Android срещу iOS: Кое е по-сигурно?

Експертът по сигурност Макс Еди изследва състоянието на сигурността на Android и iPhone. Най-безопасната ви мобилна операционна система ли е? Или това е грешният въпрос да се зададе?

От Макс Еди

Това е приказка, стара като време: Написване на полемично парче за две конкуриращи се марки, за да изкопае фенбоите един за друг в коментарите. Танцувайте, мои кукли. Вашето яростно публикуване просто събира уникалните гледки и ми плаща заплатата. И все пак, докато проучвам останките на хора и ракията в ръка, смятам: iPhone наистина ли е по-сигурен от Android? Наистина ли достатъчно добрият подход на Android за сигурност е достатъчно добър? Ами ако, въпреки успехите, и двете платформи се провалят по важни начини?

Защита на Apple Way

Apple обикновено се рекламира като ясен победител по отношение на сигурността на мобилните устройства. Честно казано, трудно е да се спори с тази оценка на лицето. Безпрецедентният контрол на Apple над iPhone и iOS означава, че повечето хора получават и инсталират актуализации на софтуера и корекции на защитата. Това е критично и е основен диференциал от Android.

Apple успя да запази здраво захващането над своята верига за доставки на хардуер, а също така, чрез процеса на проверка на App Store, контролира приложенията от независими разработчици. Това също е спорен процес, като приложенията се отхвърлят по привидно произволни причини, но този, който запазва App Store до голяма степен без зловреден софтуер.

Що се отнася до сигурността, Apple изглежда използва „каквото е необходимо“. Чудесен пример е неговата платформа Messages (преди iMessage). Това може да изглежда като текстови съобщения, споделяни между телефони и компютри, но презентация на Black Hat от преди няколко години даде да се разбере, че това не е така. Apple проектира платформата от земята нагоре да бъде криптирана от край до край и възможно най-устойчива на подправяне. Сървърите за съобщения например се нуждаят от хардуерни ключове, за да се стартират. След като сървърите работят, тези клавиши се унищожават, като не позволяват на никого, дори на Apple, да шпионира потребителите или да нарушава системата. Той е изключително сложен, но работи.

Защита на Android начин

Дълго време Google направи спора, че е достатъчно сигурен. Не, не обхвана всяко едно злонамерено приложение, качено в Google Play. Да, имаше няколко основни уязвимости в операционната система, открити от изследователите. Да, отвореността на Android и инсталираната база се раздели на няколко различни версии на Android OS, изложи клиентите на риск. Но представители на Google биха посочили, че от милиарда или около потребителите, само една малка част - нещо като един процент - в действителност ще срещне нещо злонамерено. Това каза, че дори само един процент от милиард е много. Като, 10 милиона много.

За негова заслуга, Google промени мелодията си. Актуализациите на операционната система Android поставиха по-големи ограничения за това, какви информационни приложения могат да събират. Компанията е извадила своя модел на разрешения за всички или нищо, в полза на подхода с аромат на Apple, при който потребителите могат да се съгласят да позволят на приложението да осъществява достъп до тяхната камера, но не и до списъка им с контакти. Google също премина към много по-бърза каданс за своите актуализации за сигурност, като избута повече корекции към повече устройства.

Най-голямата промяна от Google всъщност беше доста фина. Google премести усилията си за сигурност дълбоко в Android, в услугите на Google Play, които Google може да актуализира независимо от това коя версия на потребителите на операционната система работи. Това позволява програми като Safety Net, която позволява на Google да гледа злонамерен софтуер на устройства, дори злонамерен софтуер, който е бил зареден извън магазина на Google Play.

Оттам Google не само разшири функциите за защита на Android, но и работи за превръщането на Android устройства в устройства за сигурност. Наскоро Google обяви, че устройствата с Android могат да се използват като двуфакторни устройства за удостоверяване на FIDO2, предоставящи една от най-добрите и гъвкави опции за 2FA на всеки собственик на Android. Ако сте искали да използвате FIDO2 преди, ще трябва да похарчите $ 20 - $ 50 за хардуерен ключ от харесванията на Yubico или Google.

