Android vs. iOS: Hvilken er mere sikker?

Sikkerhedsekspert Max Eddy undersøger tilstanden for Android og iPhone sikkerhed. Er dit valgte operativsystem det sikreste? Eller er det det forkerte spørgsmål at stille?

Af Max Eddy

Det er en historie så gammel som tiden: At skrive et polemisk stykke om to konkurrerende mærker for at pit the fanboys for hinanden mod hinanden i kommentarerne. Dans, mine dukker. Din raserieafgivelse racks bare de unikke synspunkter og betaler min løn. Da jeg undersøger det menneskelige vrag, brandy snifter i hånden, overvejer jeg: er iPhone virkelig mere sikker end Android? Er Android's “god nok” tilgang til sikkerhed virkelig god nok? Hvad hvis, på trods af succeser, begge platforme mislykkes på vigtige måder?

Sikkerhed Apple Way

Apple udråbes normalt som den klare vinder med hensyn til mobilsikkerhed. Helt ærligt er det svært at argumentere med den vurdering på baggrund af den. Apples hidtil uset kontrol med iPhone- og iOS-oplevelsen har betydet, at de fleste mennesker modtager og installerer softwareopdateringer og sikkerhedsrettelser. Det er kritisk, og det er en vigtig differentierer fra Android.

Apple har formået at holde et tæt greb over sin hardware-forsyningskæde og også gennem App Store-vetting-processen have kontrolleret apps fra uafhængige udviklere. Det er også en kontroversiel proces, hvor apps afvises af tilsyneladende vilkårlige grunde, men en, der har holdt App Store stort set fri for malware.

Når det kommer til sikkerhed, ser det ud til, at Apple bruger en "uanset hvad det tager" tilgang. Et godt eksempel er dens Messages (tidligere iMessage) platform. Dette kan bare virke som tekstmeddelelser, der deles mellem telefoner og computere, men en Black Hat-præsentation fra et par år siden gjorde det klart, at det ikke var tilfældet. Apple designet platformen fra bunden op til at være krypteret fra ende til ende og så manipuleringsbestandig som muligt. Servere til meddelelser har for eksempel brug for hardwaretaster for at blive spundet op. Når serverne er i drift, ødelægges disse nøgler, hvilket forhindrer nogen - endda Apple - i at spionere på brugerne eller manipulere med systemet. Det er enormt komplekst, men det fungerer.

Sikkerhed på Android Way

I lang tid fremførte Google argumentet om, at det var sikkert nok. Nej, det fandt ikke hver eneste ondsindede app, der blev uploadet til Google Play. Ja, der har været adskillige større sårbarheder i operativsystemet opdaget af forskere. Ja, Android's åbenhed og en installeret base brudt i flere forskellige versioner af Android OS har bragt kunder i fare. Men Google-repræsentanter påpeger, at kun for en lille brøkdel - noget som en procent - af de milliarder brugere, der nogensinde faktisk skulle støde på noget ondsindet. Når det er sagt, er kun en procent af en milliard meget. Som 10 millioner meget.

Google har til gengæld ændret melodien. Opdateringer til Android-operativsystemet har lagt større begrænsninger for, hvilke oplysninger apps kan indsamle. Virksomheden har slettet sin alt-eller-intet tilladelsesmodel til fordel for en Apple-flavored tilgang, hvor brugere kan blive enige om at lade en app få adgang til deres kamera, men ikke deres kontaktliste. Google er også flyttet til en meget hurtigere kadence for sine sikkerhedsopdateringer og skubber flere rettelser til flere enheder.

Den største ændring fra Google har faktisk været ganske subtil. Google har flyttet sin sikkerhedsindsats dybt inde i Android til Google Play Services, som Google kan opdatere uanset hvilken version af operativsystemet brugerne kører. Det giver mulighed for programmer som Safety Net, som lader Google se efter malware på enheder, endda malware, der blev sideladet uden for Google Play-butikken.

Derfra har Google ikke kun udvidet Android-sikkerhedsfunktionerne, men også arbejdet for at gøre Android-enheder til sikkerhedsenheder. Google annoncerede for nylig, at Android-enheder kan bruges som FIDO2-to-faktor-godkendelsesenheder, hvilket giver en af ​​de bedste og mest fleksible 2FA-muligheder til enhver Android-ejer. Hvis du ville bruge FIDO2 før, var du nødt til at bruge $ 20- $ 50 til en hardwarenøgle som f.eks. Yubico eller Google.

