Android vs. iOS: Který je bezpečnější?

Bezpečnostní odborník Max Eddy zkoumá stav zabezpečení Android a iPhone. Je váš mobilní operační systém nejbezpečnější? Nebo je to špatná otázka?

Autor: Max Eddy

Je to příběh tak starý jako čas: Psaní polemického kusu o dvou konkurenčních značkách, aby se v komentářích postavily fanoušci proti sobě. Tanec, moje loutky. Vaše zveřejnění vzteku jen posune jedinečné pohledy a zaplatí můj plat. Přesto, když zkoumám lidské trosky, brandy sniftera v ruce, uvažuji: Je iPhone opravdu bezpečnější než Android? Je „dostatečně dobrý“ přístup Androidu k zabezpečení opravdu dobrý? Co když i přes úspěchy obě platformy významně selhávají?

Zabezpečte cestu Apple

Apple je obvykle nabízen jako jasný vítěz, pokud jde o zabezpečení mobilních zařízení. Upřímně řečeno, je těžké se s tímto hodnocením hádat. Díky bezprecedentní kontrole Apple a iPhone pro iOS znamená, že většina lidí přijímá a instaluje aktualizace softwaru a opravy zabezpečení. To je kritické a je to hlavní odlišitel od Androidu.

Společnost Apple dokázala udržet pevnou kontrolu nad svým dodavatelským řetězcem hardwaru a také prostřednictvím procesu prověrky App Store udržovala kontrolu nad aplikacemi nezávislých vývojářů. Je to také kontroverzní proces, kdy byly aplikace zamítnuty ze zdánlivě svévolných důvodů, ale ten, který App Store udržoval do značné míry malwaru.

Pokud jde o zabezpečení, zdá se, že Apple používá přístup „cokoli“. Skvělým příkladem je jeho platforma Messages (dříve iMessage). Může to vypadat jako textové zprávy sdílené mezi telefony a počítači, ale prezentace Black Hat z před několika lety jasně ukázala, že tomu tak nebylo. Apple navrhl platformu od základu tak, aby byla šifrována end-to-end a co nejpevnější vůči neoprávněné manipulaci. Servery pro zprávy například vyžadují, aby se roztočily hardwarové klíče. Jakmile jsou servery funkční, jsou tyto klíče zničeny, což brání komukoli - dokonce i Apple - špehovat uživatele nebo zasahovat do systému. Je to nesmírně složité, ale funguje to.

Zabezpečení systému Android

Google dlouho tvrdil, že je dostatečně bezpečný. Ne, nezachytilo každou škodlivou aplikaci nahranou na Google Play. Ano, v operačním systému objevili vědci několik hlavních zranitelností. Ano, otevřenost systému Android a nainstalované základny zlomená do několika různých verzí operačního systému Android vystavila zákazníky riziku. Zástupci společnosti Google by však poukazovali na to, že z miliard uživatelů asi jen zlomek - něco jako jedno procento - by se ve skutečnosti setkal s něčím nebezpečným. To znamená, že i jen jedno procento miliardy je hodně. Stejně jako 10 milionů hodně.

K jeho kreditu, Google změnil jeho melodii. Aktualizace operačního systému Android kladla větší omezení na to, jaké informace mohou aplikace shromažďovat. Společnost propadla svému modelu oprávnění typu „vše nebo nic“ ve prospěch přístupu s příchutí Apple, podle kterého se uživatelé mohou dohodnout, že aplikaci umožní přístup ke kameře, nikoli však ke seznamu kontaktů. Google také přesunul své aktualizace zabezpečení do mnohem rychlejší kadence, čímž posílal další opravy na více zařízení.

Největší změna od Googlu byla ve skutečnosti velmi jemná. Google posunul své úsilí v oblasti zabezpečení hluboko v systému Android do služeb Google Play, které Google může aktualizovat bez ohledu na to, jakou verzi uživatelů operačního systému používají. To umožňuje programy jako Safety Net, které umožňují Googlu sledovat malware na zařízeních, a to i malware, který byl stažen z vnější strany obchodu Google Play.

Od té doby Google nejen rozšířil funkce zabezpečení systému Android, ale také pracoval na tom, aby se zařízení Android stala bezpečnostními zařízeními. Google nedávno oznámil, že zařízení Android lze použít jako dvoufaktorová autentizační zařízení FIDO2 a každému majiteli zařízení Android nabízejí jednu z nejlepších a nejflexibilnějších možností 2FA. Pokud jste dříve chtěli používat FIDO2, museli byste utratit $ 20 - 50 $ za hardwarový klíč od typu Yubico nebo Google.

