Исследователи работают над базой данных безопасности устройств Android — проектом, целью которого является измерение, количественная оценка и сравнение безопасности устройств разных OEM-производителей.
У пользователей Android есть множество вариантов устройств с разнообразным сочетанием характеристик, функций и разного бюджета устройства. Мы избалованы выбором, но это сбивает с толку пользователей, когда речь идет о функциях, которые невозможно легко измерить и сравнить. Возьмем, к примеру, статус безопасности Android. Текущее состояние безопасности Android далеко от совершенства, и ситуация становится еще более сложной среди разных OEM-производителей и в разных регионах. Поэтому, если вам придется сравнить двух разных OEM-производителей с точки зрения того, насколько хорошо они предоставляют обновления безопасности для всего своего портфолио, ответ найти будет нелегко. Группа исследователей взяла на себя задачу исправить эту ситуацию, создав базу данных Android-устройств, уделив особое внимание их общему уровню безопасности.
На виртуальное мероприятие Android Security Symposium 2020, группа исследователей, в том числе г-н Дэниел Р. Томас, г-н Аластер Р. Бересфор и г-н Рене Майрхофер представили доклад под названием «База данных безопасности устройств Android».
Мы рекомендуем посмотреть выступление, чтобы лучше понять намерения и цели базы данных, но мы также сделаем все возможное, чтобы изложить приведенную ниже информацию.
Цель, стоящая за База данных безопасности устройств Android это "собирать и публиковать соответствующие данные о состоянии безопасности"устройств Android. Это включает информация об атрибутах такие как средняя частота исправлений, гарантированная максимальная задержка исправлений, последний уровень исправлений безопасности и другие атрибуты. база данных в настоящее время включает в себя смартфоны, такие как Samsung Galaxy S20 (Exynos), Nokia 5.3, Google Pixel 4, Xiaomi Redmi Note 7, Huawei P40, Sony Xperia 10 и другие.
В докладе поднимается вопрос о том, что у производителей смартфонов в настоящее время мало мотивации и измеримый стимул предоставлять быстрые и актуальные обновления безопасности на своем смартфоне портфолио. Послепродажная поддержка смартфонов по-прежнему сосредоточена на ограничениях обновлений версий Android и ремонта устройств, а общей безопасности устройств не придается большого значения. Обновления безопасности не являются показателем, который легко может определить отдел маркетинга».продаватьбольшинству конечных потребителей будущих смартфонов, поэтому производительность в этой области по-прежнему недостаточна. А из-за огромного разнообразия выпущенных смартфонов и бесчисленных обновлений для них на протяжении многих лет сбор и количественная оценка этих данных также является гигантской задачей. Например, компания Samsung очень хорошо справляется с предоставлением обновлений безопасности для своего существующего портфеля устройств, таких как Галактика С10, Галактика Z Флип, Галактика А50, Серия Galaxy Note 10, Galaxy A70, и серия Галактики С20— но еще очень много устройств осталось оценить, и более крупная диаграмма прогресса обновлений безопасности также отсутствует, чтобы обеспечить исторический контекст.
База данных безопасности устройств Android пытается каким-то образом это исправить. Еще в 2015 году, когда была предпринята подобная инициатива, команда измерила безопасность устройств Android и присвоила им 10-балльную оценку. Старый подход имел несколько ограничений, поскольку он в значительной степени фокусировался на оценке того, подвержено ли устройство известным уязвимостям или нет. Старый подход не учитывал другие аспекты безопасности устройства, поэтому текущий подход пытается взглянуть на общую безопасность устройства гораздо более целостно.
Одна из областей, которую команда хочет изучить подробнее, — это то, как предустановленные приложения работают в контексте безопасности и конфиденциальности пользователей. Предустановленные приложения часто имеют повышенные разрешения, которые предварительно предоставляются на уровне платформы. В последнее время мы наблюдаем повышенное внимание к предустановленным приложениям — иногда это проявляется в виде жалобы на рекламу в предустановленных приложениях Samsung, а иногда оно принимает форму общенациональный запрет на несколько предустановленных приложений Xiaomi Mi. Как можно контролировать эти предустановленные приложения OEM-производителями?
Исследовательская группа решает этот вопрос, рекомендуя повысить прозрачность и подотчетность в отношении того, какие приложения предварительно установлены на устройстве и на какие действия у них есть разрешение. Для этого команда также хочет добавить рейтинг рисков приложений в свою базу данных и в конечном итоге создать систему рейтингов для ранжирования устройств по этому аспекту. Исследовательская группа также хочет, чтобы ее методология прошла экспертную оценку, и ищет отзывы других исследователей безопасности о том, какие аспекты безопасности предустановленных приложений им следует изучить.
База данных призвана стать эталоном для оценки общей безопасности устройства и целостного опыта безопасности для OEM-производителей. На данном этапе эта инициатива определенно находится в стадии разработки, и в планы на будущее входит разработка приложения, которое собирает информацию о безопасности. атрибуты анонимным образом и представляют их конечным пользователям аналогично тому, как производительность текущего поколения бенчмарки работают. Учитывая, что достаточное количество пользователей добровольно предоставят эти данные проекту, можно надеяться, что проект станет жизнеспособным эталоном безопасности, который можно будет использовать для оценки общих методов безопасности OEM-производителя. Хотя прошлые результаты, конечно, не являются гарантией будущих действий, эта база данных/тест все равно упростит тот непрозрачный и сложный беспорядок, в котором сейчас находится состояние безопасности Android, поскольку ОС.