Android vs. iOS: Ποιο είναι πιο ασφαλές;

Ο εμπειρογνώμονας ασφαλείας Max Eddy εξετάζει την κατάσταση της ασφάλειας Android και iPhone. Είναι το κινητό λειτουργικό σύστημα της επιλογής σας το ασφαλέστερο; Ή μήπως είναι λάθος να ρωτήσετε;

Με τον Max Eddy

Είναι μια ιστορία τόσο παλιά όσο και ο χρόνος: Γράφοντας ένα πολεμικό κομμάτι για δύο ανταγωνιστικές μάρκες, προκειμένου να γεμίσουν οι fanboys για το καθένα εναντίον του άλλου στα σχόλια. Χορός, μαριονέτες μου. Η ανάρμοστη απόσπαση σας απλά αναβαθμίζει τη μοναδική θέα και πληρώνει τον μισθό μου. Ωστόσο, καθώς εξετάζω τα ανθρώπινα συντρίμμια, το τσιράκι μπράντι στο χέρι, θεωρώ: είναι το iPhone πραγματικά πιο ασφαλές από το Android; Είναι η "αρκετά καλή" προσέγγιση της ασφάλειας του Android αρκετά καλή; Τι γίνεται αν, παρά τις επιτυχίες, οι δύο πλατφόρμες αποτυγχάνουν με σημαντικούς τρόπους;

Ασφάλεια του δρόμου της Apple

Η Apple είναι συνήθως touted ως σαφής νικητής όσον αφορά την ασφάλεια κινητής τηλεφωνίας. Ειλικρινά, είναι δύσκολο να υποστηρίξουμε με αυτήν την εκτίμηση στο πρόσωπο της. Ο πρωτοφανής έλεγχος της Apple για την εμπειρία iPhone και iOS σήμανε ότι οι περισσότεροι άνθρωποι λαμβάνουν και εγκαθιστούν ενημερώσεις λογισμικού και διορθώσεις ασφαλείας. Αυτό είναι κρίσιμο, και είναι ένας σημαντικός διαφοροποιητής από το Android.

Η Apple έχει κατορθώσει να κρατήσει μια σφιχτή λαβή στην αλυσίδα εφοδιασμού υλικού της και, επίσης, μέσω της διαδικασίας ανίχνευσης App Store, διατήρησε τον έλεγχο των εφαρμογών από ανεξάρτητους προγραμματιστές. Είναι επίσης μια αμφιλεγόμενη διαδικασία, με τις εφαρμογές να απορρίπτονται για φαινομενικά αυθαίρετους λόγους, αλλά αυτό που έχει κρατήσει το App Store σε μεγάλο βαθμό δωρεάν malware.

Όταν πρόκειται για την ασφάλεια, η Apple φαίνεται να χρησιμοποιεί μια προσέγγιση "ό, τι χρειάζεται". Ένα καλό παράδειγμα είναι η πλατφόρμα Messages (formerly iMessage). Αυτό μάλλον μοιάζει με μηνύματα κειμένου που μοιράζονται μεταξύ τηλεφώνων και υπολογιστών, αλλά μια παρουσίαση του Black Hat από πριν από μερικά χρόνια κατέστησε σαφές ότι δεν συνέβη κάτι τέτοιο. Η Apple σχεδίασε την πλατφόρμα από το έδαφος μέχρι να είναι κρυπτογραφημένη από άκρο σε άκρο και όσο το δυνατόν πιο ανθεκτική. Οι διακομιστές για μηνύματα, για παράδειγμα, χρειάζονται κλειδιά υλικού για περιστροφή. Μόλις οι διακομιστές λειτουργούν, τα πλήκτρα αυτά καταστρέφονται, εμποδίζοντας οποιονδήποτε - ακόμα και την Apple - να κατασκοπεύει τους χρήστες ή να παραβιάζει το σύστημα. Είναι εξαιρετικά περίπλοκο, αλλά λειτουργεί.

Ασφάλεια του Android Way

Για πολύ καιρό, η Google έκανε το επιχείρημα ότι ήταν αρκετά ασφαλές. Όχι, δεν έβγαλε κάθε κακόβουλη εφαρμογή που φορτώθηκε στο Google Play. Ναι, υπήρξαν αρκετές σημαντικές αδυναμίες στο λειτουργικό σύστημα που ανακαλύφθηκαν από τους ερευνητές. Ναι, το άνοιγμα του Android και μια εγκατεστημένη βάση σε κάποιες διαφορετικές εκδόσεις του Android OS έχει θέσει τους πελάτες σε κίνδυνο. Αλλά οι εκπρόσωποι της Google θα επισημαίνουν ότι από τα περίπου δισεκατομμύρια χρήστες, μόνο ένα μικρό κλάσμα - κάτι σαν ένα ποσοστό - θα αντιμετώπιζε ποτέ κάτι κακόβουλο. Τούτου λεχθέντος, ακόμη και μόνο ένα τοις εκατό ενός δισεκατομμυρίου είναι πολλά. Όπως 10 εκατομμύρια.

