Securitywatch: android vs. ios, což je bezpečnější? | max eddy

Je to příběh, jak starý jako čas: Psaní polemického kusu o dvou konkurenčních značkách, aby se v komentářích postavili fanoušci proti sobě. Tanec, moje loutky. Vaše zveřejnění vzteku jen posune jedinečné pohledy a zaplatí můj plat. Přesto, když zkoumám lidské trosky, brandy sniftera v ruce, uvažuji: Je iPhone opravdu bezpečnější než Android? Je „dostatečně dobrý“ přístup Androidu k zabezpečení opravdu dobrý? Co když i přes úspěchy obě platformy významně selhávají?

Zabezpečte cestu Apple

Apple je obvykle nabízen jako jasný vítěz, pokud jde o zabezpečení mobilních zařízení. Upřímně řečeno, je těžké se s tímto hodnocením hádat. Bezprecedentní ovládání Apple a iPhone zážitky znamenají, že většina lidí přijímá a instaluje aktualizace softwaru a opravy zabezpečení. To je kritické a je to hlavní rozdíl od Androidu.

Společnost Apple dokázala udržet pevnou kontrolu nad svým dodavatelským řetězcem hardwaru a také prostřednictvím procesu prověrky App Store udržovala kontrolu nad aplikacemi nezávislých vývojářů. Je to také kontroverzní proces, kdy jsou aplikace zamítnuty ze zdánlivě svévolných důvodů, ale ten, který App Store do značné míry chrání před malwarem.

Pokud jde o zabezpečení, zdá se, že Apple používá přístup „cokoli“. Skvělým příkladem je jeho platforma Messages (dříve iMessage). Může to vypadat jako textové zprávy sdílené mezi telefony a počítači, ale prezentace Black Hat z před několika lety jasně ukázala, že tomu tak není. Apple navrhl platformu od základu tak, aby byla šifrována end-to-end a co nejpevnější vůči neoprávněné manipulaci. Servery pro zprávy například vyžadují, aby se roztočily hardwarové klíče. Jakmile jsou servery funkční, jsou tyto klíče zničeny, což brání komukoli - dokonce i Apple - špehovat uživatele nebo manipulovat se systémem. Je to nesmírně složité, ale funguje to.

Zabezpečení systému Android

Google dlouho tvrdil, že je dostatečně bezpečný . Ne, nezachytil každou škodlivou aplikaci nahranou na Google Play. Ano, v operačním systému objevili vědci několik hlavních zranitelností. Ano, otevřenost systému Android a nainstalované základny zlomená do několika různých verzí operačního systému Android vystavila zákazníky riziku. Zástupci společnosti Google by však poukazovali na to, že u zhruba miliard uživatelů se jen nepatrný zlomek - něco jako jedno procento - ve skutečnosti setká s něčím škodlivým. To znamená, že i jen jedno procento miliardy je hodně . Stejně jako 10 milionů hodně.

K jeho kreditu, Google změnil jeho melodii. Aktualizace operačního systému Android kladla větší omezení na to, jaké informace mohou aplikace shromažďovat. Společnost propadla svému modelu oprávnění typu „vše nebo nic“ ve prospěch přístupu s příchutí Apple, podle kterého se uživatelé mohou dohodnout, že aplikaci umožní přístup ke kameře, nikoli však ke seznamu kontaktů. Google také přesunul své aktualizace zabezpečení do mnohem rychlejší kadence, čímž posílal další opravy na více zařízení.

Největší změna od Googlu byla ve skutečnosti velmi jemná. Google přesunul své úsilí o zabezpečení hluboko v systému Android do služeb Google Play, které Google může aktualizovat bez ohledu na to, jakou verzi uživatelů operačního systému používají. To umožňuje programy jako Safety Net, které umožňují Googlu sledovat malware na zařízeních, a to i malware, který byl stažen z vnější strany obchodu Google Play.

Od té doby Google nejen rozšířil funkce zabezpečení systému Android, ale také pracoval na tom, aby se zařízení Android stala bezpečnostními zařízeními. Google nedávno oznámil, že zařízení Android lze použít jako dvoufaktorová autentizační zařízení FIDO2 a každému majiteli zařízení Android nabízejí jednu z nejlepších a nejflexibilnějších možností 2FA. Pokud jste dříve chtěli používat FIDO2, museli byste utratit $ 20 - 50 $ za hardwarový klíč od typu Yubico nebo Google.

