Raziskovalci delajo na zbirki podatkov o varnosti naprav Android – projektu, katerega namen je meriti, količinsko opredeliti in primerjati varnost naprav med proizvajalci originalne opreme.
Uporabniki Androida imajo številne možnosti, ko gre za naprave, z raznoliko kombinacijo specifikacij, funkcij in različnih proračunov za naprave. Razvajeni smo z izbiro, vendar to uporabnike zmede, ko gre za funkcije, ki jih ni mogoče zlahka izmeriti in primerjati. Vzemimo za primer stanje varnosti Android. Trenutno stanje varnosti Androida še zdaleč ni popolno in situacija postane še bolj zapletena med različnimi proizvajalci originalne opreme in različnimi regijami. Če bi torej morali primerjati dva različna proizvajalca originalne opreme glede tega, kako dobro sta zagotovila varnostne posodobitve v svojem portfelju, odgovora morda ne boste zlahka našli. Skupina raziskovalcev se je zavezala, da bo to situacijo popravila tako, da je zgradila zbirko podatkov o napravah Android, ki se osredotočajo na njihovo splošno raven varnosti.
Pri virtualni dogodek Android Security Symposium 2020, skupina raziskovalcev, vključno z g. Danielom R. Thomas, g. Alastair R. Beresfor in g. René Mayrhofer sta predstavila predavanje z naslovom "Baza podatkov o varnosti naprav Android".
Priporočamo, da si ogledate pogovor, da boste bolje razumeli namere in namene baze podatkov, potrudili pa se bomo tudi pri strnjevanju spodnjih informacij.
Namen za Zbirka podatkov o varnosti naprav Android je "zbirati in objavljati ustrezne podatke o varnostni drži" naprav Android. To vključuje informacije o atributih kot so povprečna pogostost popravkov, zajamčena največja zakasnitev popravkov, najnovejša raven varnostnega popravka in drugi atributi. The baza podatkov trenutno vključuje pametni telefoni, kot so Samsung Galaxy S20 (Exynos), Nokia 5.3, Google Pixel 4, Xiaomi Redmi Note 7, Huawei P40, Sony Xperia 10 in drugi.
Pogovor odpira vprašanje, kako imajo proizvajalci originalne opreme pametnih telefonov trenutno malo motivacije in merljivo spodbudo za zagotavljanje hitrih in ustreznih varnostnih posodobitev v njihovem pametnem telefonu portfelj. Poprodajna podpora za pametne telefone je še vedno osredotočena na omejitve posodobitev različice Androida in popravil naprav – splošna varnost naprave pa ni veliko pomembna. Varnostne posodobitve niso metrika, ki bi jo lahko oddelek za trženje zlahka "prodati" večini končnih potrošnikov za prihodnje pametne telefone, zato zmogljivost na tem področju ostaja pomanjkljiva. Zaradi velikega števila izdanih pametnih telefonov in neštetih posodobitev zanje v preteklih letih je zbiranje in kvantificiranje teh podatkov prav tako velikanska naloga. Na primer, Samsungu je šlo zelo dobro v smislu zagotavljanja varnostnih posodobitev za svoj obstoječi portfelj naprav, kot je Galaxy S10, Galaxy Z Flip, Galaxy A50, Serija Galaxy Note 10, Galaxy A70, in serije Galaxy S20—vendar je še vedno toliko naprav, ki jih je treba oceniti, manjka pa tudi večja tabela napredka varnostnih posodobitev, ki bi zagotovila zgodovinski kontekst.
Zbirka podatkov o varnosti naprav Android poskuša to na nek način popraviti. Leta 2015, ko je bila izvedena podobna pobuda, je ekipa izmerila varnost naprav Android in jim dala oceno od 10. Stari pristop je imel nekaj omejitev, saj se je močno osredotočal na ocenjevanje, ali je naprava dovzetna za znane ranljivosti ali ne. Starejši pristop ni upošteval drugih vidikov varnosti naprave, zato sedanji pristop poskuša veliko bolj celovito pogledati celotno varnost naprave.
Eno od področij, ki ga ekipa želi še veliko raziskati, je, kako delujejo vnaprej nameščene aplikacije v kontekstu varnosti in zasebnosti uporabnikov. Vnaprej nameščene aplikacije imajo pogosto povišana dovoljenja, ki so vnaprej dodeljena na ravni platforme. V zadnjem času smo opazili večjo pozornost do vnaprej nameščenih aplikacij – včasih se kaže v obliki pritožbe glede oglasov v vnaprej nameščenih aplikacijah Samsung, včasih pa ima obliko a državna prepoved več vnaprej nameščenih aplikacij Xiaomi Mi. Kako proizvajalci originalne opreme izvajajo nadzor nad temi vnaprej nameščenimi aplikacijami?
Raziskovalna skupina se s tem vprašanjem ukvarja tako, da priporoča večjo preglednost in odgovornost glede tega, katere aplikacije so vnaprej nameščene v napravi in za kaj imajo dovoljenja. Da bi to naredili, želi ekipa v svojo zbirko podatkov dodati tudi oceno tveganja aplikacije in sčasoma ustvariti sistem ocenjevanja za razvrščanje naprav glede na ta vidik. Raziskovalna skupina želi tudi strokovno recenzirati svojo metodologijo in išče povratne informacije drugih varnostnih raziskovalcev o tem, katere vidike varnosti vnaprej nameščenih aplikacij bi morali preučiti.
Baza podatkov želi postati merilo uspešnosti za ocenjevanje splošne varnosti naprave in celostne varnostne izkušnje za OEM. Pobuda je v tej fazi vsekakor v teku, prihodnji načrti pa vključujejo razvoj aplikacije, ki zbira varnost atribute na anonimen način in jih končnim uporabnikom predstavi na primerljiv način – podobno kot zmogljivost trenutne generacije merila uspešnosti delujejo. Z zadostnim številom uporabnikov, ki prostovoljno posredujejo te podatke v projekt, lahko upamo, da bo projekt postal uspešno varnostno merilo, ki ga je mogoče uporabiti za oceno splošne varnostne prakse proizvajalca originalne opreme. Medtem ko pretekla uspešnost zagotovo ni zagotovilo za prihodnje ukrepe, ta zbirka podatkov/primerjalna vrednost bi še vedno poenostavil nepregledno in zapleteno zmešnjavo, ki je trenutno stanje varnosti Androida OS.