Cercetătorii lucrează la o bază de date pentru securitatea dispozitivelor Android - un proiect care își propune să măsoare, să cuantifice și să compare securitatea dispozitivelor între OEM-uri.
Utilizatorii Android au numeroase opțiuni când vine vorba de dispozitive, cu o combinație variată de specificații, caracteristici și bugete diferite pentru dispozitive. Suntem răsfățați de alegere, dar acest lucru derutează utilizatorii când vine vorba de caracteristici care nu pot fi măsurate și comparate cu ușurință. Luați, de exemplu, starea de securitate Android. Starea actuală a securității Android este departe de a fi perfectă, iar situația devine și mai complexă la diferiți OEM și diferite regiuni. Deci, dacă ar fi trebuit să comparați doi OEM diferiți cu privire la cât de bine au furnizat actualizări de securitate în portofoliul lor, este posibil ca răspunsul să nu fie ușor de găsit. Un grup de cercetători și-a asumat responsabilitatea de a remedia această situație prin construirea unei baze de date cu dispozitive Android, concentrându-se pe nivelul lor general de securitate.
La eveniment virtual Android Security Symposium 2020, un grup de cercetători printre care dl Daniel R. Thomas, domnul Alastair R. Beresfor și dl René Mayrhofer au prezentat o discuție numită „Baza de date pentru securitatea dispozitivelor Android”.
Vă recomandăm să urmăriți discuția pentru a vă face o idee mai bună despre intențiile și scopurile bazei de date, dar vom face tot posibilul să încapsulăm informațiile de mai jos.
Scopul din spatele Baza de date pentru securitatea dispozitivelor Android este să "adună și publică date relevante despre postura de securitate" a dispozitivelor Android. Aceasta include informații despre atribute cum ar fi frecvența medie a corecțiilor, întârzierea maximă garantată a corecțiilor, cel mai recent nivel de corecție de securitate și alte atribute. The baza de date include în prezent smartphone-uri precum Samsung Galaxy S20 (Exynos), Nokia 5.3, Google Pixel 4, Xiaomi Redmi Note 7, Huawei P40, Sony Xperia 10 și multe altele.
Discuția aduce în discuție problema modului în care producătorii de smartphone-uri au în prezent puține în ceea ce privește motivația și stimulent cuantificabil pentru a oferi actualizări rapide și relevante de securitate pe smartphone-ul lor portofoliu. Asistența post-vânzare pentru smartphone-uri este încă centrată în jurul limitelor actualizărilor versiunii Android și reparațiilor dispozitivului – iar securitatea generală a dispozitivului nu primește prea multă importanță. Actualizările de securitate nu sunt o măsură pe care un departament de marketing o poate cu ușurință "vinde„ pentru majoritatea consumatorilor finali pentru viitoarele smartphone-uri, așa că performanța în acest domeniu rămâne lipsită. Și datorită varietății uriașe de smartphone-uri lansate și a nenumăratelor actualizări ale acestora de-a lungul anilor, colectarea și cuantificarea acestor date este, de asemenea, o sarcină gigantesca. De exemplu, Samsung s-a descurcat foarte bine în ceea ce privește furnizarea de actualizări de securitate portofoliului său existent de dispozitive, cum ar fi Galaxy S10, Galaxy Z Flip, Galaxy A50, Seria Galaxy Note 10, Galaxy A70, și seria Galaxy S20— dar mai sunt încă atât de multe dispozitive rămase de evaluat și lipsește, de asemenea, un grafic mai mare de progres al actualizării de securitate pentru a oferi contextul istoric.
Baza de date pentru securitatea dispozitivelor Android încearcă să remedieze acest lucru într-un fel. În 2015, când a fost întreprinsă o inițiativă similară, echipa măsurase securitatea dispozitivelor Android și le acordase un scor din 10. Vechea abordare avea câteva limitări, deoarece se concentra în mare măsură pe evaluarea dacă un dispozitiv era susceptibil la vulnerabilități cunoscute sau nu. Abordarea mai veche nu a luat în considerare alte aspecte ale securității dispozitivului, așa că abordarea actuală încearcă să aibă o privire mult mai holistică asupra securității globale a dispozitivului.
Un domeniu în care echipa dorește să exploreze mult mai departe este modul în care aplicațiile preinstalate funcționează în contextul securității și confidențialității utilizatorilor. Aplicațiile preinstalate au adesea permisiuni ridicate care sunt acordate în prealabil la nivel de platformă. Am observat o atenție sporită față de aplicațiile preinstalate în ultima vreme - uneori se manifestă sub formă de plângeri cu privire la reclamele din aplicațiile Samsung preinstalate, iar uneori ia forma unui interzicerea la nivel național împotriva mai multor aplicații Xiaomi Mi preinstalate. Cum se exercită supravegherea acestor aplicații preinstalate de către OEM?
Echipa de cercetare abordează această întrebare recomandând mai multă transparență și responsabilitate în ceea ce privește aplicațiile preinstalate pe un dispozitiv și ceea ce au permisiunea de a face. Pentru a face acest lucru, echipa dorește, de asemenea, să adauge o evaluare a riscului aplicației în baza lor de date și, în cele din urmă, să creeze un sistem de evaluare pentru a clasa dispozitivele pe acest aspect. Echipa de cercetare dorește, de asemenea, ca metodologia sa să fie revizuită de către colegi și caută feedback de la alți cercetători de securitate cu privire la aspectele de securitate ale aplicațiilor preinstalate pe care ar trebui să le analizeze.
Baza de date își propune să devină un punct de referință pentru evaluarea securității generale a unui dispozitiv și a experienței de securitate holistică pentru un OEM. Inițiativa este cu siguranță o activitate în curs de desfășurare în această etapă, iar planurile viitoare includ dezvoltarea unei aplicații care colectează securitatea atribuie într-o manieră anonimă și o prezintă într-o manieră comparabilă utilizatorilor finali - la fel ca performanța generației actuale benchmark-urile funcționează. Cu destui utilizatori care oferă voluntar aceste date pentru proiect, se poate spera că proiectul devine un etalon de securitate viabil care poate fi folosit pentru a evalua practicile generale de securitate ale unui OEM. În timp ce performanța trecută nu este cu siguranță o garanție pentru acțiunile viitoare, această bază de date/benchmark ar simplifica în continuare mizeria opacă și complexă care este în prezent starea securității Android ca un sistem de operare.