Android安全性的当前状态还远远不够完善

Android用户在设备方面有多种选择，包括规格，功能和设备预算的不同组合。我们被选择宠坏了，但是当涉及到无法轻松测量和比较的功能时，这会使用户感到困惑。以Android安全状态为例。Android安全性的当前状态还远远不够完善，而且不同OEM和不同地区的情况变得更加复杂。因此，如果您必须比较两个不同的OEM在整个产品组合上交付安全更新的情况，那么可能很难找到答案。一组研究人员已着手通过建立侧重于整体安全级别的Android设备数据库来纠正这种情况。

在2020年虚拟Android安全研讨会上，DanielR.Thomas先生，AlastairR.Beresfor先生和RenéMayrhofer先生等研究人员进行了名为“Android设备安全数据库”的演讲。

我们建议您观看讲座以更好地了解数据库的意图和目的，但是我们还将尽最大努力封装以下信息。

Android设备安全数据库的目的是“收集和发布有关Android设备安全状况的相关数据”。这包括有关属性的信息，例如平均补丁频率，保证的最大补丁延迟，最新的安全补丁级别以及其他属性。该数据库当前包含智能手机，例如三星GalaxyS20(Exynos)，诺基亚5.3，GooglePixel4，小米RedmiNote7，华为P40，索尼Xperia10等。

演讲提出了一个问题，即智能手机OEM当前在激励和可量化激励方面如何在其智能手机产品组合中提供快速且相关的安全更新方面几乎没有。智能手机的售后支持仍然集中在Android版本更新和设备维修的限制上，并且整体设备安全性并不十分重要。安全更新不是营销部门可以轻松“出售”的指标对于大多数未来的智能手机最终消费者来说，因此在这一领域的性能仍然缺乏。而且，由于多年来发布的智能手机种类繁多，并且对其进行了无数次更新，因此收集和量化这些数据也是一项艰巨的任务。例如，三星已经做得很好提供安全更新现有设备的组合，就像方面银河S10，银河ž翻转，银河A50，GalaxyNote的10个系列，银河A70和银河S20系列-但有还有更多的设备需要评估，并且缺少更大的安全更新进度图以提供历史背景。

Android设备安全性数据库尝试以某种方式解决此问题。早在2015年，当采取类似的举措时，该团队就测量了Android设备的安全性，并给它们打了10分。旧方法有一些局限性，因为它主要集中于评估设备是否容易受到已知漏洞的影响。或不。较旧的方法没有考虑设备安全性的其他方面，因此，当前方法试图对整体设备安全性进行更全面的了解。

团队希望进一步探索的一个领域是预安装的应用程序如何在安全性和用户隐私环境下运行。预安装的应用程序通常具有在平台级别预先授予的提升的权限。近年来，我们看到了对预装应用程序的越来越多的关注-有时它以对预装三星应用程序中的广告的投诉的形式表现出来，有时它以全国范围内禁止多个预装小米Mi的形式出现应用程序。OEM如何对这些预安装的应用程序进行监督?

研究小组通过建议更高的透明度和责任感来解决此问题，以确保设备上预装了哪些应用程序以及他们有权进行的操作。为此，团队还希望将应用程序风险评级添加到他们的数据库中，并最终创建一个评级系统来对这方面的设备进行排名。研究团队还希望对方法论进行同行评审，并且正在寻求其他安全研究人员的反馈，以了解他们应该研究预装应用程序的安全性方面。

该数据库旨在成为评估设备整体安全性和OEM整体安全性体验的基准。该计划肯定是现阶段的工作，未来的计划包括开发一个应用程序，该应用程序以匿名方式收集安全属性，并以与最终用户类似的方式呈现安全属性，就像当前性能基准的工作方式一样。有足够的用户自愿将这些数据提供给项目，人们可以希望该项目成为可行的安全性基准，可用于评估OEM的总体安全性做法。尽管过去的性能肯定不能保证将来会采取行动，但此数据库/基准仍然可以简化当前不透明和复杂的混乱状态，而混乱状态目前是Android作为操作系统的安全状态。

标签：

免责声明：免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！