Android un iOS: kas ir drošāks?

Drošības eksperts Makss Edijs pēta Android un iPhone drošības stāvokli. Vai jūsu izvēlētā mobilā OS ir visdrošākā? Vai tas ir nepareizs jautājums, ko uzdot?

Autors Makss Edijs

Tā ir pasaka, kas sena kā laika: rakstot polemisku rakstu par diviem konkurējošiem zīmoliem, lai komentāros sauktu fanu puišus viens pret otru. Deja, manas lelles. Jūsu dusmu izlikšana tikai krāj unikālus skatus un maksā manu algu. Tomēr, apsekojot cilvēku vrakus, brendija snifter rokā, es domāju: vai iPhone tiešām ir drošāks nekā Android? Vai Android “pietiekami labā” pieeja drošībai ir pietiekami laba? Ko darīt, ja, neskatoties uz panākumiem, abas platformas izgāžas nozīmīgā veidā?

Drošība Apple Way

Parasti Apple tiek atzīts par nepārprotamu uzvarētāju mobilās drošības ziņā. Atklāti sakot, ir grūti apgalvot šo novērtējumu, ņemot vērā to. Apple bezprecedenta kontrole par iPhone un iOS pieredzi nozīmē, ka vairums cilvēku saņem un instalē programmatūras atjauninājumus un drošības labojumus. Tas ir kritiski, un tas ir būtisks atšķirības no Android.

Apple ir izdevies saglabāt stingru kontroli pār aparatūras piegādes ķēdi un, izmantojot App Store pārbaudes procesu, arī kontrolēja neatkarīgu izstrādātāju lietotnes. Tas ir arī pretrunīgi vērtēts process, kad lietotnes tiek noraidītas šķietami patvaļīgu iemeslu dēļ, taču tas ir palicis App Store lielākoties bez ļaunprātīgas programmatūras.

Runājot par drošību, šķiet, ka Apple izmanto “neatkarīgi no tā” pieeju. Lielisks piemērs ir tā Messages (agrāk iMessage) platforma. Varētu šķist, ka īsziņas tiek koplietotas starp tālruņiem un datoriem, taču pirms dažiem gadiem Black Hat prezentācija skaidri parādīja, ka tas tā nav. Apple konstruēja platformu no zemes līdz tā, lai tā būtu kodēta no vienas puses uz otru un pēc iespējas izturīgāka pret viltojumiem. Ziņojumu serveriem, piemēram, ir nepieciešami aparatūras atslēgas. Kad serveri darbojas, šīs atslēgas tiek iznīcinātas, neļaujot nevienam, pat Apple, spiegot lietotājus vai iejaukties sistēmā. Tas ir ārkārtīgi sarežģīts, bet darbojas.

Drošība Android Way

Ilgu laiku Google izteica argumentu, ka tas ir pietiekami drošs. Nē, tas neapstiprināja nevienu ļaunprātīgu lietotni, kas tika augšupielādēta pakalpojumā Google Play. Jā, pētnieki ir atklājuši vairākas lielas operētājsistēmas ievainojamības. Jā, Android atvērtība un instalētā bāze, kas sadalīta vairākās dažādās Android OS versijās, ir apdraudējusi klientus. Bet Google pārstāvji norāda, ka no aptuveni miljarda lietotājiem tikai niecīga daļa - kaut kas līdzīgs vienam procentam - kādreiz faktiski sastopas ar kaut ko ļaunprātīgu. Tas nozīmē, ka pat tikai viens procents miljarda ir daudz. Tāpat kā 10 miljoni daudz.

Uzņēmums Google ir mainījis savu atzinību. Android operētājsistēmas atjauninājumi ir noteikuši lielākus ierobežojumus attiecībā uz to, kādu informāciju lietotnes var apkopot. Uzņēmums ir izveidojis visu atļauju modeli jeb neko, par labu Apple pievilcīgai pieejai, saskaņā ar kuru lietotāji var piekrist ļaut lietotnei piekļūt savai kamerai, bet ne viņu kontaktu sarakstam. Google arī ir pārgājusi uz daudz ātrāku drošības atjauninājumu ritmu, liekot vairāk labojumu veikt vairāk ierīču.

Google lielākās izmaiņas faktiski ir bijušas diezgan smalkas. Google ir pārvietojis savus drošības pasākumus dziļi Android vidē uz Google Play pakalpojumiem, kurus Google var atjaunināt neatkarīgi no tā, kuru operētājsistēmas versiju lietotāji izmanto. Tas ļauj izmantot tādas programmas kā Safety Net, kas ļauj Google novērot ierīču ļaunprātīgu programmatūru, pat tādu ļaunprātīgu programmatūru, kas tika lejupielādēta no ārpuses Google Play veikalā.

Turpmāk Google ir ne tikai paplašinājis Android drošības funkcijas, bet arī strādājis, lai Android ierīces padarītu par drošības ierīcēm. Google nesen paziņoja, ka Android ierīces var izmantot kā FIDO2 divu faktoru autentifikācijas ierīces, nodrošinot vienu no labākajām un elastīgākajām 2FA opcijām ikvienam Android īpašniekam. Ja jūs vēlētos izmantot FIDO2 iepriekš, jums būs jāiztērē USD 20–50 USD aparatūras atslēgai no Yubico vai Google.

