เปรียบเทียบความปลอดภัยของ Android และ iOS: พวกเขาให้คะแนนอย่างไร

นี่คือข้อตกลง คนเลวรู้เรื่องความปลอดภัยของสมาร์ทโฟนมากกว่าที่เรารู้ และพวกเขาก็ชอบแบบนั้น

ได้เวลาเปลี่ยนแล้ว เพื่อช่วยฉันได้ลงทะเบียนผู้พัฒนาสมาร์ทโฟนแอพและนักเขียน TechRepublic William Francis และ Symantec VP และ Fellow, Carey Nachenberg

Nachenberg wrote: หน้าต่างลงในการรักษาความปลอดภัยอุปกรณ์มือถือ ในนั้นไซแมนเทคจะดูที่ความปลอดภัยโดยธรรมชาติของ Android และ iOS โดยเน้นเป็นพิเศษต่อไปนี้:

"การทำให้ภาพความปลอดภัยมีความซับซ้อนเป็นความจริงที่ว่าทุกวันนี้อุปกรณ์พกพาทำงานในระบบนิเวศซึ่งส่วนใหญ่ไม่ได้ควบคุมโดยองค์กร - พวกเขาเชื่อมต่อและซิงโครไนซ์นอกสถานที่กับบริการคลาวด์ของบุคคลที่สาม อาจไม่เป็นที่รู้จักและอยู่นอกเหนือการควบคุมขององค์กร "

อย่าถูกปิดโดย "enterprise" มีอะไรในกระดาษที่ใช้กับทุกคน

แผนคืออะไร?

โดยปกติฉันจะรวมสิ่งที่ Nachenberg พูดไว้ในบทความ แต่การมีบิลออนบอร์ดช่วยให้ฉันสามารถเพิ่มประสบการณ์จริงในการผสม โชคดีที่ฉันยังไม่ยินดีต้อนรับเนื่องจากเราทำงานร่วมกันในบทความอื่นเกี่ยวกับแอพโทรศัพท์และมัลแวร์

เราตัดสินใจที่จะติดตามโครงร่างของกระดาษโดยบิลให้ความเห็นกับสิ่งที่ Nachenberg เรียกว่า "ห้าเสาหลักความปลอดภัย"

เสาหลัก

ในการเริ่มต้นด้วยรายงานชี้ให้เห็น:

"แพลตฟอร์มมือถือรุ่นล่าสุดได้รับการออกแบบโดยคำนึงถึงความปลอดภัยทั้งสองทีมของวิศวกรพยายามที่จะสร้างคุณสมบัติด้านความปลอดภัยลงในระบบปฏิบัติการโดยตรงเพื่อ จำกัด การโจมตีจากเริ่มแรก"

ถัดไป Nachenberg ทดสอบทั้ง Android และ iOs ว่าพวกเขาจัดการกับสิ่งต่อไปนี้ได้ดีเพียงใด:

  • การควบคุมการเข้าถึงแบบดั้งเดิม : เทคนิคการเข้าถึงแบบดั้งเดิมเช่นรหัสผ่านและการล็อคหน้าจอเวลาว่าง
  • การควบคุมการเข้าถึงตามการ อนุญาต: การควบคุมการเข้าถึงที่ได้รับอนุญาตจะมอบชุดสิทธิ์ให้กับแต่ละแอปพลิเคชัน
  • ที่มาของแอปพลิเคชัน : Provenance เป็นวิธีการที่แต่ละแอปพลิเคชันถูกประทับตราด้วยข้อมูลประจำตัวของผู้เขียนแล้วทำการทนการงัดแงะ (โดยใช้ลายเซ็นดิจิทัล)
  • การเข้ารหัส : การเข้ารหัสพยายามปกปิดข้อมูลที่เหลือในอุปกรณ์พกพา
  • การแยก : เทคนิคการแยกพยายามจำกัดความสามารถของแอปพลิเคชันในการเข้าถึงข้อมูลหรือระบบที่สำคัญบนอุปกรณ์

พวกเขาทำได้อย่างไร

Bill และฉันคิดว่ามันจะดีที่สุดถ้าเขาจะให้ความเห็นว่า Android และ iOS ทำได้ดีเพียงใดเมื่อเทียบกับแต่ละเสาหลักก่อน จากนั้นฉันจะติดตามโดยถอดความสิ่งที่ Nachenberg พูดไว้ในบทความ

