Android супраць iOS: што больш бяспечна?

Эксперт па бяспецы Макс Эдзі вывучае стан бяспекі Android і iPhone. Ваш выбар мабільнай АС самы бяспечны? Ці гэта няправільнае пытанне задаць?

Макс Эдзі

Гэта казка старая час: напісанне палемічнага твору пра дзве канкуруючыя брэнды, каб у каментарах перамагчы фанаты адзін супраць аднаго. Танец, мае марыянеткі. Ваша размяшчэнне ярасці проста набівае непаўторныя погляды і плаціць мне заробак. Тым не менш, разглядаючы абломкі людзей і каньяк у руках, я лічу: ці сапраўды iPhone больш бяспечны, чым Android? Ці сапраўды "досыць добры" падыход да бяспекі Android? Што рабіць, калі, нягледзячы на ​​поспех, абедзве платформы збойваюцца важнымі спосабамі?

Бяспека Apple Way

Звычайна Apple рэкламуецца як відавочны пераможца з пункту гледжання бяспекі мабільнай сувязі. Шчыра кажучы, складана паспрачацца з такой ацэнкай на твары. Беспрэцэдэнтны кантроль Apple над iPhone і iOS азначае, што большасць людзей атрымлівае і ўсталёўвае абнаўленні праграмнага забеспячэння і выпраўленні бяспекі. Гэта крытычна, і гэта галоўны дыферэнцыятар ад Android.

Кампаніі Apple удалося захаваць жорсткую сувязь з ланцужком паставак абсталявання, а таксама, правеўшы праверку прыкладанняў App Store, кантраляваць прыкладанні незалежных распрацоўшчыкаў. Гэта таксама супярэчлівы працэс: прыкладанні адхіляюцца па, здавалася б, адвольных прычынах, але той, які захаваў App Store у значнай ступені бясплатна ад шкоднаснага ПА.

Што тычыцца бяспекі, Apple, здаецца, выкарыстоўвае падыход "усё, што трэба". Выдатным прыкладам могуць служыць платформы Messages (раней iMessage). Магчыма, гэта выглядае як тэкставыя паведамленні паміж тэлефонамі і кампутарамі, але некалькі разоў таму ў прэзентацыі Black Hat было зразумела, што гэта не так. Apple распрацавала платформу з нуля, каб быць зашыфраванай у канец і максімальна ўстойлівай да фальсіфікацый. Напрыклад, на серверах для паведамленняў патрэбныя апаратныя ключы. Пасля таго, як серверы працуюць, гэтыя ключы руйнуюцца, не дазваляючы каму-небудзь, нават Apple, шпіёніць за карыстальнікамі альбо падмяняюць сістэму. Гэта вельмі складана, але гэта працуе.

Бяспека Android Way

Доўгі час Google вырабляў аргумент, што ён быў дастаткова бяспечным. Не, яно не зафіксавала ні адно шкоднаснае прыкладанне, загружанае ў Google Play. Так, у аперацыйнай сістэме было выяўлена некалькі асноўных уразлівасцей, выяўленых даследчыкамі. Так, адкрытасць Android і ўсталяваная база разбіты на некалькі розных версій АС Android, падвяргаючы рызыку пакупнікоў. Прадстаўнікі Google адзначаюць, што з мільярда карыстальнікаў толькі малюсенькая частка - нешта накшталт аднаго працэнта - на самай справе сутыкнецца з чымсьці шкоднасным. Калі казаць, нават адзін працэнт ад мільярда - гэта шмат. Маўляў, 10 мільёнаў шмат.

У якасці гонару Google змяніў сваю мелодыю. Абнаўленні аперацыйнай сістэмы Android размясцілі вялікія абмежаванні ў тым, што інфармацыйныя прыкладанні могуць збіраць. Кампанія вывела сваю мадэль дазволаў "усё альбо нічога" на карысць падыходу, накіраванага на Apple, у рамках якога карыстальнікі могуць пагадзіцца даваць прыкладанню доступ да камеры, але не ў спіс сваіх кантактаў. Google таксама перайшоў на значна больш хуткую кадэнцыю для сваіх абнаўленняў бяспекі, вылучаючы больш выпраўленняў на больш прылад.

Самыя вялікія змены ад Google на самай справе былі даволі тонкімі. Кампанія Google перамясціла свае намаганні па бяспецы ў Android, у паслугі Google Play, якія Google можа абнавіць незалежна ад версіі карыстальнікаў аперацыйнай сістэмы. Гэта дазваляе рэалізаваць такія праграмы, як бяспечная сетка, якая дазваляе Google назіраць за наяўнасцю шкоднасных праграм на прыладах, нават шкоднасных праграм, загружаных за межамі крамы Google Play.

Адтуль Google не толькі пашырыў функцыі бяспекі Android, але і працаваў над тым, каб ператварыць прылады Android у прылады бяспекі. Нядаўна кампанія Google абвясціла, што прылады Android можна выкарыстоўваць як двухфактарныя аўтэнтыфікацыі FIDO2, што забяспечвае адзін з лепшых і гнуткіх варыянтаў 2FA для кожнага ўладальніка Android. Калі вы хацелі раней выкарыстоўваць FIDO2, вам прыйдзецца выдаткаваць $ 20-50 за апаратны ключ, падобны Yubico ці Google.

