Securitywatch: android vs ios, som er sikrere? | maks virvel

Det er en historie så gammel som tiden: Å skrive et polemisk stykke om to konkurrerende merker for å pitche fanboys for hverandre mot hverandre i kommentarfeltene. Dans, dukkene mine. Rageinnleggelsen din rekker bare de unike visningene og betaler lønnen min. Likevel, mens jeg kartlegger menneskevrak, brandy snifter i hånden, vurderer jeg: er iPhone virkelig sikrere enn Android? Er Android's "gode nok" tilnærming til sikkerhet virkelig god nok? Hva om til tross for suksess, begge plattformene svikter på viktige måter?

Sikkerhet Apple Way

Apple blir vanligvis utpekt som den klare vinneren når det gjelder mobilsikkerhet. Helt ærlig er det vanskelig å argumentere for den vurderingen i møte med den. Apples enestående kontroll over iPhone- og iOS-opplevelsen har gjort at folk flest mottar og installerer programvareoppdateringer og sikkerhetsrettinger. Det er avgjørende, og det er en viktig differensierer fra Android.

Apple har klart å holde et tett grep over forsyningskjeden for maskinvare og også gjennom app Store-godkjenningsprosessen, holdt kontrollen over apper fra uavhengige utviklere. Det er også en kontroversiell prosess, med apper som blir avvist av tilsynelatende vilkårlige grunner, men en som har holdt App Store stort sett gratis.

Når det gjelder sikkerhet, ser det ut til at Apple bruker en "hva det trengs" tilnærming. Et flott eksempel er dens Messages (tidligere iMessage) -plattform. Dette kan virke som tekstmeldinger som deles mellom telefoner og datamaskiner, men en Black Hat-presentasjon fra noen år siden gjorde det klart at det ikke var tilfelle. Apple designet plattformen fra grunnen til å være kryptert fra ende til ende og så manipulasjonsbestandig som mulig. Servere for meldinger, for eksempel, trenger maskinvarenøkler for å bli spunnet opp. Når serverne er i drift, blir disse nøklene ødelagt, og forhindrer at noen - til og med Apple - ikke kan spionere på brukere eller tukle med systemet. Det er enormt sammensatt, men det fungerer.

Sikkerhet Android Way

I lang tid fremførte Google argumentet om at det var sikkert nok . Nei, den fanger ikke hver eneste ondsinnede app som lastes opp til Google Play. Ja, det har vært flere store sårbarheter i operativsystemet oppdaget av forskere. Ja, åpenheten til Android og en installert base sprukket i flere forskjellige versjoner av Android OS har satt kunder i fare. Men Google-representantene vil påpeke at blant de milliardene brukerne bare en liten brøkdel - noe som en prosent - noen gang ville møte noe ondsinnet. Når det er sagt, er bare en prosent av en milliard mye . Som, 10 millioner mye.

Google har endret seg på melodien. Oppdateringer til Android-operativsystemet har lagt større begrensninger for hvilken informasjon apper kan samle. Selskapet har grøftet alt-eller-ingenting-tillatelsesmodellen til fordel for en Apple-smaksatt tilnærming, der brukere kan bli enige om å la en app få tilgang til kameraet sitt, men ikke kontakten deres. Google har også flyttet til en mye raskere tråkkfrekvens for sine sikkerhetsoppdateringer, og presset flere rettelser til flere enheter.

Den største endringen fra Google har faktisk vært ganske subtil. Google har flyttet sikkerhetsinnsatsen dypt inne i Android, til Google Play Services, som Google kan oppdatere uavhengig av hvilken versjon av operativsystemet brukerne kjører. Dette gjør det mulig for programmer som Safety Net, som lar Google se etter skadelig programvare på enheter, til og med skadelig programvare som ble lastet fra siden av Google Play-butikken.

Derfra har Google ikke bare utvidet sikkerhetsfunksjonene til Android, men også jobbet for å gjøre Android-enheter til sikkerhetsenheter. Google kunngjorde nylig at Android-enheter kan brukes som FIDO2 tofaktors autentiseringsenheter, og gir et av de beste og mest fleksible 2FA-alternativene til alle Android-eiere. Hvis du ønsket å bruke FIDO2 før, må du bruke $ 20- $ 50 for en maskinvarenøkkel fra slike som Yubico eller Google.

