Android用户在设备方面有很多选择,包括规格、功能和设备预算的不同组合。我们被选择宠坏了,但当涉及到不容易衡量和比较的功能时,它会让用户感到困惑。以安卓安全状况为例。Android安全现状远非完美,不同OEM厂商、不同地区的情况变得更加复杂。因此,如果您必须比较两个不同的OEM在整个产品组合中提供安全更新的情况,可能很难找到答案。一组研究人员已经开始通过建立一个专注于整体安全水平的Android设备数据库来纠正这种情况。
在2020虚拟Android安全研讨会上,Daniel R. Thomas、Alastair R. Beresfor和RenMayrhofer等研究人员发表了题为“Android设备安全数据库”的演讲。
我们建议您观看讲座,以更好地理解数据库的意图和目的,但我们也将尽力封装以下信息。
Android设备安全数据库的目的是“收集和发布有关Android设备安全状况的相关数据”。这包括关于属性的信息,例如平均修补频率、保证的最大修补延迟、最新的安全修补级别和其他属性。该数据库目前包含智能手机,如三星Galaxy S20(Exynos)、诺基亚5.3、谷歌Pixel 4、小米红米Note 7、华为P40、索尼Xperia 10等。
该演讲提出了一个问题,即目前智能手机OEM厂商几乎没有动力和可量化的动力在其智能手机产品组合中提供快速和相关的安全更新。智能手机的售后支持还是侧重于Android版本更新和设备维护的限制,整体设备安全并不是很重要。更新不是营销部门可以轻易“推销”的指标。对于大多数未来的智能手机终端消费者来说,这方面的表现还是欠缺的。此外,由于这些年来发布的智能手机种类繁多,并且已经更新了无数次,因此收集和量化这些数据也是一项艰巨的任务。例如,三星在为现有设备提供安全更新方面做得很好,如Galaxy S10、Galaxy Flip、Galaxy A50、Galaxy Note的10系列、Galaxy A70和Galaxy S20系列——但仍有更多设备需要评估,并且缺乏更大的安全更新进度表来提供历史背景。
Android设备安全数据库试图以某种方式解决这个问题。早在2015年,当采取类似措施时,该团队对Android设备的安全性进行了测量,并给它们打了10分。旧的方法有一些局限性,因为它主要侧重于评估设备是否容易受到已知漏洞的攻击。或者不是。旧的方法没有考虑设备安全性的其他方面,所以当前的方法试图对整体设备安全性有一个更全面的了解。
该团队希望进一步探索的一个领域是预装应用程序如何在安全和用户隐私的环境中运行。预安装的应用程序通常具有在平台级别预先授予的提升权限。近年来,我们看到对预装应用的关注越来越多——有时以对预装三星应用中广告的投诉形式出现,有时以全国范围内禁止多个预装小米米应用的形式出现。OEM如何监管这些预装应用?
研究团队通过建议更高的透明度和责任来解决这个问题,从而确保设备上预装了哪些应用程序,以及它们有权做什么。为此,该团队还希望将应用程序风险评级添加到他们的数据库中,并最终创建一个评级系统来对该领域的设备进行评级。该研究小组还希望同行审查该方法,并寻求其他安全研究人员的反馈,以了解他们应该研究预安装应用程序的安全方面。
该数据库旨在成为评估设备整体安全性和OEM整体安全体验的基准。这个计划绝对是现阶段的作品。未来的计划包括开发一个匿名收集安全属性的应用程序,并以类似的方式将它们呈现给最终用户,就像当前的性能基准一样。足够多的用户自愿向该项目提供这些数据,人们可以希望该项目成为一个可行的安全基准,可以用来评估OEM的整体安全做法。虽然过去的表现肯定不能保证未来的行动,但是这个数据库/基准仍然可以简化目前不透明复杂的混乱状态,这也是目前Android作为操作系统的安全状态。
标签:
免责声明:本文由用户上传,如有侵权请联系删除!