Hvad de hver forkert gør

Mens det faktiske antal malware-infektioner er lavt, blev en procent af Android-brugere, der stødte på noget ondsindet, aldrig jævnt fordelt på alle Android-brugere. I henhold til 2015-statistikken var det overvejende blandt folk, der brugte billige enheder, ofte i udviklingslande. Dette har virkelig sat sig fast i min craw, siden jeg hørte det. Risikoen for disse enheder blev uforholdsmæssigt skubbet til dem med mindst mulig midler til at forvitre en fidus eller angreb.

På trods af presser fra Google for at rydde op i Android og Android Apps kræver modellen en rimelig mængde opkøb af udviklere. Google er nødt til at overbevise udviklere om at gøre tingene anderledes og bruge de nye, mere sikre værktøjer, som virksomheden leverer. Google har introduceret nogle pinde og gulerødder for at få udviklere om bord, men med blandet succes. Dette forstærkes yderligere af den brudte karakter af Android, med tre forskellige versioner, der hver har mere end 20 procent af den installerede base, og endda tyndere splinter af andre versioner. Det betyder, at der er et betydeligt publikum, der stadig ikke modtager de nyeste OS-forbedringer, og udviklere kan fortsætte med at målrette dem med apps.

Apples strategi har heller ikke været uden konsekvenser, der har skadet brugerne. Dens trinvise tilgang til sikkerhedsforbedringer betyder, at det sandsynligvis vil vare et stykke tid, før en iPhone kan bruges som 2FA FIDO2-autentificering, hvis det overhovedet sker. Jeg kan ikke engang bruge min eksisterende YubiKey 5 NFC med en iPhone, fordi den endnu ikke understøtter FIDO2 over NFC.

Apple har også været langsom med at vedtage integration af password manager, hvilket gør det vanskeligere det bedste, folk kan gøre for at holde deres oplysninger sikre.

Apples største sikkerhedssyn er imidlertid, at dets "uanset hvad det tager" -strategi kommer til en høj håndsætpris. Den mest overkommelige telefon, der stadig er tilgængelig fra Apple, er iPhone 7, der koster $ 449, selvom der kan anvendes indbyrabatter, ligesom en betalingsplan på $ 18,99 pr. Måned. Nye Android-telefoner af god kvalitet kan derimod købes for så lidt som $ 220. Den høje pris på en Apple-enhed sender en ret klar besked: Hvis du ikke er rig nok, får du ikke Apple-sikkerhed. Hvis iOS ligger uden for mange forbrugers prisinterval, beskytter Apple dem ikke.

Intet af dette adresserer endda det faktum, at de største trusler mod både iOS- og Android-brugere er spam, phishing og svig. Disse kan komme i form af malvertisering, SMS-svindel og phishing-e-mails. Begge platforme har taget skridt til at tackle udfordringen, men vi er nødt til at huske, at selvom spam og phishing ikke er så sexet som regeringsskabende malware, er det den virkelige trussel mod forbrugerne.

Både Android og iOS kan gøre det bedre

Ikke kun synes jeg det er uhyrligt at sige, at den ene platform er bedre end den anden, jeg synes virkelig, at der er et enormt kløft mellem hvordan Apple og Google tilnærmer sig mobilsikkerhed. Virksomhederne har forskellige mål og forretningsmodeller og har taget sikkerhedsproblemer igennem disse linser.

Den beskidte sandhed er, at både Apple og Google lykkes med sikkerhed - hvis du ser det gennem objektivet på deres respektive forretningsmodeller. Google er nødt til at opretholde en massiv, urolig alliance med hardware- og softwareudviklere for at fortsætte med at køre det mest populære operativsystem på planeten. Det kan få et par ting forkert, forudsat at alle disse forhold forbliver stærke.

Apple ved på den anden side, at dets omdømme er alt. Fordi folk føler sig sikre på iPhones, føler de sig sikre på at bruge penge både på iPhones og (stadig vigtigere) med iPhones. Virksomheden bevæger sig meget langsomt og bevidst, så det kan få det rigtigt første gang, hvilket nogle gange gør dem langsomt til at indføre nye teknologier.

I stedet for at vælge en vinder, lad os holde begge disse tech-giganter ansvarlige for deres mangler. I slutningen af ​​dagen er oddset, at du har en enhed med alle dine personlige oplysninger om det fra et af disse to virksomheder, så ingen af ​​dem har råd til at være tilfredse med tidligere præstationer eller nylige forbedringer.

Oprindeligt offentliggjort på https://www.pcmag.com den 29. april 2019.