Výskumníci pracujú na databáze zabezpečenia zariadení Android – projekte, ktorého cieľom je merať, kvantifikovať a porovnávať zabezpečenie zariadení medzi výrobcami OEM.
Používatelia systému Android majú veľa možností, pokiaľ ide o zariadenia, s rôznymi kombináciami špecifikácií, funkcií a rôznych rozpočtov pre zariadenia. Sme rozmaznaní výberom, ale to mätie používateľov, pokiaľ ide o funkcie, ktoré sa nedajú jednoducho zmerať a porovnať. Vezmite si napríklad stav zabezpečenia systému Android. Súčasný stav zabezpečenia systému Android je ďaleko od dokonalosti a situácia sa v rôznych OEM a rôznych regiónoch stáva ešte zložitejšou. Ak by ste teda museli porovnať dvoch rôznych výrobcov OEM, ako dobre poskytli aktualizácie zabezpečenia v rámci svojho portfólia, odpoveď sa nemusí dať ľahko nájsť. Skupina výskumníkov sa rozhodla túto situáciu napraviť vytvorením databázy zariadení Android so zameraním na ich celkovú úroveň zabezpečenia.
Na virtuálne podujatie Android Security Symposium 2020, skupina výskumníkov vrátane pána Daniela R. Thomas, pán Alastair R. Beresfor a pán René Mayrhofer predniesli prednášku s názvom „Bezpečnostná databáza zariadení Android“.
Odporúčame pozrieť si prednášku, aby ste získali lepšiu predstavu o zámeroch a účeloch databázy, ale urobíme všetko, čo je v našich silách, aby sme zhrnuli nižšie uvedené informácie.
Účel za Databáza zabezpečenia zariadenia Android je "zhromažďovať a zverejňovať relevantné údaje o bezpečnostnej pozícii" zariadení so systémom Android. Toto zahŕňa informácie o atribútoch ako je priemerná frekvencia opravy, garantované maximálne oneskorenie opravy, najnovšia úroveň opravy zabezpečenia a ďalšie atribúty. The databáza v súčasnosti obsahuje smartfóny ako Samsung Galaxy S20 (Exynos), Nokia 5.3, Google Pixel 4, Xiaomi Redmi Note 7, Huawei P40, Sony Xperia 10 a ďalšie.
Prednáška nastoľuje otázku, ako majú výrobcovia OEM smartfónov v súčasnosti málo motivácie a kvantifikovateľný stimul na poskytovanie rýchlych a relevantných bezpečnostných aktualizácií cez ich smartfón portfólio. Podpora po predaji smartfónu sa stále sústreďuje na limity aktualizácií verzií systému Android a opráv zariadení – a celkovému zabezpečeniu zariadenia sa nepripisuje veľký význam. Aktualizácie zabezpečenia nie sú metrikou, ktorú by marketingové oddelenie mohlo ľahkopredaťpre väčšinu koncových spotrebiteľov pre budúce smartfóny, takže výkon v tejto oblasti stále chýba. A kvôli obrovskej rozmanitosti vydaných smartfónov a ich nespočetným aktualizáciám v priebehu rokov je zhromažďovanie a kvantifikovanie týchto údajov tiež obrovskou úlohou. Napríklad Samsung si počínal veľmi dobre, pokiaľ ide o poskytovanie bezpečnostných aktualizácií pre svoje existujúce portfólio zariadení, ako je napr Galaxy S10, Galaxy Z Flip, Galaxy A50, Séria Galaxy Note 10, Galaxy A70, a séria Galaxy S20– stále však zostáva na posúdenie oveľa viac zariadení a chýba aj väčší graf priebehu aktualizácie zabezpečenia, ktorý by poskytol historický kontext.
Databáza zabezpečenia zariadení Android sa to snaží určitým spôsobom napraviť. V roku 2015, keď sa uskutočnila podobná iniciatíva, tím zmeral bezpečnosť zariadení s Androidom a dal im skóre z 10. Starý prístup mal niekoľko obmedzení, pretože sa vo veľkej miere zameral na posúdenie, či je zariadenie náchylné na známe zraniteľnosti alebo nie. Starší prístup nezohľadňoval iné aspekty zabezpečenia zariadenia, takže súčasný prístup sa pokúša o oveľa holistickejší pohľad na celkovú bezpečnosť zariadenia.
Jednou z oblastí, v ktorej chce tím oveľa viac preskúmať, je to, ako fungujú predinštalované aplikácie v kontexte bezpečnosti a súkromia používateľov. Predinštalované aplikácie majú často zvýšené povolenia, ktoré sú vopred udelené na úrovni platformy. V poslednom čase sme boli svedkami zvýšenej pozornosti voči predinštalovaným aplikáciám – niekedy sa to prejavuje vo forme sťažnosti na reklamy v predinštalovaných aplikáciách Samsung, a niekedy má formu a celoštátny zákaz niekoľkých predinštalovaných aplikácií Xiaomi Mi. Ako sa vykonáva dohľad nad týmito predinštalovanými aplikáciami od výrobcov OEM?
Výskumný tím rieši túto otázku odporúčaním väčšej transparentnosti a zodpovednosti za to, aké aplikácie sú predinštalované v zariadení a na čo majú povolenie. Za týmto účelom chce tím tiež pridať hodnotenie rizika aplikácie do svojej databázy a prípadne vytvoriť systém hodnotenia na hodnotenie zariadení podľa tohto aspektu. Výskumný tím tiež chce, aby bola jeho metodológia recenzovaná a hľadá spätnú väzbu od ostatných bezpečnostných výskumníkov, ktoré aspekty bezpečnosti predinštalovaných aplikácií by mali preskúmať.
Databáza má za cieľ stať sa meradlom pre hodnotenie celkovej bezpečnosti zariadenia a holistickej skúsenosti s bezpečnosťou pre OEM. Iniciatíva je v tejto fáze určite nedokončená a budúce plány zahŕňajú vývoj aplikácie, ktorá zhromažďuje bezpečnosť atribúty anonymným spôsobom a prezentuje ich porovnateľným spôsobom koncovým používateľom – podobne ako výkon súčasnej generácie benchmarky fungujú. S dostatočným počtom používateľov, ktorí dobrovoľne vložia tieto údaje do projektu, možno dúfať, že sa projekt stane životaschopným bezpečnostným štandardom, ktorý možno použiť na posúdenie celkových bezpečnostných postupov OEM. Zatiaľ čo minulá výkonnosť určite nie je zárukou budúcej akcie, táto databáza/benchmark by stále zjednodušilo neprehľadný a zložitý neporiadok, ktorý je v súčasnosti v stave bezpečnosti Androidu OS.