Hva de hver for seg tar feil

Mens det faktiske antallet malware-infeksjoner er lavt, ble en prosent av Android-brukere som har opplevd noe ondsinnet aldri jevnt fordelt på alle Android-brukere. I følge 2015-statistikken var det overveiende blant folk som bruker rimelige enheter, ofte i utviklingsland. Dette har virkelig satt seg fast i crawben min siden den dagen jeg hørte det. Risikoen for disse enhetene ble uforholdsmessig presset til de med minst mulig midler til å forvitre om svindel eller angrep.

Til tross for press fra Google for å rydde opp i Android og Android Apps, krever modellen en god del kjøp av utviklere. Google trenger å overbevise utviklere om å gjøre ting annerledes, og bruke de nye, sikrere verktøyene selskapet leverer. Google har introdusert noen pinner og gulrøtter for å få utviklere om bord, men med blandet suksess. Dette forsterkes ytterligere av den oppsprukkede naturen til Android, med tre distinkte versjoner som hver har mer enn 20 prosent av den installerte basen, og til og med tynnere splinter av andre versjoner. Det betyr at det er et betydelig publikum som fremdeles ikke mottar de siste forbedringene av operativsystemet, og utviklere kan fortsette å målrette dem med apper.

Apples strategi har heller ikke vært uten konsekvenser som har såret brukere. Den trinnvise tilnærmingen til sikkerhetsforbedringer betyr at det sannsynligvis vil ta en stund før en iPhone kan brukes som 2FA FIDO2-autentisator, hvis det i det hele tatt skjer. Jeg kan ikke engang bruke min eksisterende YubiKey 5 NFC med en iPhone fordi den ikke støtter FIDO2 over NFC ennå.

Apple har også vært treg med å ta i bruk passordbehandlingsintegrasjon, noe som vanskeliggjør det beste folk kan gjøre for å holde informasjonen deres sikker.

Apples største sikkerhetssynd er imidlertid at strategien "hva det tar" kommer til en høy håndsettpris. Den rimeligste telefonen som fremdeles er tilgjengelig fra Apple, er iPhone 7, som koster $ 449, selv om innbyderabatter kan brukes, og det samme kan en betalingsplan på $ 18.99 per måned. Nye Android-telefoner av god kvalitet kan derimot kjøpes for så lite som 220 dollar. Den høye prisen på en Apple-enhet sender en ganske klar melding: Hvis du ikke er rik nok, trenger du ikke ha Apple-sikkerhet. Hvis iOS er utenfor prisklassen for mange forbrukere, beskytter ikke Apple dem.

Ikke noe av dette adresserer selv det faktum at de største truslene mot både iOS- og Android-brukere er spam, phishing og svindel. Disse kan komme i form av malvertisering, SMS-svindel og phishing-e-post. Begge plattformene har tatt skritt for å takle utfordringen, men vi må huske at selv om spam og phishing ikke er så sexy som regjeringsskapet malware, er det den virkelige trusselen for forbrukerne.

Både Android og iOS kan gjøre det bedre

Ikke bare tror jeg det er hakkete å si at den ene plattformen er bedre enn den andre, jeg tror virkelig at det er et enormt gap mellom hvordan Apple og Google tilnærmer seg mobilsikkerhet. Selskapene har forskjellige mål og forretningsmodeller, og har adressert sikkerhetsproblemer gjennom disse linsene.

• Med Android P stopper Google å spille Catch-Up på sikkerhet Med Android P, Google stopper å spille Catch-Up på sikkerhet
• Apple iOS 12 Apple iOS 12
• Google Android Pie (9.0) Google Android Pie (9.0)

Den skitne sannheten er at både Apple og Google lykkes med sikkerhet - hvis du ser det gjennom linsen til de respektive forretningsmodellene. Google må opprettholde en massiv, urolig allianse av maskinvare- og programvareutviklere for å fortsette å kjøre det mest populære operativsystemet på planeten. Det kan få noen ting galt, forutsatt at alle disse forholdene forblir sterke.

Apple vet derimot at omdømmet er alt. Fordi folk føler seg trygge på iPhones, føler de seg trygge på å bruke penger både på iPhones og (stadig viktigere) med iPhones. Selskapet beveger seg veldig sakte og bevisst slik at det kan få det riktig første gang, noe som noen ganger gjør at de er trege til å ta i bruk nye teknologier.

I stedet for å kåre en vinner, la oss holde begge disse tech-gigantene ansvarlige for deres mangler. På slutten av dagen er det stor sjanse for at du har en enhet med all din personlige informasjon om det fra et av disse to selskapene, slik at ingen av dem har råd til å være fornøyde med tidligere prestasjoner eller nyere forbedringer.