Co každý dostane špatně

Skutečný počet infekcí malwarem je nízký, ale jedno procento uživatelů systému Android, kteří narazili na něco škodlivého, nebylo nikdy rovnoměrně rozděleno mezi všechny uživatele systému Android. Podle statistik za rok 2015 to bylo převážně mezi lidmi, kteří používají nízkonákladová zařízení, často v rozvojových zemích. Od okamžiku, kdy jsem to slyšel, se to v mém procházení opravdu zaseklo. Riziko těchto zařízení bylo nepřiměřeně tlačeno na ty, kteří mají nejmenší prostředky pro zvládání podvodů nebo útoků.

Přestože společnost Google vyvíjí úsilí o vyčištění aplikací pro Android a Android, vyžaduje tento model značné množství buy-inů pro vývojáře. Google musí přesvědčit vývojáře, aby dělali věci jinak, a používat nové, bezpečnější nástroje, které společnost poskytuje. Google zavedl několik tyčinek a mrkví, aby se vývojáři dostali na palubu, ale se smíšeným úspěchem. Toto je dále umocněno zlomenou povahou Androidu, kdy tři odlišné verze mají vždy více než 20 procent nainstalované základny, a dokonce i drobnější třísky jiných verzí. To znamená, že existuje velké publikum, které stále nedostává nejnovější vylepšení operačního systému, a vývojáři je mohou nadále cílit pomocí aplikací.

Rovněž strategie společnosti Apple nebyla bez následků, které by uživatele zranily. Jeho přírůstkový přístup k vylepšení zabezpečení znamená, že pravděpodobně bude nějakou dobu trvat, než bude iPhone použit jako 2FA FIDO2 autentizátor, pokud k tomu vůbec dojde. S iPhone nemůžu použít ani svůj stávající YubiKey 5 NFC, protože zatím nepodporuje FIDO2 přes NFC.

Společnost Apple také pomalu přijímá integraci správce hesel, což znesnadňuje to nejlepší, co lidé mohou udělat, aby své informace uchovávali v bezpečí.

Největším hříchem společnosti Apple v oblasti bezpečnosti je však to, že její strategie „cokoli“ vyžaduje vysokou cenu telefonu. Nejlevnějším telefonem, který je stále k dispozici od Apple, je iPhone 7, který stojí 449 $, přestože lze uplatnit obchodní slevy, stejně jako platební plán ve výši 18,99 $ měsíčně. Nové, kvalitní telefony Android na druhou stranu lze zakoupit za pouhých 220 USD. Vysoká cena zařízení Apple odešle docela jasnou zprávu: pokud nejste dostatečně bohatí, nemusíte mít zabezpečení Apple. Pokud je iOS mimo cenové rozpětí mnoha zákazníků, Apple je nechrání.

Nic z toho se nezabývá skutečností, že největší hrozbou pro uživatele iOS i Android jsou spam, phishing a podvody. Ty mohou mít podobu malweringu, podvodů SMS a e-mailů s phishingem. Obě platformy podnikly kroky k řešení této výzvy, ale musíme si uvědomit, že zatímco spam a phishing nejsou tak sexy jako vládní malware, je to skutečná hrozba pro spotřebitele.

Android i iOS dokážou lépe

Nejen, že si myslím, že je to hackerské psaní, které říká, že jedna platforma je lepší než druhá, ale skutečně si myslím, že existuje obrovský rozdíl mezi přístupem Apple a Google k mobilní bezpečnosti. Společnosti mají různé cíle a obchodní modely a prostřednictvím těchto čoček řešily bezpečnostní problémy.

Špinavá pravda je, že Apple i Google uspějí v zabezpečení - pokud si to prohlížíte pomocí objektivu příslušných obchodních modelů. Google musí udržovat masivní, nesnadné spojenectví vývojářů hardwaru a softwaru, aby mohl i nadále provozovat nejpopulárnější operační systém na planetě. Může to způsobit několik chyb, za předpokladu, že všechny tyto vztahy zůstanou silné.

Apple na druhé straně ví, že jeho pověst je všechno. Protože se lidé cítí v bezpečí na telefonech iPhone, cítí se bezpečně utrácet peníze jak na telefonech iPhone (a stále důležitější) na telefonech iPhone. Společnost se pohybuje velmi pomalu a uváženě, aby ji mohla napravit poprvé, což někdy způsobuje, že nové technologie přicházejí pomalu.

Místo toho, abychom vybrali vítěze, nechme oba tech giganty zodpovědné za jejich nedostatky. Na konci dne máte šanci, že máte k dispozici zařízení se všemi vašimi osobními údaji od jedné z těchto dvou společností, takže si ani jeden nemůže dovolit být spokojen s minulými výsledky nebo nedávnými vylepšeními.

Původně zveřejněno na https://www.pcmag.com 29. dubna 2019.