„Android“ ir „iOS“: kas yra saugesnis?

Saugumo ekspertas Maxas Eddy nagrinėja „Android“ ir „iPhone“ saugos būklę. Ar jūsų pasirinkta mobilioji OS yra saugiausia? Ar tai neteisingas klausimas?

Autorius Maxas Eddy

Tai senoji pasaka: parašyti poleminį kūrinį apie du konkuruojančius prekės ženklus, kad komentaruose galėtumėte suplanuoti vienas kito gerbėjus. Šok, mano lėlės. Jūsų įniršio skelbimas tiesiog kaupia unikalius vaizdus ir moka mano atlyginimą. Tačiau apžiūrėdamas žmogaus nuolaužas, brendžio šnabždesį rankoje, pagalvoju: ar tikrai „iPhone“ yra saugesnis nei „Android“? Ar „Android“ požiūris į „pakankamai gerą“ saugumą yra tikrai pakankamai geras? Ką daryti, jei, nepaisant sėkmės, abi platformos žlunga svarbiais būdais?

Apsaugokite „Apple Way“

Paprastai pažymima, kad „Apple“ yra aiškus mobiliųjų įrenginių laimėtojas. Atvirai kalbant, sunku ginčytis dėl tokio įvertinimo. Beprecedentis „Apple“ valdymas naudojant „iPhone“ ir „iOS“, reiškė, kad dauguma žmonių gauna ir diegia programinės įrangos naujinius ir saugos pataisas. Tai labai svarbu ir tai, kad jis skiriasi nuo „Android“.

„Apple“ sugebėjo griežtai valdyti savo techninės įrangos tiekimo grandinę ir „App Store“ tikrinimo proceso metu kontroliavo nepriklausomų kūrėjų programas. Tai taip pat prieštaringai vertinamas procesas, kai programos atmetamos dėl, atrodo, savavališkų priežasčių, tačiau dėl to „App Store“ iš esmės neturėjo kenkėjiškų programų.

Kalbant apie saugumą, atrodo, kad „Apple“ taiko „visko, ko reikia“. Puikus pavyzdys yra jos „Messages“ (anksčiau „iMessage“) platforma. Tai gali atrodyti kaip tekstiniai pranešimai, kuriuos dalijasi telefonai ir kompiuteriai, tačiau prieš kelerius metus pristatyta „Black Hat“ prezentacija leido suprasti, kad taip nebuvo. „Apple“ suprojektavo platformą nuo pat žemės paviršiaus, kad ji būtų užšifruota ir kiek įmanoma atspari klastojimui. Pvz., Pranešimų serveriams, norint susisukti, reikia aparatūros raktų. Kai serveriai pradės veikti, šie raktai bus sunaikinti, neleidžiant niekam, net „Apple“, šnipinėti vartotojus ar sugadinti sistemos. Tai nepaprastai sudėtinga, tačiau ji veikia.

Saugokite „Android Way“

Ilgą laiką „Google“ teigė, kad yra pakankamai saugi. Ne, ji neaptiko nė vienos kenkėjiškos programos, įkeltos į „Google Play“. Taip, tyrėjai atrado keletą pagrindinių operacinės sistemos spragų. Taip, „Android“ atvirumas ir įdiegta bazė, suskaidyta į kelias skirtingas „Android OS“ versijas, sukėlė klientams pavojų. Tačiau „Google“ atstovai pabrėžia, kad iš maždaug milijardo vartotojų tik maža dalis - pavyzdžiui, vienas procentas - kada nors iš tikrųjų susidurs su kažkuo kenksmingu. Beje, net vienas procentas milijardo yra daug. Kaip ir 10 milijonų.

Savo kreditu „Google“ pakeitė savo melodiją. Atnaujinus „Android“ operacinę sistemą, buvo nustatyti didesni apribojimai, kokią informaciją gali rinkti programos. Bendrovė pakeitė savo leidimų modelį „viskas arba nieko“, remdama „Apple“ skonio požiūrį, pagal kurį vartotojai gali susitarti leisti programai pasiekti savo kamerą, bet ne savo kontaktų sąrašą. „Google“ taip pat perėjo prie daug greitesnio saugos naujinimų greičio, todėl daugiau taisymų reikėjo daugiau prietaisų.

Didžiausias „Google“ pokytis iš tikrųjų buvo gana subtilus. „Google“ perkėlė savo saugumo pastangas „Android“, į „Google Play“ paslaugas, kurias „Google“ gali atnaujinti, nepaisant to, kokią operacinės sistemos versiją naudoja vartotojai. Tai leidžia programoms, tokioms kaip „Safety Net“, leidžiančioms „Google“ stebėti kenkėjiškas programas įrenginiuose, net kenkėjiškoms programoms, kurios buvo atsiųstos iš „Google Play“ parduotuvės.

Iš ten „Google“ ne tik išplėtė „Android“ saugos funkcijas, bet ir stengėsi „Android“ įrenginius paversti saugos įrenginiais. Neseniai „Google“ paskelbė, kad „Android“ įrenginiai gali būti naudojami kaip FIDO2 dviejų faktorių autentifikavimo įrenginiai, suteikiantys vieną iš geriausių ir lanksčiausių 2FA variantų kiekvienam „Android“ savininkui. Jei anksčiau norėjote naudoti FIDO2, turėtumėte išleisti 20–50 USD aparatinės įrangos raktui iš mėgstamų „Yubico“ ar „Google“.