Pillar One: การควบคุมการเข้าถึงแบบดั้งเดิม

ฟรานซิส : ในแง่ของการควบคุมการเข้าถึงแบบดั้งเดิมมันเป็นประสบการณ์ของฉันที่ทั้ง iPhone และ Android ทำงานได้อย่างน่าพอใจ

อย่างไรก็ตามเพียงแค่ทิ้งรอยเปื้อนของรอยนิ้วมือบนหน้าจอสัมผัสทำให้ผ่านด่านแรกของการป้องกันได้ง่ายขึ้น ในความคิดของฉันผู้พัฒนาแอปไม่เพียงพอใช้ตัวเลือกสำหรับการล็อคแต่ละแอปพลิเคชันแยกต่างหากจากหน้าจอล็อค / ปลดล็อคระบบปฏิบัติการ

บนแพลตฟอร์ม Android ฉันใช้เครื่องมือจากแอพ Carrot ที่เรียกว่า App Protector Pro ซึ่งทำให้ฉันสามารถเพิ่มระดับความปลอดภัยเพิ่มเติมให้กับแอพพลิเคชั่นเช่น Gmail, Exchange และ Facebook ด้วยวิธีนี้ถ้ามีใครบางคนเข้าถึงโทรศัพท์ของฉันและผ่านหน้าจอล็อคระบบปฏิบัติการฉันจะมีเวลาเพิ่มเติมในการเปลี่ยนรหัสผ่านสำหรับบริการเหล่านั้น

สำหรับความรู้ของฉันไม่มีแอพพลิเคชั่นที่คล้ายกันสำหรับ iOS ฉันสงสัยว่านี่เป็นเพราะ iOS มีโมเดลแซนด์บ็อกซ์ที่ จำกัด มากขึ้น

Kassner : Nachenberg สรุปคุณลักษณะการควบคุมการเข้าถึงที่ได้รับจาก iOS มีความปลอดภัยพอสมควรหากอุปกรณ์สูญหายหรือถูกขโมย ในเรื่องนี้ Nachenberg พิจารณาว่า iOS นั้นเทียบเท่ากับเดสก์ท็อปที่ใช้ Windows

กระดาษใช้ Android น้อยลง มันกล่าวถึง Android เพียงพอที่จะป้องกันการโจมตีปกติ แต่ Android ไม่ได้เข้ารหัสข้อมูลที่เก็บไว้ในการ์ดหน่วยความจำ SD แบบถอดได้ การเข้าถึงทางกายภาพของการ์ดหน่วยความจำและข้อมูลที่เก็บไว้จะเป็นการลบล้างการควบคุมรหัสผ่านบนอุปกรณ์ (ความสะดวกสบายเมื่อเทียบกับความปลอดภัยอีกครั้ง)

เสาสอง: การควบคุมการเข้าถึงตามสิทธิ์

ฟรานซิส : ความรู้ของฉันเกี่ยวกับระบบการอนุญาตบน iOS ค่อนข้าง จำกัด ฉันเข้าใจว่าพวกเขามีสิทธิ์น้อยกว่าแพลตฟอร์ม Android และการอนุญาตบางอย่างกำหนดให้ผู้ใช้ยอมรับเพียงครั้งเดียวขณะที่การเข้าถึงระบบย่อยที่ได้รับการป้องกันอื่น ๆ จะแจ้งให้ผู้ใช้ทุกครั้งที่แอปพลิเคชันต้องการทรัพยากร

ในทางตรงกันข้ามฉันมีความคุ้นเคยกับระบบการอนุญาตบน Android มาก ความคิดเห็นของฉันคือว่ามันประสบความสำเร็จในทางทฤษฎี แต่ส่วนใหญ่ไม่ได้ผลในโลกแห่งความเป็นจริงเพราะมันขึ้นอยู่กับผู้ใช้ที่เข้าใจเทคนิคเป็นอย่างมาก

ในขณะที่อาจเริ่มต้นได้เนื่องจากแพลตฟอร์มที่แฮ็กเกอร์ต้องการจาก 4 ใน 5 แฮนดรอยด์ได้เข้าสู่กระแสหลักและผู้ใช้ทั่วไปไม่มีความรู้ในการเลือกสิทธิ์อนุญาตที่ยอมรับได้

พวกเขาไม่ควรจะต้อง เมื่อฉันไปพบทันตแพทย์ฉันไม่คาดหวังให้เธอถามฉันว่าเครื่องมือชนิดใดที่เธอสามารถใช้ในการกระตุ้นรอบ ๆ ฟันของฉันด้วย ฉันจ่ายค่าบริการและพึ่งพาเธอเพื่อใช้ทรัพยากรที่เธอต้องการเพื่อให้งานสำเร็จลุล่วง

