นักวิจัยกำลังทำงานเกี่ยวกับฐานข้อมูลความปลอดภัยของอุปกรณ์ Android ซึ่งเป็นโครงการที่มีจุดมุ่งหมายเพื่อวัดผล ปริมาณ และเปรียบเทียบความปลอดภัยของอุปกรณ์ใน OEM
ผู้ใช้ Android มีตัวเลือกมากมายสำหรับอุปกรณ์ โดยมีการผสมผสานระหว่างคุณสมบัติ คุณสมบัติ และงบประมาณของอุปกรณ์ที่แตกต่างกัน เรามีทางเลือกมากมาย แต่สิ่งนี้ทำให้ผู้ใช้สับสนเมื่อพูดถึงคุณสมบัติที่ไม่สามารถวัดและเปรียบเทียบได้ง่าย ยกตัวอย่าง สถานะความปลอดภัยของ Android สถานะการรักษาความปลอดภัยของ Android ในปัจจุบันยังห่างไกลจากความสมบูรณ์แบบ และสถานการณ์ก็ยิ่งซับซ้อนยิ่งขึ้นใน OEM ต่างๆ และภูมิภาคต่างๆ ดังนั้น หากคุณต้องเปรียบเทียบ OEM สองรายที่แตกต่างกันว่าพวกเขาส่งมอบการอัปเดตความปลอดภัยทั่วทั้งพอร์ตโฟลิโอได้ดีเพียงใด คำตอบก็อาจหาคำตอบไม่ได้ง่ายๆ นักวิจัยกลุ่มหนึ่งได้ดำเนินการแก้ไขสถานการณ์นี้ด้วยการสร้างฐานข้อมูลของอุปกรณ์ Android ที่เน้นที่ระดับความปลอดภัยโดยรวม
ที่ งาน Virtual Android Security Symposium 2020ซึ่งเป็นกลุ่มนักวิจัย ได้แก่ นายแดเนียล อาร์. โทมัส นายอลาสแตร์ อาร์. Beresfor และ Mr. René Mayrhofer นำเสนอปาฐกถาเรื่อง "ฐานข้อมูลความปลอดภัยของอุปกรณ์ Android"
เราขอแนะนำให้ดูการพูดคุยเพื่อทำความเข้าใจเจตนาและวัตถุประสงค์ของฐานข้อมูลให้ดีขึ้น แต่เราจะพยายามอย่างดีที่สุดในการสรุปข้อมูลด้านล่างนี้
จุดประสงค์เบื้องหลัง. ฐานข้อมูลความปลอดภัยของอุปกรณ์ Android คือการ "รวบรวมและเผยแพร่ข้อมูลที่เกี่ยวข้องกับมาตรการรักษาความปลอดภัยของอุปกรณ์ Android ซึ่งรวมถึง ข้อมูลเกี่ยวกับคุณลักษณะ เช่น ความถี่แพตช์เฉลี่ย ความล่าช้าแพตช์สูงสุดที่รับประกัน ระดับแพตช์ความปลอดภัยล่าสุด และคุณลักษณะอื่นๆ ที่ ฐานข้อมูลในปัจจุบันประกอบด้วย สมาร์ทโฟนอย่าง Samsung Galaxy S20 (Exynos), Nokia 5.3, Google Pixel 4, Xiaomi Redmi Note 7, Huawei P40, Sony Xperia 10 และอีกมากมาย
การพูดคุยดังกล่าวทำให้เกิดประเด็นว่าปัจจุบัน OEM ของสมาร์ทโฟนมีแรงจูงใจเพียงเล็กน้อยและ สิ่งจูงใจเชิงปริมาณเพื่อให้การอัปเดตความปลอดภัยที่รวดเร็วและเกี่ยวข้องทั่วทั้งสมาร์ทโฟนของพวกเขา ผลงาน การสนับสนุนหลังการขายของสมาร์ทโฟนยังคงมุ่งเน้นไปที่ขีดจำกัดของการอัปเดตเวอร์ชัน Android และการซ่อมอุปกรณ์ และความปลอดภัยของอุปกรณ์โดยรวมไม่ได้ให้ความสำคัญมากนัก การอัปเดตความปลอดภัยไม่ใช่ตัวชี้วัดที่ฝ่ายการตลาดสามารถทำได้ง่ายๆ "ขาย"ถึงผู้บริโภคส่วนใหญ่สำหรับสมาร์ทโฟนในอนาคต ดังนั้นประสิทธิภาพในด้านนี้จึงยังขาดอยู่ และเนื่องจากสมาร์ทโฟนที่หลากหลายจำนวนมากที่เปิดตัวและการอัปเดตจำนวนนับไม่ถ้วนตลอดหลายปีที่ผ่านมา การรวบรวมและการหาปริมาณข้อมูลนี้จึงเป็นงานที่ยิ่งใหญ่เช่นกัน ตัวอย่างเช่น Samsung ทำได้ดีมากในแง่ของการมอบการอัปเดตความปลอดภัยให้กับกลุ่มอุปกรณ์ที่มีอยู่ เช่น Galaxy S10, Galaxy Z Flip, Galaxy A50, กาแลคซี่ โน้ต 10 ซีรีส์, กาแลคซี่ เอ 70, และ กาแลคซี่ เอส 20 ซีรีส์—แต่ยังมีอุปกรณ์อีกมากมายที่ต้องประเมิน และแผนภูมิความคืบหน้าการอัปเดตความปลอดภัยที่ใหญ่ขึ้นก็ขาดหายไปเพื่อให้บริบททางประวัติศาสตร์
