Android vs iOS: kumb on turvalisem?

Turbeekspert Max Eddy uurib Androidi ja iPhone'i turvalisuse seisu. Kas teie valitud mobiilne OS on kõige turvalisem? Või on see vale küsimus?

Autor: Max Eddy

See on nii vana lugu kui lugu: kahe konkureeriva kaubamärgi kohta poleemilise tüki kirjutamine, et kommentaarides fännipoisid üksteise vastu lõhestada. Tantsi, mu nukud. Teie raevu postitamine lihtsalt kogub ainulaadsed vaated ja maksab mulle palka. Kuid uurides käes olevate inimeste rususid, brändi nuusutajat, leian, et kas iPhone on tõesti turvalisem kui Android? Kas Androidi lähenemisviis turvalisusele on piisavalt hea? Mis siis saab, kui vaatamata õnnestumistele ebaõnnestuvad mõlemad platvormid olulisel viisil?

Turvalisus Apple Way

Tavaliselt peetakse Apple'i mobiiliturvalisuse osas selgeks võitjaks. Ausalt öeldes on raske sellele hinnangule vastu vaielda. Apple'i enneolematu juhtimine iPhone'i ja iOS-i kogemuste üle on tähendanud, et enamik inimesi võtab vastu ja installib tarkvarauuendusi ja turvaparandusi. See on kriitiline ja eristab oluliselt Androidi.

Apple on suutnud hoida riistvara tarneahelas tihedat kontrolli ja hoidis App Store'i kontrolliprotsessi kaudu kontrolli sõltumatute arendajate rakenduste üle. See on ka vaieldav protsess, kus rakendused lükatakse tagasi näiliselt meelevaldsetel põhjustel, kuid see on App Store-i suures osas pahavara vabaks hoidnud.

Turvalisuse osas näib Apple olevat lähenemisviisi „mida iganes ta võtab“. Suurepärane näide on selle platvorm Sõnumid (endine iMessage). See võib tunduda lihtsalt telefonide ja arvutite vahel jagatud tekstisõnumina, kuid mõne aasta tagune Black Hat esitlus tegi selgeks, et see pole nii. Apple kavandas platvormi maapinnast lõpuni krüpteeritud ja võltsimiskindlaks kui võimalik. Näiteks sõnumiserverid vajavad üles kerimiseks riistvaravõtmeid. Kui serverid on töövalmis, hävitatakse need võtmed, mis hoiab ära kõigi - isegi Apple'i - kasutajate luuramise või süsteemi manipuleerimise. See on tohutult keeruline, kuid töötab.

Turvalisus Android Way

Pikka aega esitas Google argumendi, et see on piisavalt turvaline. Ei, see ei tuvastanud ühtegi Google Playst üles laaditud pahatahtlikku rakendust. Jah, teadlaste avastatud operatsioonisüsteemis on olnud mitu suurt haavatavust. Jah, Androidi avatus ja mitmeks erinevaks Android OS-i versiooniks purustatud installitud alus on seadnud kliendid ohtu. Kuid Google'i esindajad juhivad tähelepanu sellele, et umbes miljardist kasutajast kohtab kunagi midagi pahatahtlikku vaid väike osa - näiteks üks protsent -. See tähendab, et isegi vaid üks protsent miljardist on palju. Nagu 10 miljonit palju.

Oma krediidiks on Google muutnud oma häält. Androidi opsüsteemi värskendused on seadnud suuremad piirangud sellele, mida teaberakendused saavad koguda. Ettevõte on õunamaitselise lähenemisviisi kasuks kasutanud kõik-või-mitte-lubade mudeli, mille kohaselt saavad kasutajad kokku leppida rakenduse juurdepääsu oma kaamerale, kuid mitte oma kontaktide loendisse. Samuti on Google oma turbevärskenduste jaoks liikunud palju kiirema kiirusega, sundides rohkem parandusi tegema rohkematele seadmetele.

Suurim Google'i muudatus on tegelikult olnud üsna peen. Google on oma turvaalased jõupingutused viinud sügavale Androidi rakendusse Google Play teenused, mida Google saab värskendada olenemata sellest, millist opsüsteemi kasutajaid töötab. See võimaldab selliseid programme nagu Safety Net, mis laseb Google'il vaadata seadmetes pahavara, isegi väljaspool Google Play poodi alla laaditud pahavara.

