Android vs iOS: Hver er öruggari?

Öryggissérfræðingur Max Eddy kannar stöðu Android og iPhone öryggis. Er farsímakerfið þitt að velja það öruggasta? Eða er það röng spurning að spyrja?

Eftir Max Eddy

Það er saga jafngömul og tíminn: Að skrifa pólitískt verk um tvö vörumerki í samkeppni til að steypa aðdáendum hver á móti öðrum í athugasemdunum. Dansaðu, brúðurnar mínar. Reiðiuppfærslan þín rekur bara hin einstöku sýn og borgar launin mín. Samt þegar ég kanna mannflakið, brennivínið í höndunum, tel ég: er iPhone virkilega öruggari en Android? Er „nógu góð“ nálgun Android við öryggi virkilega nógu góð? Hvað ef, þrátt fyrir velgengni, báðir kostirnir mislukkast á mikilvægan hátt?

Öryggi Apple Way

Apple er venjulega látinn vinna sem skýran sigurvegara hvað varðar öryggi farsíma. Í hreinskilni sagt er erfitt að rífast við það mat á andlitinu. Fordæmalaus stjórn Apple á upplifun iPhone og iOS hefur gert það að verkum að flestir fá og setja upp hugbúnaðaruppfærslur og öryggisleiðréttingar. Það er mikilvægt og það er mikill aðgreiningur frá Android.

Apple hefur náð að halda þéttum tökum á vélbúnaðarframboðskeðjunni sinni og einnig, í gegnum App Store vetting ferlið, haldið stjórn á forritum frá óháðum verktaki. Þetta er líka umdeilt ferli þar sem forritum er hafnað af virðist handahófskenndum ástæðum, en það sem hefur haldið App Store að mestu leyti laus við malware.

Þegar kemur að öryggi virðist Apple nota „hvað sem það tekur“ nálgun. Frábært dæmi eru skilaboðin hennar (áður iMessage). Þetta gæti virst eins og textaskilaboð sem voru deilt á milli síma og tölvu, en kynningu á Black Hat frá því fyrir nokkrum árum gerði það ljóst að svo var ekki. Apple hannaði pallinn frá grunni til að vera dulkóðaður frá enda til enda og eins ónæmur fyrir fals og hægt er. Þjónar fyrir skilaboð, til dæmis, þurfa vélbúnaðarlykla til að vera spunninn upp. Þegar netþjónarnir eru komnir í notkun eyðileggjast þessir lyklar og koma í veg fyrir að allir, jafnvel Apple, njósni um notendur eða áttu við kerfið. Það er gríðarlega flókið, en það virkar.

Öryggi Android Way

Lengi vel færði Google þau rök að það væri nógu öruggt. Nei, það náði ekki hvert einasta skaðlega forrit sem hlaðið var inn í Google Play. Já, það hafa komið fram nokkrar helstu varnarleysi í stýrikerfinu sem vísindamenn uppgötvuðu. Já, hreinskilni Android og uppsettur grunnur brotinn í nokkrar mismunandi útgáfur af Android OS hefur sett viðskiptavini í hættu. En fulltrúar Google myndu benda á að af þeim milljarði sem notendur eru, aðeins örlítið brot - eitthvað eins og eitt prósent - myndi raunverulega lenda í einhverju illgjarnu. Sem sagt, jafnvel aðeins eitt prósent milljarðs er mikið. Eins og 10 milljónir mikið.

Að lánsfé sínu hefur Google breytt laginu. Uppfærslur á Android stýrikerfinu hafa sett meiri takmarkanir á hvaða upplýsingaforrit geta aflað. Fyrirtækið hefur grafið allt eða ekkert leyfi líkan sín í þágu Apple-bragðaðrar aðferðar þar sem notendur geta samþykkt að láta app fá aðgang að myndavélinni sinni en ekki tengiliðalistanum. Google hefur einnig fært sig til mun hraðari forðagreiningar vegna öryggisuppfærslna sinna og ýtt á fleiri lagfæringar á fleiri tæki.

Stærsta breytingin frá Google hefur reyndar verið nokkuð lúmsk. Google hefur fært öryggisátak sitt djúpt innan Android, í Google Play Services, sem Google getur uppfært án tillits til hvaða útgáfu af stýrikerfi notendur eru að keyra. Það gerir ráð fyrir forritum eins og Safety Net, sem gerir Google kleift að horfa á malware á tækjum, jafnvel malware sem var hlöðinn utan Google Play verslunarinnar.

Þaðan hefur Google ekki bara stækkað öryggisaðgerðir Android heldur einnig unnið að því að gera Android tæki að öryggistækjum. Google tilkynnti nýverið að hægt væri að nota Android tæki sem FIDO2 tveggja þátta auðkenningartæki, sem veitir einum besta og sveigjanlegasta 2FA valkostinum fyrir alla Android eigendur. Ef þú vildir nota FIDO2 áður, þá þarftu að eyða $ 20- $ 50 í vélbúnaðarlykil eins og Yubico eða Google.