Για την πίστη της, η Google έχει αλλάξει τη μελωδία της. Οι ενημερώσεις στο λειτουργικό σύστημα Android έχουν θέσει μεγαλύτερους περιορισμούς σε ποιες πληροφορίες μπορούν να συγκεντρώσουν οι εφαρμογές. Η εταιρεία έχει απομακρύνει το μοντέλο αδειών "all-or-nothing" υπέρ μιας προσέγγισης με γεύση Apple, σύμφωνα με την οποία οι χρήστες μπορούν να συμφωνήσουν να επιτρέψουν σε μια εφαρμογή να έχει πρόσβαση στην κάμερά της αλλά όχι στη λίστα επαφών της. Η Google έχει επίσης μετακινηθεί σε πολύ ταχύτερο ρυθμό για τις ενημερώσεις ασφαλείας της, πιέζοντας περισσότερες διορθώσεις σε περισσότερες συσκευές.

Η μεγαλύτερη αλλαγή από την Google ήταν στην πραγματικότητα αρκετά λεπτή. Η Google έχει μεταφέρει τις προσπάθειές της στον τομέα της ασφάλειας βαθιά μέσα στο Android, στις υπηρεσίες Google Play, τις οποίες η Google μπορεί να ενημερώσει ανεξάρτητα από την εκδοχή των χρηστών του λειτουργικού συστήματος. Αυτό επιτρέπει προγράμματα όπως το Net Safety, το οποίο επιτρέπει στο Google να παρακολουθεί κακόβουλο λογισμικό σε συσκευές, ακόμα και σε κακόβουλο λογισμικό που περιστρέφεται εκτός του καταστήματος Google Play.

Από εκεί, η Google δεν επέκτεινε απλώς τις λειτουργίες ασφάλειας του Android, αλλά επίσης εργάστηκε για να κάνει συσκευές Android σε συσκευές ασφαλείας. Η Google ανακοίνωσε πρόσφατα ότι οι συσκευές Android μπορούν να χρησιμοποιηθούν ως συσκευές ελέγχου ταυτότητας FIDO2 δύο παραγόντων, παρέχοντας μία από τις καλύτερες και πιο ευέλικτες επιλογές 2FA σε κάθε ιδιοκτήτη Android. Αν θέλετε να χρησιμοποιήσετε το FIDO2 πριν, θα πρέπει να δαπανήσετε $ 20- $ 50 για ένα κλειδί υλικού από το likes του Yubico ή της Google.

Αυτό που όλοι κακοί

Ενώ ο πραγματικός αριθμός μολύνσεων από κακόβουλο λογισμικό είναι χαμηλό, το ένα τοις εκατό των χρηστών του Android που αντιμετώπισαν κάτι κακόβουλο δεν ήταν ποτέ ομοιόμορφα κατανεμημένο σε όλους τους χρήστες Android. Σύμφωνα με τα στατιστικά στοιχεία του 2015, ήταν κατά κύριο λόγο μεταξύ των ατόμων που χρησιμοποιούν συσκευές χαμηλού κόστους, συχνά στις αναπτυσσόμενες χώρες. Αυτό έχει πραγματικά κολλήσει στην αγκαλιά μου από την ημέρα που το άκουσα. Ο κίνδυνος αυτών των συσκευών ωθήθηκε δυσανάλογα σε εκείνους με τα λιγότερα μέσα για την αντιμετώπιση της απάτης ή της επίθεσης.

Παρά τις προσπάθειες που έκανε η Google για να καθαρίσει το Android και το Android Apps, το μοντέλο απαιτεί ένα σωστό buy-in για προγραμματιστές. Η Google πρέπει να πείσει τους προγραμματιστές να κάνουν τα πράγματα με διαφορετικό τρόπο και να χρησιμοποιήσουν τα νέα, πιο ασφαλή εργαλεία που παρέχει η εταιρεία. Η Google έχει εισαγάγει κάποιες μπαστούνια και καρότα για να επιτύχει τους προγραμματιστές, αλλά με μικτή επιτυχία. Αυτό ενισχύεται περαιτέρω από την κατακερματισμένη φύση του Android, με τρεις διακριτές εκδοχές που το καθένα έχει πάνω από 20 τοις εκατό της εγκατεστημένης βάσης και ακόμη πιο μικρές θραύσματα άλλων εκδόσεων. Αυτό σημαίνει ότι υπάρχει ένα μεγάλο κοινό που εξακολουθεί να μην λαμβάνει τις τελευταίες βελτιώσεις του λειτουργικού συστήματος και οι προγραμματιστές μπορούν να συνεχίσουν να στοχεύουν με εφαρμογές.

Ούτε η στρατηγική της Apple ήταν χωρίς συνέπειες που έβλαψαν τους χρήστες. Η αυξητική προσέγγισή της στις βελτιώσεις ασφάλειας σημαίνει ότι πιθανότατα θα είναι λίγο πριν να μπορέσει το iPhone να χρησιμοποιηθεί ως 2FA FIDO2 authenticator, αν συμβεί καθόλου. Δεν μπορώ ακόμη να χρησιμοποιήσω το υπάρχον μου YubiKey 5 NFC με iPhone γιατί δεν υποστηρίζει ακόμα το FIDO2 μέσω NFC.