Што яны атрымліваюць няправільна

Хоць рэальная колькасць заражаных праграмным забеспячэннем невялікая, адзін працэнт карыстальнікаў Android, якія сутыкнуліся са штосьці шкоднасным, ніколі не раўнамерна распаўсюджваўся на ўсіх карыстальнікаў Android. Згодна са звесткамі 2015 года, ён быў сярод людзей, якія карыстаюцца недарагімі прыладамі, часта ў краінах, якія развіваюцца. Гэта сапраўды затрымалася ў маім полазе з таго дня, як я яго пачуў. Рызыка гэтых прылад была непрапарцыйна падштурхнутая да тых, хто менш за ўсё перашкаджае аферы альбо нападу.

Нягледзячы на ​​штуршкі, зробленыя Google, каб ачысціць Android і Android Apps, мадэль патрабуе значнай колькасці пакупнікоў для распрацоўшчыкаў. Google павінен пераканаць распрацоўнікаў зрабіць усё па-іншаму і выкарыстоўваць новыя, больш бяспечныя інструменты, якія кампанія прадастаўляе. Google прадставіў некалькі палачак і морквы, каб вывесці распрацоўшчыкаў на борт, але з неадназначным поспехам. Гэта таксама пагаршаецца разбураным характарам Android, з трыма рознымі версіямі, у кожнай з якіх больш за 20 працэнтаў усталяванай базы, і нават драбнейшыя асколкі іншых версій. Гэта азначае, што існуе значная аўдыторыя, якая ўсё яшчэ не атрымлівае апошніх удасканаленняў АС, і распрацоўшчыкі могуць працягваць нацэльваць іх на прыкладанні.

Ні адна з стратэгій кампаніі Apple не абышлася без наступстваў. Паступовы падыход да паляпшэння бяспекі азначае, што, магчыма, пройдзе некаторы час, перш чым iPhone можна будзе выкарыстоўваць у якасці аўтэнтыфікатара 2FA FIDO2, калі ён адбудзецца наогул. Я нават не магу выкарыстоўваць свой iPhone YubiKey 5 NFC з iPhone, таму што ён яшчэ не падтрымлівае FIDO2 праз NFC.

Apple таксама павольна прымае інтэграцыю дыспетчараў пароляў, што ўскладняе лепшае, што людзі могуць зрабіць, каб захаваць інфармацыю.

Найбольшы грэх у бяспецы Apple, аднак, заключаецца ў тым, што стратэгія "усё, што трэба" прыходзіць з высокай цаной. Самым даступным тэлефонам ад Apple у цяперашні час з'яўляецца iPhone 7, які каштуе 449 долараў, хоць зніжкі на здзелку можна ўжываць, як і план выплат у памеры 18,99 долараў у месяц. Новыя, якасныя тэлефоны Android, з іншага боку, можна набыць усяго за 220 долараў. Высокая цана прылады Apple адпраўляе даволі яснае паведамленне: калі вы недастаткова багаты, у вас не будзе бяспекі Apple. Калі iOS выходзіць за межы цэнавага дыяпазону ў многіх спажыўцоў, Apple не абараняе іх.

Нішто з гэтага нават не звяртаецца да таго, што самымі вялікімі пагрозамі для карыстальнікаў iOS і Android з'яўляюцца спам, фішынг і махлярства. Яны могуць з'яўляцца ў выглядзе злоўжывання рэкламай, SMS-афёраў і фішынгавых лістоў. Абедзве платформы прынялі меры для вырашэння праблемы, але трэба памятаць, што спам і фішынг не такія сэксуальныя, як шкоднасныя праграмы, распрацаваныя ўрадам, гэта рэальная пагроза для спажыўцоў.

І Android, і iOS могуць зрабіць лепш

Я не толькі лічу, што пісаць, што адна платформа лепш, чым іншая, я шчыра лічу, што існуе вялікі разрыў паміж тым, як Apple і Google падыходзяць да мабільнай бяспекі. Кампаніі маюць розныя мэты і бізнес-мадэлі і вырашаюць праблемы бяспекі праз гэтыя аб'ектывы.

Брудная ісціна заключаецца ў тым, што і Apple, і Google дасягаюць поспеху ў бяспецы, калі праглядаць гэта праз аб'ектыў адпаведных бізнес-мадэляў. Google павінен падтрымліваць маштабны, няпросты саюз распрацоўшчыкаў абсталявання і праграмнага забеспячэння, каб працягваць працаваць самай папулярнай АС на планеце. Гэта можа памыліцца ў некалькіх выпадках, калі ўсе гэтыя адносіны застаюцца трывалымі.

Apple, з іншага боку, ведае, што ў яго рэпутацыі ёсць усё. Паколькі людзі адчуваюць сябе ў бяспецы на айфонах, яны адчуваюць бяспеку марнаваць грошы як на айфоны, так і (усё больш важна) з айфонамі. Кампанія рухаецца вельмі павольна і наўмысна, каб яна магла паправіць гэта ў першы раз, што часам прымушае іх павольна ўспрымаць новыя тэхналогіі.

Замест таго, каб выбіраць пераможцу, давайце адкажам за недахопы абодвух гэтых гігантаў. У рэшце рэшт шанцы ў вас ёсць прылада з усёй вашай асабістай інфармацыяй ад адной з гэтых дзвюх кампаній, таму вы не можаце дазволіць сабе задаволіцца мінулымі дасягненнямі або апошнімі ўдасканаленнямі.

Першапачаткова апублікавана на https://www.pcmag.com 29 красавіка 2019 года.