem odniesienia w zakresie bezpieczeństwa, który będzie można wykorzystać do oceny ogólnych praktyk bezpieczeństwa stosowanych przez producenta OEM. Chociaż dotychczasowe wyniki z pewnością nie gwarantują przyszłych działań, ta baza danych/punkt odniesienia nadal uprościłoby nieprzejrzysty i złożony bałagan, jaki stanowi obecnie stan bezpieczeństwa Androida system operacyjny.