Kassner : ฉันเคยได้ยินความคิดเห็นมากมายเกี่ยวกับระบบการอนุญาตที่ iOS ใช้ กระดาษของ Nachenberg เสริมความเข้าใจของฉัน:

"มีทรัพยากรสี่ระบบที่แอปอาจเข้าถึงที่ต้องได้รับอนุญาตจากผู้ใช้ก่อนการเข้าถึงบริการหรือ ข้อมูล ระบบอื่น ๆ ทั้งหมด ได้รับอนุญาตอย่างชัดเจนหรือถูกบล็อกโดยนโยบายการแยกตัวใน iOS ของนี่นี่คือสิทธิ์ที่แอพอาจร้องขอ:

  • เข้าถึงข้อมูลตำแหน่งจากระบบกำหนดตำแหน่งทั่วโลกของอุปกรณ์
  • รับการแจ้งเตือนจากระยะไกลจากอินเทอร์เน็ต
  • เริ่มต้นการโทรออก
  • ส่ง SMS หรือข้อความอีเมลขาออก

หากแอปพยายามที่จะใช้คุณสมบัติเหล่านี้ผู้ใช้จะได้รับแจ้งให้ขออนุญาตก่อนที่จะอนุญาตกิจกรรม หากผู้ใช้ให้สิทธิ์ระบบ GPS หรือระบบแจ้งเตือนการแจ้งเตือนแสดงว่าแอพได้รับสิทธิ์การเข้าถึงระบบเหล่านี้อย่างถาวร ในทางตรงกันข้ามผู้ใช้จะได้รับพร้อมท์ทุกครั้งที่แอปพยายามโทรออกหรือส่งข้อความ SMS "

Android ใช้แนวทางที่แตกต่างอย่างมากมาย มันขึ้นอยู่กับ "ทั้งหมดหรือไม่มีอะไรเลย" ฉันจะให้ Nachenberg อธิบาย:

"แอพ Android แต่ละตัวมีรายการสิทธิ์ฝังตัวที่จำเป็นเพื่อให้สามารถทำงานได้อย่างถูกต้องรายการคำขอนี้จะแสดงต่อผู้ใช้ในภาษาที่ไม่ใช่ด้านเทคนิค ณ เวลาที่ติดตั้งแอปบนอุปกรณ์และผู้ใช้สามารถตัดสินใจได้ว่า หรือไม่อนุญาตให้ติดตั้งแอปตามความอดทนเพื่อความเสี่ยง

หากผู้ใช้เลือกที่จะดำเนินการติดตั้งแอปจะได้รับอนุญาตให้เข้าถึงระบบย่อยที่ร้องขอทั้งหมด ในทางกลับกันหากผู้ใช้เลือกที่จะยกเลิกการติดตั้งแอพจะถูกปิดกั้นไม่ให้ทำงาน Android ไม่มีข้อเสนอกลาง "

เสาที่สาม: ที่มาของโปรแกรม

ฟรานซิส : กระบวนการในการระบุที่มาและการกำหนดความถูกต้องแตกต่างกันอย่างมีนัยสำคัญระหว่าง Android และ iOS ผู้คนสามารถโต้แย้งสิ่งที่พวกเขาต้องการเกี่ยวกับข้อดีของวิธีการใดวิธีหนึ่ง แต่ในตอนท้ายของวันคุณจะเห็นมัลแวร์สำหรับ Android มากกว่า iOS ของคุณ

ฉันไม่เชื่อว่ามีจุดเดียวที่ Google ล้มเหลว แต่จุดสูงสุดของความล้มเหลวหลายครั้งทำให้แพลตฟอร์ม Android อ่อนแอต่อการคุกคามด้านความปลอดภัยมากขึ้น มีอุปสรรคน้อยเกินไปสำหรับนักพัฒนาในการเริ่มต้นใช้งาน Android โดยเฉพาะอย่างยิ่งแอปที่ปล่อยฟรีหรือแอปที่สนับสนุนโฆษณา

Google ไม่มีกระบวนการตรวจสอบก่อนส่ง ไม่มีข้อกำหนดที่จะพิสูจน์ว่าคุณคือคนที่คุณพูดว่าคุณเป็น ไม่มีอำนาจเซ็นชื่อกลาง มีช่องทางการกระจายแอพหลายช่อง รายการดำเนินต่อไป ด้านบนของกระบวนการจากมุมมองทางเทคนิคมันไม่ใช่เรื่องยากที่แฮ็กเกอร์ที่กำหนดจะใช้แอพ Android ที่ถูกต้องตามกฎหมายวิศวกรรมย้อนรอยใส่โค้ดที่เป็นอันตรายบรรจุหีบห่อแอพใหม่และติดมันกลับเข้าไปในร้าน