Ką jie klysta

Nors realus kenkėjiškų programų užkrėtimų skaičius yra mažas, vienas procentas „Android“ vartotojų, susidūrusių su kažkuo kenkėjišku, niekada nebuvo tolygiai pasiskirstę visiems „Android“ vartotojams. Remiantis 2015 m. Statistika, dažniausiai tai buvo žmonės, besinaudojantys pigiais prietaisais, dažnai besivystančiose šalyse. Tai tikrai įstrigo į mano potraukį nuo tos dienos, kai aš tai girdėjau. Šių prietaisų rizika buvo neproporcingai perkelta tiems, kurie turi mažiausiai galimybių išvengti sukčiavimo ar užpuolimo.

Nepaisant „Google“ pastangų išvalyti „Android“ ir „Android Apps“, šiam modeliui reikia nemažo kūrėjų įnašo. „Google“ turi įtikinti kūrėjus elgtis kitaip, ir naudoti naujus, saugesnius įmonės teikiamus įrankius. „Google“ pristatė keletą lazdelių ir morkų, kad įsitrauktų kūrėjai, tačiau su pasisekimu. Tai dar labiau apsunkina suskaidytas „Android“ pobūdis: trys skirtingos versijos turi daugiau nei 20 procentų įdiegtos bazės ir dar plonesnės kitų versijų atplaišos. Tai reiškia, kad yra nemaža auditorija, kuri vis dar negauna naujausių OS patobulinimų, o kūrėjai gali ir toliau skirti jas programoms.

„Apple“ strategija taip pat nebuvo be pasekmių, kurios pakenkė vartotojams. Tai, kad „iPhone“ gali būti naudojamas kaip 2FA FIDO2 autentifikavimo priemonė, jei tai išvis atsitiks, reiškia, kad prireiks šiek tiek laiko. Aš net negaliu naudoti turimo „YubiKey 5 NFC“ su „iPhone“, nes jis dar nepalaiko FIDO2 per NFC.

„Apple“ taip pat lėtai priėmė slaptažodžių tvarkytuvės integraciją, todėl tai, ką žmonės gali padaryti, kad jūsų informacija būtų saugi, yra sudėtingesnė.

Tačiau didžiausia „Apple“ saugumo nuodėmė yra ta, kad jos „viskas, ko reikia“ strategija yra brangi. Labiausiai prieinamas „Apple“ telefonas, kurį vis dar galima įsigyti, yra „iPhone 7“, kainuojantis 449 USD, nors gali būti taikomos prekybos nuolaidos, kaip ir 18,99 USD per mėnesį mokėjimo planas. Nauji, geros kokybės „Android“ telefonai, priešingai, gali būti įsigyti tik už 220 USD. Didelė „Apple“ įrenginio kaina siunčia gana aiškią žinią: jei nesate pakankamai turtingas, negaunate „Apple“ saugumo. Jei „iOS“ nepatenka į daugelio vartotojų kainų diapazoną, „Apple“ jų neapsaugo.

Nei viena iš jų nenagrinėja fakto, kad didžiausios grėsmės tiek „iOS“, tiek „Android“ vartotojams yra šlamštas, sukčiavimas ir sukčiavimas. Tai gali būti klaidos, SMS sukčiavimas ir sukčiavimo el. Laiškai. Abi platformos ėmėsi priemonių šiam iššūkiui spręsti, tačiau turime atsiminti, kad nors šlamštas ir sukčiavimas nėra tokie seksualūs kaip vyriausybės sukurta kenkėjiška programinė įranga, tai yra reali grėsmė vartotojams.

Ir „Android“, ir „iOS“ gali padaryti geriau

Aš ne tik manau, kad sakyti, jog viena platforma yra geresnė už kitą, ganėtinai sudėtinga, aš tikrai manau, kad yra didelis atotrūkis tarp to, kaip „Apple“ ir „Google“ taiko mobiliųjų įrenginių saugą. Bendrovės turi skirtingus tikslus ir verslo modelius, o saugumo problemas ėmėsi spręsti per šiuos objektyvus.

Nešvari tiesa yra tai, kad tiek „Apple“, tiek „Google“ sėkmingai naudojasi saugumu, jei žiūrėsite į tai per savo atitinkamų verslo modelių objektyvą. „Google“ turi palaikyti didžiulį, nelengvą aparatūros ir programinės įrangos kūrėjų aljansą, kad galėtų toliau vykdyti populiariausias OS planetoje. Keli dalykai gali suklysti, jei visi šie santykiai išliks tvirti.

Kita vertus, „Apple“ žino, kad jos reputacija yra viskas. Kadangi žmonės jaučiasi saugūs „iPhone“, jie jaučiasi saugūs išleisdami pinigus ir „iPhone“, ir (vis svarbesni) „iPhone“. Kompanija juda labai lėtai ir apgalvotai, todėl gali ją tinkamai panaudoti pirmą kartą, todėl kartais jie lėtai priima naujas technologijas.

Užuot išrinkę nugalėtoją, pareikškime, kad abu šie technikos gigantai būtų atsakingi už savo trūkumus. Dienos pabaigoje yra tikimybė, kad turite įrenginį su visa savo asmenine informacija iš vienos iš šių dviejų bendrovių, todėl nė viena negali sau leisti būti patenkinta praeities pasiekimais ar naujausiais patobulinimais.

Iš pradžių paskelbta https://www.pcmag.com 2019 m. Balandžio 29 d.