Какво те грешат

Въпреки че действителният брой злонамерени програми е нисък, този процент от потребителите на Android, които са се сблъскали с нещо злонамерено, никога не е бил равномерно разпределен между всички потребители на Android. Според статистиката за 2015 г. тя е била предимно сред хората, използващи нискотарифни устройства, често в развиващите се страни. Това наистина се е забило в моята крачка от деня, в който го чух. Рискът от тези устройства беше непропорционално изтласкан към онези, които имат най-малко средства, за да прогнозират измама или атака.

Въпреки напъните, направени от Google за изчистване на приложенията за Android и Android, моделът изисква доста голям размер на вложенията за програмисти. Google трябва да убеди разработчиците да правят нещата по различен начин и да използват новите, по-безопасни инструменти, които компанията предоставя. Google представи няколко пръчици и моркови, за да вкара разработчиците на борда, но със смесен успех. Това се допълва и от счупения характер на Android, като три отделни версии имат всяка от тях повече от 20 процента от инсталираната база и още по-мънички късове на други версии. Това означава, че има значителна аудитория, която все още не получава най-новите подобрения на ОС и разработчиците могат да продължат да ги насочват с приложения.

Нито стратегията на Apple е без последствия, които са навредили на потребителите. Инкременталният му подход към подобренията на сигурността означава, че вероятно ще мине известно време, преди iPhone да може да бъде използван като 2FA FIDO2 автентификатор, ако изобщо се случи. Не мога дори да използвам съществуващия си YubiKey 5 NFC с iPhone, тъй като той все още не поддържа FIDO2 над NFC.

Apple също бавно приема интеграцията на мениджъра на пароли, което затруднява най-доброто нещо, което хората могат да направят, за да запазят информацията си защитена.

Най-големият грях за сигурността на Apple обаче е, че стратегията му „каквото и да е необходимо“ идва на висока цена на телефона. Най-достъпният телефон, който все още се предлага от Apple, е iPhone 7, който струва $ 449, въпреки че могат да се прилагат отстъпки за търговия, както и план за плащане от 18,99 долара на месец. Новите, качествени телефони с Android, от друга страна, могат да бъдат закупени за едва $ 220. Високата цена на Apple устройство изпраща доста ясно съобщение: ако не сте достатъчно богати, няма да имате сигурност на Apple. Ако iOS е извън ценовия диапазон на много потребители, Apple не ги защитава.

Нищо от това не е насочено дори към факта, че най-големите заплахи както за потребителите на iOS, така и за Android са спам, фишинг и измами. Те могат да бъдат под формата на злоупотреба, SMS измами и фишинг имейли. И двете платформи са предприели стъпки за справяне с предизвикателството, но трябва да помним, че макар спамът и фишингът да не са толкова секси, колкото правилно създаден от правителството зловреден софтуер, това е реалната заплаха за потребителите.

И Android, и iOS могат да направят по-добро

Не само мисля, че е хакично да се каже, че едната платформа е по-добра от другата, искрено мисля, че има огромна пропаст между това как Apple и Google подхождат към мобилната сигурност. Компаниите имат различни цели и бизнес модели и се занимават с проблемите на сигурността чрез тези обективи.

Мръсната истина е, че и Apple, и Google успяват в сигурността - ако я видите през обектива на съответните им бизнес модели. Google трябва да поддържа масивен, неловък съюз на разработчици на хардуер и софтуер, за да продължи да работи най-популярната ОС на планетата. Може да се объркат няколко неща, при условие че всички тези връзки останат силни.

Apple от друга страна знае, че репутацията му е всичко. Тъй като хората се чувстват в безопасност на iPhone, те се чувстват сигурни да харчат пари както за iPhone, така и (все по-важно) с iPhone. Компанията се движи много бавно и умишлено, за да може да се оправи правилно от първия път, което понякога ги прави бавни при приемането на нови технологии.

Вместо да избираме победител, нека да подведем и двамата от тези техни гиганти за своите недостатъци. В края на деня има вероятност да имате устройство с цялата си лична информация за него от една от тези две компании, така че нито една от двете не може да си позволи да бъдете доволни от предишни постижения или скорошни подобрения.

Първоначално публикуван на https://www.pcmag.com на 29 април 2019 г.