Η Apple έχει επίσης υιοθετήσει αργά την ενσωμάτωση του διαχειριστή κωδικών πρόσβασης, καθιστώντας πιο δύσκολο το καλύτερο που μπορούν να κάνουν οι άνθρωποι για να διατηρούν τις πληροφορίες τους ασφαλείς.

Η μεγαλύτερη αμαρτία της Apple, όμως, είναι ότι η στρατηγική της «ό, τι χρειάζεται» έρχεται σε υψηλή τιμή. Το πιο προσιτό τηλέφωνο που εξακολουθεί να είναι διαθέσιμο από την Apple είναι το iPhone 7, το οποίο κοστίζει 449 δολάρια, αν και μπορούν να εφαρμοστούν εκπτώσεις σε εμπόριο, καθώς και ένα σχέδιο πληρωμής $ 18.99 το μήνα. Τα νέα, καλής ποιότητας κινητά τηλέφωνα Android, από την άλλη πλευρά, μπορούν να αγοραστούν για μόλις $ 220. Η υψηλή τιμή μιας συσκευής της Apple στέλνει ένα αρκετά σαφές μήνυμα: αν δεν είστε αρκετά πλούσιοι, δεν έχετε την ασφάλεια της Apple. Εάν το iOS βρίσκεται εκτός του εύρους τιμών πολλών καταναλωτών, η Apple δεν τα προστατεύει.

Κανένα από αυτά δεν καλύπτει ακόμη το γεγονός ότι οι μεγαλύτερες απειλές τόσο για τους χρήστες iOS όσο και για τους χρήστες Android είναι το spam, το phishing και η απάτη. Αυτά μπορούν να έρθουν με τη μορφή malvertising, απάτες SMS και phishing emails. Και οι δύο πλατφόρμες έχουν λάβει μέτρα για την αντιμετώπιση της πρόκλησης, αλλά πρέπει να θυμόμαστε ότι ενώ το spam και το phishing δεν είναι τόσο σέξι όσο το κακόβουλο λογισμικό της κυβέρνησης, αποτελεί πραγματική απειλή για τους καταναλωτές.

Τόσο το Android όσο και το iOS μπορούν να κάνουν καλύτερα

Όχι μόνο νομίζω ότι είναι αστείο να γράφουμε ότι μια πλατφόρμα είναι καλύτερη από την άλλη, πιστεύω πραγματικά ότι υπάρχει ένα τεράστιο χάσμα μεταξύ του τρόπου με τον οποίο η Apple και η Google προσεγγίζουν την κινητή ασφάλεια. Οι εταιρείες έχουν διαφορετικούς στόχους και επιχειρηματικά μοντέλα και έχουν αντιμετωπίσει τις ανησυχίες για την ασφάλεια μέσω αυτών των φακών.

Η βρώμικη αλήθεια είναι ότι τόσο η Apple όσο και η Google επιτυγχάνουν την ασφάλεια - εάν την βλέπετε μέσω του φακού των αντίστοιχων επιχειρηματικών μοντέλων τους. Η Google πρέπει να διατηρήσει μια μαζική, ανήσυχη συμμαχία προγραμματιστών υλικού και λογισμικού, προκειμένου να συνεχίσει να λειτουργεί το πιο δημοφιλές λειτουργικό σύστημα στον πλανήτη. Μπορεί να πάρει μερικά πράγματα λάθος, με την προϋπόθεση ότι όλες αυτές οι σχέσεις παραμένουν ισχυρές.

Η Apple, από την άλλη πλευρά, γνωρίζει ότι η φήμη της είναι τα πάντα. Επειδή οι άνθρωποι αισθάνονται ασφαλείς στα iPhones, αισθάνονται ασφαλείς να ξοδεύουν χρήματα τόσο στα iPhones όσο και (όλο και πιο σημαντικά) με τα iPhones. Η επιχείρηση κινείται πολύ αργά και σκόπιμα, ώστε να μπορεί να το κάνει σωστά την πρώτη φορά, γεγονός που μερικές φορές καθιστά αργούς την υιοθέτηση νέων τεχνολογιών.

Αντί να κερδίσουμε έναν νικητή, ας υποθέσουμε ότι και οι δύο αυτοί γιγάντες τεχνολογίας είναι υπεύθυνοι για τις ελλείψεις τους. Στο τέλος της ημέρας, οι πιθανότητες είναι να έχετε μια συσκευή με όλες σας τις προσωπικές πληροφορίες σχετικά με αυτήν από μία από αυτές τις δύο εταιρείες, έτσι ώστε να μην έχουν την πολυτέλεια να είναι ικανοποιημένοι με προηγούμενα επιτεύγματα ή πρόσφατες βελτιώσεις.

Αρχικά δημοσιεύθηκε στη διεύθυνση https://www.pcmag.com στις 29 Απριλίου 2019.