ฐานข้อมูลความปลอดภัยของอุปกรณ์ Android พยายามแก้ไขปัญหานี้ด้วยวิธีใดวิธีหนึ่ง ย้อนกลับไปในปี 2015 เมื่อมีการริเริ่มที่คล้ายกัน ทีมงานได้วัดความปลอดภัยของอุปกรณ์ Android และให้คะแนนเต็ม 10 วิธีการแบบเก่ามีข้อจำกัดบางประการ เนื่องจากเน้นไปที่การประเมินว่าอุปกรณ์มีความอ่อนไหวต่อช่องโหว่ที่ทราบหรือไม่ วิธีการแบบเก่าไม่ได้คำนึงถึงแง่มุมอื่นๆ ของการรักษาความปลอดภัยของอุปกรณ์ ดังนั้นแนวทางปัจจุบันจึงพยายามที่จะพิจารณาความปลอดภัยของอุปกรณ์โดยรวมแบบองค์รวมมากขึ้น
ด้านหนึ่งที่ทีมต้องการสำรวจเพิ่มเติมคือประสิทธิภาพของแอปที่ติดตั้งไว้ล่วงหน้าในบริบทด้านความปลอดภัยและความเป็นส่วนตัวของผู้ใช้ แอพที่ติดตั้งไว้ล่วงหน้ามักจะมีสิทธิ์ระดับสูงที่ได้รับการอนุญาตล่วงหน้าในระดับแพลตฟอร์ม เราสังเกตเห็นความสนใจเพิ่มขึ้นต่อแอปที่ติดตั้งไว้ล่วงหน้าในช่วงไม่กี่ครั้งที่ผ่านมา ซึ่งบางครั้งก็แสดงออกมาในรูปแบบของ ข้อร้องเรียนเกี่ยวกับโฆษณาในแอพ Samsung ที่ติดตั้งไว้ล่วงหน้าและบางครั้งก็อยู่ในรูปของ a ทั่วประเทศแบนแอป Xiaomi Mi ที่ติดตั้งไว้ล่วงหน้าหลายแอป. เราจะควบคุมดูแลแอปที่ติดตั้งล่วงหน้าเหล่านี้โดย OEM อย่างไร
ทีมวิจัยกำลังจัดการกับคำถามนี้โดยแนะนำความโปร่งใสและความรับผิดชอบมากขึ้นว่าแอปใดบ้างที่ติดตั้งไว้ล่วงหน้าบนอุปกรณ์ และสิ่งที่พวกเขาได้รับอนุญาตให้ทำ ในการดำเนินการนี้ ทีมงานยังต้องการเพิ่มระดับความเสี่ยงของแอปลงในฐานข้อมูลของพวกเขา และท้ายที่สุดจะสร้างระบบการให้คะแนนเพื่อจัดอันดับอุปกรณ์ในด้านนี้ ทีมวิจัยยังต้องการให้วิธีการของตนได้รับการตรวจสอบโดยผู้ทรงคุณวุฒิ และกำลังขอคำติชมจากนักวิจัยด้านความปลอดภัยคนอื่นๆ ว่าพวกเขาควรพิจารณาแง่มุมใดของการรักษาความปลอดภัยสำหรับแอปที่ติดตั้งไว้ล่วงหน้า
ฐานข้อมูลมีเป้าหมายเพื่อเป็นเกณฑ์มาตรฐานในการประเมินความปลอดภัยโดยรวมของอุปกรณ์และประสบการณ์ด้านความปลอดภัยแบบองค์รวมสำหรับ OEM ความคิดริเริ่มนี้อยู่ในระหว่างดำเนินการอย่างแน่นอนในขั้นตอนนี้ และแผนในอนาคตรวมถึงการพัฒนาแอปที่รวบรวมความปลอดภัย คุณลักษณะในลักษณะที่ไม่ระบุชื่อและนำเสนอในลักษณะที่เทียบเคียงกับผู้ใช้ปลายทางได้ เช่นเดียวกับประสิทธิภาพของรุ่นปัจจุบัน เกณฑ์มาตรฐานทำงาน เมื่อมีผู้ใช้อาสาสมัครให้ข้อมูลนี้แก่โปรเจ็กต์มากพอ ใครๆ ก็หวังได้ว่าโปรเจ็กต์นี้จะกลายเป็นเกณฑ์มาตรฐานด้านความปลอดภัยที่นำไปใช้ประเมินแนวทางปฏิบัติด้านความปลอดภัยโดยรวมของ OEM ได้ แม้ว่าประสิทธิภาพในอดีตจะไม่รับประกันถึงการดำเนินการในอนาคตอย่างแน่นอน แต่ฐานข้อมูล/เกณฑ์มาตรฐานนี้ จะยังคงลดความซับซ้อนของความยุ่งเหยิงที่ทึบแสงและซับซ้อนซึ่งเป็นสถานะของความปลอดภัยของ Android ในปัจจุบัน ระบบปฏิบัติการ