Það sem þeir gera báðir rangt fyrir

Þó að raunverulegur fjöldi malware-sýkinga sé lítill, dreifðist það eitt prósent Android notenda sem lentu í einhverju illgjarn aldrei jafnt yfir alla Android notendur. Samkvæmt tölfræði 2015 var það aðallega meðal fólks sem notar lágmarkskostnaðartæki, oft í þróunarlöndunum. Þetta hefur virkilega fest sig í skriðnum mínum frá því ég heyrði það. Hættunni á þessum tækjum var ýtt óhóflega á þá sem eru með minnstu leiðir til að veðra svindl eða árás.

Þrátt fyrir þrýsting frá Google til að hreinsa upp Android og Android Apps þarf líkanið talsvert af innkaupum verktaki. Google þarf að sannfæra verktaki um að gera hlutina á annan hátt og nota nýju, öruggari tækin sem fyrirtækið býður upp á. Google hefur kynnt nokkrar prik og gulrætur til að fá verktaki um borð, en með blönduðum árangri. Þetta er enn frekar bætt við brotið eðli Android, með þremur mismunandi útgáfum sem hver um sig hefur meira en 20 prósent af uppsettum grunninum, og jafnvel smáari splinters af öðrum útgáfum. Það þýðir að til eru umtalsverðir markhópar sem enn fá ekki nýjustu endurbætur á stýrikerfum og verktaki getur haldið áfram að miða á þær með forritum.

Stefna Apple hefur heldur ekki verið án afleiðinga sem hafa skaðað notendur. Stigvaxandi nálgun þess við úrbætur í öryggismálum þýðir að það mun líklega líða smá stund þar til hægt er að nota iPhone sem 2FA FIDO2 sannvottun, ef það gerist yfirleitt. Ég get ekki einu sinni notað núverandi YubiKey 5 NFC minn með iPhone vegna þess að hann styður ekki enn FIDO2 yfir NFC.

Apple hefur einnig verið seinn til að taka upp samþættingu lykilorðastjóra og gera það erfiðara fyrir fólk að gera upplýsingar sínar öruggar.

Mesta synd Apple er hins vegar sú að „hvað sem það tekur“ stefnu kemur á háu verði símtól. Ódýrtasti síminn sem enn er fáanlegur frá Apple er iPhone 7, sem kostar $ 449, þó að hægt sé að nota viðskiptafslátt, eins og greiðsluáætlun upp á $ 18,99 á mánuði. Hins vegar er hægt að kaupa nýja, góða gæði Android síma fyrir allt að $ 220. Hátt verð á Apple tæki sendir ansi skýr skilaboð: Ef þú ert ekki nógu ríkur færðu ekki öryggi Apple. Ef iOS er utan verðsviða margra neytenda verndar Apple þá ekki.

Ekkert af þessu fjallar jafnvel um þá staðreynd að stærstu ógnirnar bæði fyrir iOS og Android notendur eru ruslpóstur, phishing og svik. Þetta getur komið í formi malvertising, SMS svindla og phishing tölvupósta. Báðir kostirnir hafa tekið skref til að takast á við áskorunina, en við verðum að muna að þó ruslpóstur og phishing séu ekki eins kynþokkafullur og malware, sem hannaður er af stjórnvöldum, er það raunveruleg ógn fyrir neytendur.

Bæði Android og iOS geta gert betur

Ekki aðeins held ég að það sé ógeðfelld skrif að segja að einn pallur sé betri en hinn, ég held virkilega að það sé gríðarlegt gjá milli þess hvernig Apple og Google nálgast öryggi farsíma. Fyrirtækin hafa mismunandi markmið og viðskiptalíkön og hafa tekið á öryggisvandamálum í gegnum þessar linsur.

The óhreinn sannleikur er sá að bæði Apple og Google eru að ná öryggi - ef þú skoðar það í gegnum linsuna á viðskiptamódelum þeirra. Google þarf að viðhalda miklu, órólegu bandalagi vélbúnaðar- og hugbúnaðarframleiðenda til að halda áfram að keyra vinsælasta stýrikerfið á jörðinni. Það getur gert nokkur atriði rangt, að því tilskildu að öll þessi sambönd séu sterk.

Apple veit aftur á móti að mannorð sitt er allt. Vegna þess að fólki finnst öruggt á iPhone finnst þeim öruggt að eyða peningum bæði í iPhone og (sífellt mikilvægara) með iPhone. Fyrirtækið hreyfir sig mjög hægt og af ásettu ráði svo það getur komið rétt í fyrsta skipti, sem stundum gerir það að verkum að þeir eru seinir að taka upp nýja tækni.

Í stað þess að velja sigurvegara, skulum við gera báða þessa tækni risa ábyrga fyrir göllum þeirra. Þegar öllu er á botninn hvolft eru líkurnar á því að þú hafir tæki með allar persónulegar upplýsingar þínar um það frá einu af þessum tveimur fyrirtækjum, svo hvorugt hefur efni á að vera ánægður með afrek fyrri tíma eða nýlegar endurbætur.

Upphaflega birt á https://www.pcmag.com 29. apríl 2019.