Ko viņi katrs nepareizi

Kaut arī faktiskais ļaundabīgo programmu infekciju skaits ir mazs, viens procents Android lietotāju, kuri saskārās ar kaut ko ļaunprātīgu, nekad netika vienmērīgi sadalīti visiem Android lietotājiem. Saskaņā ar 2015. gada statistiku tas galvenokārt bija starp cilvēkiem, kuri lieto lētas ierīces, bieži jaunattīstības valstīs. Tas tiešām ir iestrēdzis manā rāvienā kopš dienas, kad to dzirdēju. Šo ierīču risks tika nesamērīgi pakļauts tām ierīcēm, kurām ir vismazāk līdzekļu krāpniecības vai uzbrukuma apkarošanai.

Neskatoties uz Google centieniem attīrīt Android un Android Apps, modelim ir nepieciešama diezgan liela izstrādātāju iemaksa. Google jāpārliecina izstrādātāji rīkoties savādāk un jāizmanto jaunie, drošākie uzņēmuma piedāvātie rīki. Lai ieviestu izstrādātājus, Google ir ieviesis dažus nūjas un burkānus, taču ar dažādiem panākumiem. To vēl vairāk sarežģī Android sagrauztais raksturs: trīs atšķirīgas versijas katrai ir vairāk nekā 20 procenti no instalētās bāzes, un vēl smalkākas citu versiju šķembas. Tas nozīmē, ka ir ievērojama auditorija, kas joprojām nesaņem jaunākos OS uzlabojumus, un izstrādātāji var turpināt to mērķēt, izmantojot lietotnes.

Apple stratēģija nav bijusi arī bez sekām, kas ir kaitējušas lietotājiem. Tā pakāpeniskā pieeja drošības uzlabojumiem nozīmē, ka, iespējams, paies kāds laiks, pirms iPhone varēs izmantot kā 2FA FIDO2 autentifikāciju, ja tas vispār notiks. Es pat nevaru izmantot savu esošo YubiKey 5 NFC ar iPhone, jo tas vēl neatbalsta FIDO2, izmantojot NFC.

Arī Apple ir lēnām pieņēmis paroļu pārvaldnieka integrāciju, padarot grūtāko labāko, ko cilvēki var darīt, lai saglabātu savas informācijas drošību.

Tomēr Apple lielākais drošības grēks ir tas, ka tās stratēģija “lai arī kas to prasa” ir par augstu klausules cenu. Vispieejamākais tālrunis, kas joprojām pieejams no Apple, ir iPhone 7, kura cena ir 449 USD, lai gan var tikt piemērotas tirdzniecības atlaides, tāpat kā maksājuma plāns mēnesī 18,99 USD. Savukārt jaunus, labas kvalitātes Android tālruņus var iegādāties tikai par 220 USD. Apple ierīces augstā cena sūta diezgan skaidru ziņojumu: ja neesat pietiekami bagāts, jums nav Apple drošības. Ja iOS ir ārpus daudzu patērētāju cenu diapazona, Apple tos neaizsargā.

Nevienā no tiem pat nav ņemts vērā fakts, ka lielākie draudi gan iOS, gan Android lietotājiem ir surogātpasts, pikšķerēšana un krāpšana. Tās var būt maldināšana, īsziņu krāpšana un pikšķerēšanas e-pasta ziņojumi. Abas platformas ir veikušas pasākumus, lai risinātu šo problēmu, taču mums jāatceras, ka surogātpasts un pikšķerēšana nav tik seksīga kā valdības izstrādāta ļaunprogrammatūra, bet tas patiesi apdraud patērētājus.

Gan Android, gan iOS var darīt labāk

Es ne tikai uzskatu, ka ir neveiksmīgi rakstīt apgalvojumu, ka viena platforma ir labāka par otru, bet es patiesi domāju, ka pastāv liela atšķirība starp to, kā Apple un Google tuvojas mobilo ierīču drošībai. Uzņēmumiem ir dažādi mērķi un biznesa modeļi, un ar šo objektīvu starpniecību ir risinātas drošības problēmas.

Netīrā patiesība ir tāda, ka gan Apple, gan Google gūst panākumus drošības jomā, ja to skatāt caur viņu attiecīgo biznesa modeļu objektīvu. Google ir jāuztur plaša, neomulīga aparatūras un programmatūras izstrādātāju alianse, lai turpinātu darboties planētas populārākā OS. Ar dažām lietām var kļūt nepareizi, ja visas šīs attiecības saglabājas spēcīgas.

No otras puses, Apple zina, ka tās reputācija ir viss. Tā kā cilvēki jūtas droši iPhone, viņi jūtas droši tērējot naudu gan iPhone, gan (arvien svarīgāk) kopā ar iPhone. Uzņēmums pārvietojas ļoti lēni un apzināti, lai pirmo reizi varētu to pareizi izmantot, kas dažkārt liek lēnām pieņemt jaunas tehnoloģijas.

Tā vietā, lai izvēlētos uzvarētāju, pieņemsim, ka abi šie tehnoloģiju giganti ir atbildīgi par saviem trūkumiem. Dienas beigās, iespējams, ir kāda ierīce, kurā ir visa jūsu personiskā informācija no viena no šiem diviem uzņēmumiem, tāpēc neviens nevar atļauties būt apmierināts ar pagātnes sasniegumiem vai nesenajiem uzlabojumiem.

Sākotnēji publicēts vietnē https://www.pcmag.com 2019. gada 29. aprīlī.