Araştırmacılar, OEM'ler genelinde cihaz güvenliğini ölçmeyi, ölçmeyi ve karşılaştırmayı amaçlayan bir proje olan Android Cihaz Güvenliği Veritabanı üzerinde çalışıyor.
Android kullanıcıları, cihazlar söz konusu olduğunda, çeşitli teknik özellikler, özellikler ve farklı cihaz bütçeleri kombinasyonuna sahip çok sayıda seçeneğe sahiptir. Seçimlerimiz bizi şımartıyor ancak konu kolayca ölçülemeyen ve karşılaştırılamayan özellikler olduğunda bu durum kullanıcıların kafasını karıştırıyor. Örneğin Android Güvenlik durumunu ele alalım. Android güvenliğinin mevcut durumu mükemmel olmaktan çok uzaktır ve farklı OEM'ler ve farklı bölgelerde durum daha da karmaşık hale gelmektedir. Dolayısıyla, iki farklı OEM'i portföylerindeki güvenlik güncellemelerini ne kadar iyi sağladıklarına ilişkin olarak karşılaştırmak zorunda kalırsanız, yanıt kolaylıkla bulunamayabilir. Bir grup araştırmacı, genel güvenlik düzeylerine odaklanan Android cihazlardan oluşan bir veritabanı oluşturarak bu duruma çözüm bulmayı görev edindi.
Şunda sanal Android Güvenlik Sempozyumu 2020 etkinliği, aralarında Bay Daniel R.'nin de bulunduğu bir grup araştırmacı. Thomas, Bay Alastair R. Beresfor ve Sayın René Mayrhofer, "Android Cihaz Güvenliği Veritabanı" adlı bir konuşma sundular.
Veritabanının amaç ve amaçları hakkında daha iyi bir fikir edinmek için konuşmayı izlemenizi öneririz, ancak aynı zamanda bilgileri aşağıda özetlemek için elimizden gelenin en iyisini yapacağız.
Arkasındaki amaç Android Cihaz Güvenliği Veritabanı "Güvenlik duruşuyla ilgili verileri toplayın ve yayınlayın" Android cihazların. Bu içerir nitelikler hakkında bilgi ortalama yama sıklığı, garanti edilen maksimum yama gecikmesi, en son güvenlik yaması düzeyi ve diğer özellikler gibi. veritabanı şu anda içerir Samsung Galaxy S20 (Exynos), Nokia 5.3, Google Pixel 4, Xiaomi Redmi Note 7, Huawei P40, Sony Xperia 10 ve daha fazlası gibi akıllı telefonlar.
Konuşmada, akıllı telefon OEM'lerinin şu anda motivasyon açısından çok az şeye sahip olduğu ve Akıllı telefonlarında hızlı ve ilgili güvenlik güncellemeleri sağlamaya yönelik ölçülebilir teşvik portföy. Akıllı telefon satış sonrası desteği hâlâ Android sürüm güncellemeleri ve cihaz onarımlarının sınırlarına odaklanıyor ve genel cihaz güvenliğine pek önem verilmiyor. Güvenlik güncellemeleri bir pazarlama departmanının kolayca yapabileceği bir ölçüm değil "satmak"geleceğin akıllı telefonları için çoğu son tüketiciye hitap ediyor, bu nedenle bu alandaki performans yetersiz kalıyor. Piyasaya sürülen çok çeşitli akıllı telefonlar ve yıllar içinde bunlara yapılan sayısız güncellemeler nedeniyle, bu verileri toplamak ve ölçmek de devasa bir iştir. Örneğin Samsung, mevcut cihaz portföyüne güvenlik güncellemeleri sağlama konusunda çok iyi bir performans sergiliyor. Galaxy S10, Galaxy Z Flip, Galaxy A50, Galaxy Note 10 serisi, Galaxy A70, Ve Galaxy S20 serisi— ancak hâlâ değerlendirilmesi gereken çok daha fazla cihaz var ve tarihsel bağlamı sağlamak için daha büyük bir güvenlik güncellemesi ilerleme tablosu da eksik.
Android Cihaz Güvenliği Veritabanı bunu bir şekilde düzeltmeye çalışıyor. 2015 yılında da benzer bir girişim başlatıldığında ekip, Android cihazların güvenliğini ölçmüş ve onlara 10 üzerinden puan vermişti. Eski yaklaşımın birkaç sınırlaması vardı, çünkü ağırlıklı olarak bir cihazın bilinen güvenlik açıklarına duyarlı olup olmadığını değerlendirmeye odaklanıyordu. Eski yaklaşım, cihaz güvenliğinin diğer yönlerini dikkate almıyordu; dolayısıyla mevcut yaklaşım, genel cihaz güvenliğine çok daha bütünsel bir bakış açısı getirmeye çalışıyor.
Ekibin daha fazla araştırmak istediği alanlardan biri de önceden yüklenmiş uygulamaların güvenlik ve kullanıcı gizliliği bağlamında nasıl performans gösterdiğidir. Önceden yüklenmiş uygulamalar genellikle platform düzeyinde önceden verilen yükseltilmiş izinlere sahiptir. Son zamanlarda önceden yüklenmiş uygulamalara olan ilginin arttığını görüyoruz; bazen bu durum şu şekilde kendini gösteriyor: önceden yüklenmiş Samsung uygulamalarındaki reklamlarla ilgili şikayetlerve bazen şeklini alır Önceden yüklenmiş birkaç Xiaomi Mi uygulamasına ülke çapında yasak. OEM'ler tarafından önceden yüklenmiş bu uygulamalar nasıl denetlenebilir?
Araştırma ekibi, bir cihaza hangi uygulamaların önceden yüklendiği ve ne yapma iznine sahip olduğu konusunda daha fazla şeffaflık ve hesap verebilirlik önererek bu soruyu ele alıyor. Bunu yapmak için ekip ayrıca veritabanlarına bir uygulama risk derecelendirmesi eklemek ve sonunda cihazları bu açıdan sıralayacak bir derecelendirme sistemi oluşturmak istiyor. Araştırma ekibi aynı zamanda metodolojisinin hakemli olarak değerlendirilmesini istiyor ve diğer güvenlik araştırmacılarından, önceden yüklenmiş uygulamaların güvenliğinin hangi yönlerini incelemeleri gerektiği konusunda geri bildirim istiyor.
Veritabanı, bir cihazın genel güvenliğini ve bir OEM için bütünsel güvenlik deneyimini değerlendirmek için bir referans noktası olmayı hedefliyor. Girişim şu aşamada kesinlikle devam eden bir çalışmadır ve gelecek planları arasında güvenlik toplayan bir uygulamanın geliştirilmesi de yer almaktadır. nitelikleri anonim bir şekilde sunar ve bunları son kullanıcılara karşılaştırılabilir bir şekilde sunar; tıpkı mevcut nesil performansın nasıl olduğu gibi Benchmarklar işe yarıyor. Yeterli sayıda kullanıcının bu verileri projeye gönüllü olarak sunmasıyla, projenin bir OEM'in genel güvenlik uygulamalarını değerlendirmek için kullanılabilecek geçerli bir güvenlik kriteri haline gelmesi umut edilebilir. Geçmiş performans gelecekteki eylemlere yönelik kesinlikle bir garanti olmasa da, bu veritabanı/kıyaslama şu anda Android güvenliğinin durumu olan opak ve karmaşık karışıklığı hala basitleştirecektir. bir işletim sistemi.