Forskare arbetar med en säkerhetsdatabas för Android-enheter – ett projekt som syftar till att mäta, kvantifiera och jämföra enhetssäkerhet mellan OEM-tillverkare.
Android-användare har många alternativ när det kommer till enheter, med en varierad kombination av specifikationer, funktioner och olika enhetsbudgetar. Vi är bortskämda med valmöjligheter, men detta förvirrar användare när det kommer till funktioner som inte enkelt kan mätas och jämföras. Ta till exempel Android-säkerhetsstatusen. Det nuvarande tillståndet för Android-säkerhet är långt ifrån perfekt, och situationen blir ännu mer komplex för olika OEM-tillverkare och olika regioner. Så om du var tvungen att jämföra två olika OEM-tillverkare om hur väl de har levererat säkerhetsuppdateringar i hela sin portfölj, kanske svaret inte är lätt att hitta. En grupp forskare har tagit på sig att åtgärda denna situation genom att bygga en databas med Android-enheter med fokus på deras övergripande säkerhetsnivå.
Vid virtuellt Android Security Symposium 2020-evenemang
Vi rekommenderar att du tittar på föredraget för att få en bättre uppfattning om databasens avsikter och syften, men vi kommer också att göra vårt bästa för att kapsla in informationen nedan.
Syftet bakom Android-enhets säkerhetsdatabas är att"samla in och publicera relevant information om säkerhetsställningen" av Android-enheter. Detta inkluderar information om attribut som den genomsnittliga patchfrekvensen, den garanterade maximala patchfördröjningen, den senaste säkerhetskorrigeringsnivån och andra attribut. De databasen innehåller för närvarande smartphones som Samsung Galaxy S20 (Exynos), Nokia 5.3, Google Pixel 4, Xiaomi Redmi Note 7, Huawei P40, Sony Xperia 10 och mer.
Föredraget tar upp frågan om hur smartphone OEMs för närvarande har lite när det gäller motivation och kvantifierbara incitament för att tillhandahålla snabba och relevanta säkerhetsuppdateringar över sin smartphone portfölj. Support för smartphones efter försäljning är fortfarande centrerat kring gränserna för Android-versionsuppdateringar och enhetsreparationer – och den övergripande enhetens säkerhet ges inte mycket vikt. Säkerhetsuppdateringar är inte ett mått som en marknadsavdelning lätt kan "sälja" till de flesta slutkonsumenter för framtida smartphones, så prestanda inom detta område förblir bristfällig. Och på grund av det enorma utbudet av smartphones som släppts och de otaliga uppdateringarna av dem under åren, är det också en enorm uppgift att samla in och kvantifiera dessa data. Till exempel har Samsung gjort det mycket bra när det gäller att tillhandahålla säkerhetsuppdateringar till sin befintliga portfölj av enheter, som Galaxy S10, Galaxy Z Flip, Galaxy A50, Galaxy Note 10-serien, Galaxy A70, och Galaxy S20-serien— Men det finns fortfarande så många fler enheter kvar att bedöma och ett större framstegsdiagram för säkerhetsuppdateringar saknas också för att ge historiska sammanhang.
Android Device Security Database försöker fixa detta på ett sätt. Redan 2015, när ett liknande initiativ togs, hade teamet mätt säkerheten för Android-enheter och gett dem ett betyg av 10. Det gamla tillvägagångssättet hade några begränsningar, eftersom det fokuserade mycket på att bedöma om en enhet var mottaglig för kända sårbarheter eller inte. Det äldre tillvägagångssättet tog inte hänsyn till andra aspekter av enhetssäkerhet, så det nuvarande tillvägagångssättet försöker ta en mycket mer holistisk titt på enhetens övergripande säkerhet.
Ett område där teamet vill utforska mycket mer är hur förinstallerade appar presterar inom ramen för säkerhet och användarintegritet. Förinstallerade appar har ofta förhöjda behörigheter som är förbeviljade på plattformsnivå. Vi har sett ökad uppmärksamhet på förinstallerade appar på senare tid – ibland visar det sig i form av klagomål om annonser i förinstallerade Samsung-appar, och ibland tar det formen av en rikstäckande förbud mot flera förinstallerade Xiaomi Mi-appar. Hur utövar man tillsyn över dessa förinstallerade appar av OEM-tillverkare?
Forskarteamet tar itu med denna fråga genom att rekommendera mer transparens och ansvarsskyldighet i vilka appar som är förinstallerade på en enhet och vad de har tillstånd att göra. För att göra detta vill teamet också lägga till en appriskklassificering i sin databas och så småningom skapa ett klassificeringssystem för att rangordna enheter i denna aspekt. Forskargruppen vill också att dess metod ska granskas av fackmän och söker feedback från andra säkerhetsforskare om vilka aspekter av säkerheten för förinstallerade appar de bör titta på.
Databasen syftar till att bli ett riktmärke för att bedöma den övergripande säkerheten för en enhet och den holistiska säkerhetsupplevelsen för en OEM. Initiativet är definitivt ett pågående arbete i detta skede, och framtida planer inkluderar att utveckla en app som samlar säkerhet attribut på ett anonymt sätt och presenterar det på ett jämförbart sätt för slutanvändare - ungefär som hur nuvarande generations prestanda riktmärken fungerar. Med tillräckligt många användare som frivilligt lämnar in denna data till projektet, kan man hoppas att projektet blir ett hållbart säkerhetsriktmärke som kan användas för att bedöma en OEMs övergripande säkerhetspraxis. Även om tidigare resultat verkligen inte är någon garanti för framtida åtgärder, är denna databas/riktmärke skulle fortfarande förenkla den ogenomskinliga och komplexa röran som för närvarande är tillståndet för Android-säkerhet som ett OS.