Дослідники працюють над базою даних безпеки пристроїв Android – проектом, метою якого є вимірювання, кількісна оцінка та порівняння безпеки пристроїв між OEM-виробниками.
Користувачі Android мають багато варіантів, коли мова заходить про пристрої, із різноманітною комбінацією специфікацій, функцій і різних бюджетів пристроїв. Ми розпещені вибором, але це бентежить користувачів, коли мова заходить про характеристики, які неможливо легко виміряти та порівняти. Візьмемо, наприклад, статус безпеки Android. Поточний стан безпеки Android далекий від ідеального, і ситуація стає ще складнішою в різних OEM-виробниках і в різних регіонах. Отже, якщо вам довелося порівняти двох різних OEM-виробників щодо того, наскільки добре вони забезпечили оновлення безпеки для свого портфоліо, відповідь може бути непростою. Група дослідників взяла на себе завдання виправити цю ситуацію, створивши базу даних пристроїв Android, зосередившись на їх загальному рівні безпеки.
Біля віртуальна подія Android Security Symposium 2020
Ми рекомендуємо переглянути розмову, щоб отримати краще уявлення про наміри та цілі бази даних, але ми також докладемо всіх зусиль, щоб охопити інформацію нижче.
Мета, що стоїть за База даних безпеки пристрою Android це "збирати та публікувати відповідні дані про стан безпеки" пристроїв Android. Це включає інформація про атрибути наприклад середня частота виправлень, гарантована максимальна затримка виправлення, останній рівень виправлення безпеки та інші атрибути. The база даних наразі включає такі смартфони, як Samsung Galaxy S20 (Exynos), Nokia 5.3, Google Pixel 4, Xiaomi Redmi Note 7, Huawei P40, Sony Xperia 10 тощо.
Розмова піднімає питання про те, чому виробники смартфонів наразі мають мало мотивації та кількісно виміряний стимул для надання швидких і актуальних оновлень безпеки на своїх смартфонах портфоліо. Післяпродажна підтримка смартфонів все ще зосереджена навколо оновлень версій Android і ремонту пристроїв, а загальна безпека пристрою не надається особливого значення. Оновлення системи безпеки не є показником, який відділ маркетингу може легко визначити "продати" для більшості кінцевих споживачів майбутніх смартфонів, тому продуктивність у цій сфері залишається недостатньою. І через величезну різноманітність випущених смартфонів і незліченну кількість оновлень для них протягом багатьох років, збір і кількісна оцінка цих даних також є гігантським завданням. Наприклад, Samsung дуже добре працює в плані забезпечення оновлень безпеки для свого існуючого портфоліо пристроїв, як-от Galaxy S10, Galaxy Z Flip, Galaxy A50, Серія Galaxy Note 10, Galaxy A70, і серії Galaxy S20— але залишилося ще багато пристроїв для оцінки, а також відсутня більша діаграма прогресу оновлення безпеки, щоб надати історичний контекст.
База даних безпеки пристроїв Android намагається певним чином це виправити. Ще в 2015 році, коли була реалізована подібна ініціатива, команда виміряла безпеку пристроїв Android і поставила їм 10 балів. Старий підхід мав кілька обмежень, оскільки він зосереджувався на оцінці того, чи був пристрій чутливим до відомих уразливостей чи ні. Старіший підхід не враховував інші аспекти безпеки пристрою, тому нинішній підхід має на меті більш цілісний погляд на загальну безпеку пристрою.
Однією з областей, яку команда хоче вивчити набагато далі, є те, як попередньо встановлені програми працюють у контексті безпеки та конфіденційності користувачів. Попередньо встановлені програми часто мають підвищені дозволи, які попередньо надаються на рівні платформи. Останнім часом ми спостерігаємо підвищену увагу до попередньо встановлених програм — інколи це проявляється у формі скарги на рекламу в попередньо встановлених програмах Samsung, а іноді він приймає форму a загальнонаціональна заборона кількох попередньо встановлених додатків Xiaomi Mi. Як можна здійснювати нагляд за цими попередньо встановленими програмами OEM-виробниками?
Дослідницька група вирішує це питання, рекомендуючи більше прозорості та підзвітності щодо того, які програми попередньо встановлено на пристрої та на що вони мають дозвіл. Для цього команда також хоче додати рейтинг ризику додатка в свою базу даних і, зрештою, створити рейтингову систему для ранжирування пристроїв за цим аспектом. Дослідницька група також хоче, щоб її методологія була рецензована експертами, і шукає відгуки від інших дослідників безпеки щодо того, на які аспекти безпеки попередньо встановлених програм їм слід звернути увагу.
База даних має стати еталоном для оцінки загальної безпеки пристрою та цілісного досвіду безпеки для OEM. Ініціатива, безсумнівно, на даному етапі ще триває, і в майбутні плани входить розробка програми, яка збирає засоби безпеки атрибути в анонімній манері та представляє їх у порівнянний спосіб кінцевим користувачам — подібно до продуктивності поточного покоління тести роботи. З достатньою кількістю користувачів, які добровільно надсилають ці дані для проекту, можна сподіватися, що проект стане життєздатним еталоном безпеки, який можна використовувати для оцінки загальних методів безпеки виробника обладнання. Незважаючи на те, що попередні показники не є гарантією щодо майбутніх дій, ця база даних/еталонний тест як і раніше спростить непрозорий і складний безлад, яким зараз є стан безпеки Android ОС.