Os pesquisadores estão trabalhando em um banco de dados de segurança de dispositivos Android – um projeto que visa medir, quantificar e comparar a segurança de dispositivos entre OEMs.
Os usuários do Android têm inúmeras opções quando se trata de dispositivos, com uma combinação variada de especificações, recursos e diferentes orçamentos de dispositivos. Somos mimados pela escolha, mas isso confunde os usuários quando se trata de recursos que não podem ser facilmente medidos e comparados. Veja, por exemplo, o status de segurança do Android. O estado atual da segurança do Android está longe de ser perfeito e a situação se torna ainda mais complexa em diferentes OEMs e regiões. Portanto, se você tivesse que comparar dois OEMs diferentes sobre como eles forneceram atualizações de segurança em seu portfólio, a resposta talvez não fosse encontrada facilmente. Um grupo de pesquisadores decidiu remediar esta situação construindo um banco de dados de dispositivos Android com foco em seu nível geral de segurança.
No evento virtual do Simpósio de Segurança Android 2020, um grupo de pesquisadores incluindo o Sr. Daniel R. Thomas, Sr. Beresfor e o Sr. René Mayrhofer apresentaram uma palestra chamada "Banco de dados de segurança de dispositivos Android".
Recomendamos assistir à palestra para ter uma ideia melhor das intenções e propósitos do banco de dados, mas também faremos o possível para encapsular as informações abaixo.
O propósito por trás do Banco de dados de segurança de dispositivos Android é para "reunir e publicar dados relevantes sobre a postura de segurança"de dispositivos Android. Isso inclui informações sobre atributos como a frequência média do patch, o atraso máximo garantido do patch, o nível de patch de segurança mais recente e outros atributos. O banco de dados atualmente inclui smartphones como Samsung Galaxy S20 (Exynos), Nokia 5.3, Google Pixel 4, Xiaomi Redmi Note 7, Huawei P40, Sony Xperia 10 e muito mais.
A palestra levanta a questão de como os OEMs de smartphones atualmente têm pouca motivação e incentivo quantificável para fornecer atualizações de segurança rápidas e relevantes em seus smartphones portfólio. O suporte pós-venda de smartphones ainda está centrado nos limites das atualizações de versão do Android e reparos de dispositivos – e a segurança geral do dispositivo não recebe muita importância. As atualizações de segurança não são uma métrica que um departamento de marketing possa facilmente”vender"à maioria dos consumidores finais para futuros smartphones, por isso o desempenho nesta área continua a faltar. E devido à enorme variedade de smartphones lançados e às inúmeras atualizações deles ao longo dos anos, coletar e quantificar esses dados também é uma tarefa gigantesca. Por exemplo, a Samsung tem se saído muito bem em termos de fornecimento de atualizações de segurança para seu portfólio existente de dispositivos, como o Galaxy S10, Galaxy Z Flip, Galaxy A50, Série Galaxy Note 10, Galaxy A70, e a série Galaxy S20– mas ainda há muitos mais dispositivos para avaliar e também falta um gráfico maior de progresso da atualização de segurança para fornecer contexto histórico.
O banco de dados de segurança de dispositivos Android tenta corrigir isso de alguma forma. Em 2015, quando uma iniciativa semelhante foi realizada, a equipe mediu a segurança dos dispositivos Android e atribuiu-lhes uma pontuação de 10. A abordagem antiga tinha algumas limitações, pois se concentrava fortemente em avaliar se um dispositivo era suscetível a vulnerabilidades conhecidas ou não. A abordagem mais antiga não considerava outros aspectos da segurança do dispositivo, por isso a abordagem atual tenta ter uma visão muito mais holística da segurança geral do dispositivo.
Uma área que a equipe deseja explorar ainda mais é o desempenho dos aplicativos pré-instalados no contexto de segurança e privacidade do usuário. Os aplicativos pré-instalados geralmente têm permissões elevadas que são pré-concedidas no nível da plataforma. Temos visto uma atenção cada vez maior em relação aos aplicativos pré-instalados nos últimos tempos – às vezes isso se manifesta na forma de reclamações sobre anúncios em aplicativos Samsung pré-instalados, e às vezes assume a forma de um proibição nacional de vários aplicativos Xiaomi Mi pré-instalados. Como supervisionar esses aplicativos pré-instalados pelos OEMs?
A equipe de pesquisa está abordando essa questão recomendando mais transparência e responsabilidade sobre quais aplicativos estão pré-instalados em um dispositivo e o que eles têm permissão para fazer. Para fazer isso, a equipe também deseja adicionar uma classificação de risco do aplicativo ao seu banco de dados e, eventualmente, criar um sistema de classificação para classificar os dispositivos nesse aspecto. A equipe de pesquisa também deseja que sua metodologia seja revisada por pares e está buscando feedback de outros pesquisadores de segurança sobre quais aspectos de segurança de aplicativos pré-instalados eles devem examinar.
O banco de dados pretende se tornar uma referência para avaliar a segurança geral de um dispositivo e a experiência holística de segurança para um OEM. A iniciativa é definitivamente um trabalho em andamento neste estágio, e os planos futuros incluem o desenvolvimento de um aplicativo que coleta dados de segurança atributos de maneira anônima e os apresenta de maneira comparável aos usuários finais - da mesma forma que o desempenho da geração atual os benchmarks funcionam. Com um número suficiente de usuários oferecendo esses dados para o projeto, podemos esperar que o projeto se torne uma referência de segurança viável que possa ser usada para avaliar as práticas gerais de segurança de um OEM. Embora o desempenho passado não seja certamente uma garantia para ações futuras, esta base de dados/benchmark ainda simplificaria a bagunça opaca e complexa que atualmente é o estado da segurança do Android, pois um sistema operacional.