ในขณะที่ไม่คิดว่าใครบางคนสามารถย้อนกลับสร้างแอป iPhone ได้ แต่ภาษาของการพัฒนาหลักของ iPhone คือ Objective C ทำให้ซับซ้อนกว่าการแยกรหัสไบต์ Java (ขออภัย Dalvik) ที่ทำงานบนแพลตฟอร์มของ Google ออก

Kassner : ไม่มีเหตุผลที่จะเชื่อในประเด็นนี้ Nachenberg ของไซแมนเทคเห็นด้วยกับบิล iOS กำลังทำงานได้ดีขึ้นเมื่อพูดถึงแอพพลิเคชั่น

Pillar Four: การเข้ารหัส

ฟรานซิส : ฉันเคยมีโอกาสได้ทำงานในโครงการมือถือหลายแพลตฟอร์มที่มีข้อกำหนดความเป็นส่วนตัวที่สำคัญและในที่สุดก็จำเป็นต้องมีการตรวจสอบรหัสโดยคณะวิศวกรอิสระด้านความปลอดภัย

สิ่งที่ฉันค้นพบในช่วงต้นของการพัฒนาของฉันคือในขณะที่การตั้งค่าผู้ใช้ iOS ถูกเก็บไว้ในกลไกการเข้ารหัสโดยค่าเริ่มต้นแพลตฟอร์ม Android ปล่อยการเข้ารหัสของข้อมูลนั้นขึ้นอยู่กับแอปพลิเคชันแต่ละรายการ

ไม่ได้หมายความว่าข้อมูลสำคัญบนอุปกรณ์ Android ไม่สามารถเข้ารหัสได้หรือเทคนิคการเข้ารหัสที่ใช้นั้นมีความปลอดภัยน้อยกว่าใน iOS ในหลายกรณีภาระการเข้ารหัสเปลี่ยนจากระบบปฏิบัติการเป็นแอปพลิเคชัน นี่อาจเป็นได้ทั้งดีและไม่ดี

เมื่อนักพัฒนาแอปพลิเคชันบนแพลตฟอร์ม Android ใช้ความขยันเนื่องจากข้อมูลของคุณไม่เพียง แต่ปลอดภัยเหมือนใน iPhone แต่ในบางวิธีปลอดภัยกว่าเพราะแฮกเกอร์จะต้องทำลายอัลกอริทึมการรักษาความปลอดภัยของแต่ละแอปพลิเคชัน

อย่างไรก็ตามคุณในฐานะผู้ใช้ไม่มีการรับประกันว่าแอปพลิเคชันที่คุณดาวน์โหลดใช้กลไกการเข้ารหัสใด ๆ เลย กรณีหลังนี้นำเสนอปัญหาที่น่าเป็นห่วงอย่างยิ่งในอุปกรณ์ Android เนื่องจากส่วนใหญ่มีการ์ด SD ที่สามารถถอดออกจากโทรศัพท์และทำการตรวจสอบในภายหลังจากคอมพิวเตอร์เดสก์ท็อปที่มีพอร์ต USB

Kassner : เกี่ยวกับการเข้ารหัส Bill จะไม่ได้รับการโต้แย้งใด ๆ จาก Nachenberg ที่กล่าวว่าฉันต้องการชี้ให้เห็นสิ่งที่ฉันเรียนรู้เกี่ยวกับแต่ละแพลตฟอร์ม

อันดับแรก iOS ใช้การเข้ารหัส แต่มี gotcha (คำอธิบายที่ดี) แอพจำนวนมากทำงานในพื้นหลัง (แม้ว่าผู้ใช้จะไม่ได้ลงชื่อเข้าใช้) และจำเป็นต้องเข้าถึงข้อมูลที่เก็บไว้ เพื่อให้ใช้งานได้ iOS ต้องการสำเนาของคีย์ถอดรหัสภายในเครื่อง ซึ่งหมายความว่าหากผู้โจมตีมีการเข้าถึงที่ไม่สมบูรณ์ของคุกข้อมูลส่วนใหญ่ที่จัดเก็บสามารถอ่านได้โดยไม่ต้องใช้รหัสผ่านหลักของอุปกรณ์