Co každý dostane špatně

Skutečný počet infekcí malwarem je nízký, ale jedno procento uživatelů systému Android, kteří narazili na něco škodlivého, nebylo nikdy rovnoměrně rozděleno mezi všechny uživatele systému Android. Podle statistik za rok 2015 to bylo převážně mezi lidmi, kteří používají nízkonákladová zařízení, často v rozvojových zemích. Od okamžiku, kdy jsem to slyšel, se to v mém procházení opravdu zaseklo. Riziko těchto zařízení bylo nepřiměřeně tlačeno na ty, kteří mají nejmenší prostředky pro zvládání podvodů nebo útoků.

Přestože společnost Google vyvíjí úsilí o vyčištění aplikací pro Android a Android, vyžaduje tento model značné množství buy-inů pro vývojáře. Google musí přesvědčit vývojáře, aby dělali věci jinak, a používat nové, bezpečnější nástroje, které společnost poskytuje. Google zavedl několik tyčinek a mrkví, aby se vývojáři dostali na palubu, ale se smíšeným úspěchem. Toto je dále umocněno zlomenou povahou Androidu, kdy tři odlišné verze mají vždy více než 20 procent nainstalované základny, a dokonce i drobnější třísky jiných verzí. To znamená, že existuje velké publikum, které stále nedostává nejnovější vylepšení operačního systému, a vývojáři je mohou nadále cílit pomocí aplikací.

Ani strategie společnosti Apple nebyla bez následků, které by uživatele zranily. Jeho přírůstkový přístup k vylepšení zabezpečení znamená, že pravděpodobně bude nějakou dobu trvat, než bude iPhone použit jako 2FA FIDO2 autentizátor, pokud k tomu vůbec dojde. Nemohu ani použít své stávající YubiKey 5 NFC s iPhone, protože zatím nepodporuje FIDO2 přes NFC.

Společnost Apple také pomalu přijímá integraci správce hesel, což ztěžuje to nejlepší, co lidé mohou udělat, aby své informace uchovávali v bezpečí.

Největší hřích společnosti Apple v oblasti bezpečnosti však spočívá v tom, že její strategie „cokoli“ vyžaduje vysokou cenu telefonu. Nejlevnějším telefonem, který je stále k dispozici od Apple, je iPhone 7, který stojí 449 $, ačkoli lze uplatnit obchodní slevy, stejně jako platební plán ve výši 18, 99 $ měsíčně. Nové, kvalitní telefony Android na druhou stranu lze zakoupit za pouhých 220 USD. Vysoká cena zařízení Apple vysílá docela jasnou zprávu: pokud nejste dostatečně bohatí, nemusíte mít zabezpečení Apple. Pokud je iOS mimo cenové rozpětí mnoha zákazníků, Apple je nechrání.

Nic z toho se nezabývá skutečností, že největší hrozbou pro uživatele iOS i Android jsou spam, phishing a podvody. Ty mohou mít podobu malweringu, podvodů SMS a e-mailů s phishingem. Obě platformy podnikly kroky k řešení této výzvy, ale musíme si uvědomit, že zatímco spam a phishing nejsou tak sexy jako vládní malware, je to skutečná hrozba pro spotřebitele.

Android i iOS dokážou lépe

Nejen si myslím, že je to hackerské psaní, které říká, že jedna platforma je lepší než druhá, ale skutečně si myslím, že existuje obrovský rozdíl mezi tím, jak Apple a Google přistupují k mobilní bezpečnosti. Společnosti mají různé cíle a obchodní modely a prostřednictvím těchto čoček řešily bezpečnostní problémy.

• Se systémem Android P přestane Google dohrávat o zabezpečení S Androidem Android přestane Google dohrávat o zabezpečení
• Apple iOS 12 Apple iOS 12
• Google Android Pie (9.0) Google Android Pie (9.0)

Špinavá pravda je, že Apple i Google uspějí v zabezpečení - pokud si to prohlížíte objektivem příslušných obchodních modelů. Google musí udržovat masivní, nesnadné spojenectví vývojářů hardwaru a softwaru, aby mohl i nadále provozovat nejpopulárnější operační systém na planetě. Může to způsobit několik chyb, za předpokladu, že všechny tyto vztahy zůstanou silné.

Apple na druhé straně ví, že jeho pověst je všechno. Protože se lidé cítí v bezpečí na telefonech iPhone, cítí se bezpečně utrácet peníze jak na telefonech iPhone (a stále důležitější) na telefonech iPhone. Společnost se pohybuje velmi pomalu a uváženě, aby ji mohla napravit poprvé, což někdy způsobuje, že nové technologie přicházejí pomalu.

Místo toho, abychom vybrali vítěze, nechme oba tech giganty zodpovědné za jejich nedostatky. Na konci dne máte šanci, že máte k dispozici zařízení se všemi vašimi osobními údaji od jedné z těchto dvou společností, takže si ani jeden nemůže dovolit být spokojen s minulými výsledky nebo nedávnými vylepšeními.