Истраживачи раде на бази података о безбедности Андроид уређаја – пројекту који има за циљ мерење, квантификацију и упоређивање безбедности уређаја међу произвођачима оригиналне опреме.
Корисници Андроид-а имају бројне опције када су у питању уређаји, са разноликом комбинацијом спецификација, функција и различитих буџета уређаја. Размажени смо избором, али то збуњује кориснике када су у питању карактеристике које се не могу лако измерити и упоредити. Узмимо, на пример, статус Андроид безбедности. Тренутно стање безбедности Андроид-а је далеко од савршеног, а ситуација постаје још сложенија у различитим ОЕМ-овима и различитим регионима. Дакле, ако бисте морали да упоредите два различита ОЕМ-а о томе колико су добро испоручили безбедносна ажурирања у свом портфељу, одговор се можда неће лако пронаћи. Група истраживача је преузела на себе да поправи ову ситуацију изградњом базе података о Андроид уређајима фокусирајући се на њихов општи ниво безбедности.
Ат тхе догађај виртуелног Андроид безбедносног симпозијума 2020
Препоручујемо да погледате разговор да бисте стекли бољу представу о намерама и сврхама базе података, али ћемо такође дати све од себе да инкапсулирамо информације у наставку.
Сврха иза База података о безбедности Андроид уређаја је да "прикупити и објавити релевантне податке о безбедносном ставу“ Андроид уређаја. Ово укључује информације о атрибутима као што је просечна учесталост закрпе, гарантовано максимално кашњење закрпе, најновији ниво безбедносне закрпе и други атрибути. Тхе база података тренутно укључује паметне телефоне као што су Самсунг Галаки С20 (Екинос), Нокиа 5.3, Гоогле Пикел 4, Ксиаоми Редми Ноте 7, Хуавеи П40, Сони Кспериа 10 и други.
Разговор покреће питање како ОЕМ-ови паметних телефона тренутно имају мало мотивације и мерљиви подстицај да обезбеде брза и релевантна безбедносна ажурирања на свом паметном телефону портфолио. Подршка након продаје за паметне телефоне је и даље усредсређена на границе ажурирања верзије Андроид-а и поправке уређаја — а општој безбедности уређаја се не придаје велики значај. Безбедносна ажурирања нису метрика коју маркетиншко одељење може лако "продати„већини крајњих потрошача за будуће паметне телефоне, тако да перформансе у овој области и даље недостају. А због великог броја издатих паметних телефона и безбројних ажурирања током година, прикупљање и квантификација ових података је такође огроман задатак. На пример, Самсунг ради веома добро у смислу обезбеђивања безбедносних ажурирања за свој постојећи портфељ уређаја, као што је Галаки С10, Галаки З Флип, Галаки А50, Галаки Ноте 10 серија, Галаки А70, и серија Галаки С20— али има још много уређаја за процену, а недостаје и већи графикон напретка безбедносног ажурирања који би пружио историјски контекст.
База података о безбедности Андроид уређаја покушава да поправи ово на неки начин. Још 2015. године, када је предузета слична иницијатива, тим је измерио безбедност Андроид уређаја и дао им оцену од 10. Стари приступ је имао неколико ограничења, јер се у великој мери фокусирао на процену да ли је уређај подложан познатим рањивостима или не. Старији приступ није узимао у обзир друге аспекте безбедности уређаја, тако да тренутни приступ покушава да сагледа много холистичкији поглед на укупну безбедност уређаја.
Једна област у којој тим жели да истражи много даље је како унапред инсталиране апликације раде у контексту безбедности и приватности корисника. Унапред инсталиране апликације често имају повишене дозволе које су унапред додељене на нивоу платформе. Видели смо повећану пажњу према унапред инсталираним апликацијама у последње време—понекад се то манифестује у облику жалбе на огласе у унапред инсталираним Самсунг апликацијама, а понекад има облик а национална забрана неколико унапред инсталираних Ксиаоми Ми апликација. Како неко врши надзор над овим унапред инсталираним апликацијама од стране ОЕМ-а?
Истраживачки тим се бави овим питањем тако што препоручује већу транспарентност и одговорност у погледу тога које су апликације унапред инсталиране на уређају и шта имају дозволу да раде. Да би то урадио, тим такође жели да дода оцену ризика апликације у своју базу података и на крају креира систем оцењивања за рангирање уређаја по овом аспекту. Истраживачки тим такође жели да његова методологија буде рецензирана од стране колега и тражи повратне информације од других истраживача безбедности о томе које аспекте безбедности унапред инсталираних апликација треба да испитају.
База података има за циљ да постане мерило за процену укупне безбедности уређаја и холистичког безбедносног искуства за ОЕМ. Иницијатива је дефинитивно у току у овој фази, а будући планови укључују развој апликације која прикупља сигурност атрибуте на анониман начин и представља их на упоредив начин са крајњим корисницима—слично као перформансе тренутне генерације бенчмаркови раде. Са довољним бројем корисника који добровољно предају ове податке пројекту, може се надати да ће пројекат постати одржив безбедносни стандард који се може користити за процену целокупне безбедносне праксе ОЕМ-а. Иако прошли учинак свакако није гаранција за будуће акције, ова база података/бенцхмарк и даље би поједноставио непрозирну и сложену збрку која је тренутно стање Андроид безбедности као ан ОС.