ตามที่กล่าวถึง Bill Android ทุกรุ่น - นอกเหนือจาก Android 3.0 - ไม่เข้ารหัสข้อมูลใด ๆ นั่นหมายความว่าทุกคนที่ได้รับการแหกคุกหรือได้รับสิทธิ์การเข้าถึงระดับผู้ดูแลระบบสามารถเข้าถึงข้อมูลทั้งหมดที่เก็บไว้ในอุปกรณ์ได้

เสาห้า: แยก

ฟรานซิส : โดยส่วนตัวแล้วผมเชื่อว่ารูปแบบการแยกแบบแซนด์บ็อกซ์ของ Apple และ Google ได้พิสูจน์แล้วว่าตัวเองแข็งแกร่ง ในใจของฉันกลไกการทำงานของ Android OS นั้นซับซ้อนกว่าเล็กน้อย แต่นี่เป็นการเพิ่มความยืดหยุ่นและอาจจำเป็น ซึ่งแตกต่างจาก iOS, Android จัดการกับแอพมัลติทาสกิ้งที่แท้จริง

ในฐานะนักพัฒนาซอฟต์แวร์ฉันเห็นข้อดีเพิ่มเติมของตัวแยกสัญญาณรุ่นที่ผู้ใช้ทำไม่ได้ ค่อนข้างง่ายความท้าทายที่รุ่นเหล่านี้มีให้ในระหว่างขั้นตอนทางวิศวกรรมของการพัฒนาแอพช่วยให้เราคิดว่านักพัฒนามือถือในแง่ของการรักษาความปลอดภัยที่แน่นหนาควบคู่ไปกับประตูในขณะที่บนแพลตฟอร์มแบบดั้งเดิมเช่นเดสก์ท็อป

Kassner : Nachenberg และ Bill ยังอยู่ในหน้าเดียวกันอีกครั้ง ความจริงที่ว่าทั้งสองแยกแอพแต่ละตัวป้องกันผู้โจมตีจากการทำให้แอพอื่น ๆ หรือระบบปฏิบัติการเสียหาย

มันลงมาที่

ฉันอีกแล้ว. ฉันประทับใจกับ iOS และ Android แต่ฉันยังไม่พร้อมสำหรับลิงค์อ่อนแอทั่วไป ทั้งคู่ยอมจำนนต่อคำว่า "สี่ตัวอักษร": ช่องโหว่ คุณเชื่อหรือไม่ มันยังคงเป็นวิธีที่ไม่ดีของผู้ชาย

Nachenberg กล่าวถึงเวลาที่เผยแพร่ iOS มีช่องโหว่เพียงเล็กน้อยเท่านั้น และส่วนใหญ่จะใช้สำหรับการทำลายคุก ไม่มีความรู้เกี่ยวกับการใช้ประโยชน์จากมัลแวร์

Android มีช่องโหว่ที่รุนแรงเพียงเล็กน้อยเช่นกัน แต่สิ่งหนึ่งที่ Nachenberg กังวล อนุญาตให้แอปของบุคคลที่สามที่เป็นอันตรายได้รับการควบคุมระดับผู้ดูแลระบบของอุปกรณ์ และมัลแวร์ใช้ประโยชน์จากช่องโหว่ที่อยู่ในป่า ชื่อที่เหมาะสม Android.Rootcager

Android.Rootcager แนะนำเหน็บแนมและทำสิ่งที่ยากสำหรับ Google Nachenberg อธิบาย:

"ยิ่งน่าสนใจ (และแย้ง) เครื่องมือแก้ไขของ Google สำหรับ AndroidRootcager ยังต้องใช้ช่องโหว่เดียวกันเพื่อหลีกเลี่ยงระบบแยกของ Android เพื่อลบส่วนของภัยคุกคามออกจากอุปกรณ์"

ความคิดสุดท้าย

ที่นั่นคุณมี: น้ำหนักสองน้ำหนักสำหรับแต่ละคนที่สมัครรับปรัชญาการรักษาความปลอดภัยที่แตกต่างกัน เป้าหมายของฉันคือการชี้ให้เห็นความแตกต่างเหล่านั้น มันขึ้นอยู่กับคุณแล้ว

ฉันอยากจะพูดถึงว่ากระดาษของไซแมนเทคคุ้มค่ากับเวลาในการอ่าน โดยเฉพาะอย่างยิ่งเมื่อมันสะท้อนความเห็นของคนที่ฉันไว้วางใจ ขอบคุณสำหรับความช่วยเหลือ Bill

© Copyright 2020 | mobilegn.com