Sealt edasi pole Google mitte ainult laiendanud Androidi turvafunktsioone, vaid töötanud ka selle nimel, et Androidi seadmed muutuks turvaseadmeteks. Google teatas hiljuti, et Androidi seadmeid saab kasutada FIDO2 kahefaktoriliste autentimisseadmetena, pakkudes igale Androidi omanikule ühte parimat ja paindlikku 2FA-suvandit. Kui soovite enne FIDO2-d kasutada, peate kulutama Yubico või Google'i sarnaste riistvaravõtmete jaoks 20–50 dollarit.

Mis neil kõigil viga on

Ehkki tegelik pahavaranakkuste arv on madal, ei jagunud üks protsent Androidi kasutajatest, kes esinesid midagi pahatahtlikku, kõigi Androidi kasutajate vahel ühtlaselt. 2015. aasta statistika kohaselt oli see peamiselt odavaid seadmeid kasutavate inimeste seas, sageli arengumaades. Sellest ajast peale, kui ma seda kuulsin, on see minu löömisse tõesti takerdunud. Nende seadmete oht lükati ebaproportsionaalselt üle neile, kellel on kelmuse või rünnaku vältimiseks kõige vähem vahendeid.

Hoolimata Google'i survest Androidi ja Android Appsi puhastamiseks, nõuab mudel üsna palju arendaja sisseostmist. Google peab veenma arendajaid tegema asju teisiti ja kasutama ettevõtte pakutavaid uusi, turvalisemaid tööriistu. Google on arendajate pardale toomiseks sisse viinud mõned pulgad ja porgandid, kuid erineva eduga. Seda täiendab veelgi Androidi purunenud olemus: kolmel erineval versioonil on üle 20 protsendi installitud baasist ja teiste versioonide veelgi õhematel kildudel. See tähendab, et on olemas suur hulk vaatajaskonda, kes ei saa ikka veel OS-i uusimaid täiustusi, ja arendajad saavad neid jätkuvalt rakendustega sihtida.

Samuti pole Apple'i strateegia olnud ilma tagajärgedeta, mis on kasutajatele haiget teinud. Selle järkjärguline lähenemisviis turvalisuse täiustamisele tähendab, et tõenäoliselt juhtub mõni aeg, kui iPhone'i saab kasutada 2FA FIDO2 autentimisena, kui see üldse juhtub. Ma ei saa isegi oma olemasolevat YubiKey 5 NFC-d iPhone'iga kasutada, kuna see ei toeta veel FIDO2 NFC-ga.

Samuti on Apple aeglaselt kasutusele võtnud paroolide halduri integreerimise, muutes oma teabe turvaliseks hoidmise parimaks, mida inimesed saavad teha.

Apple'i suurim turvatõbi on aga see, et selle strateegia, mida iganes ta võtab, on kõrge mobiiltelefoni hinnaga. Kõige taskukohasem telefon, mida Apple endiselt pakub, on iPhone 7, mis maksab 449 dollarit, ehkki võib kohaldada kaubandussoodustusi, nagu ka makseplaan 18,99 dollarit kuus. Uute, kvaliteetsete Androidi-telefonidega saab seevastu osta vaid 220 dollarit. Apple'i seadme kõrge hind saadab üsna selge sõnumi: kui te pole piisavalt rikas, pole teil vaja Apple'i turvalisust. Kui iOS jääb paljude tarbijate hinnaklassist välja, ei kaitse Apple neid.

Ükski neist ei käsitle isegi seda, et nii iOS-i kui ka Androidi kasutajatele on suurimad ohud rämpspost, andmepüük ja pettused. Need võivad esineda väärkujunduste, SMS-pettuste ja andmepüügimeilide kujul. Mõlemad platvormid on astunud samme selle probleemiga tegelemiseks, kuid peame meeles pidama, et kuigi rämpspost ja andmepüük pole nii seksikad kui valitsuse loodud pahavara, on see tarbijatele tõeline oht.

Nii Android kui iOS saavad paremini hakkama

Lisaks sellele, et ma ütlen, et üks platvorm on parem kui teine, on õudne kirjutada, arvan, et Apple'i ja Google'i mobiiliturvalisuse lähenemise vahel on tohutu lõhe. Ettevõttel on erinevad eesmärgid ja ärimudelid ning nad on nende objektiivide kaudu lahendanud turbeprobleeme.

Räpane tõde on see, et nii Apple kui ka Google on edu saavutamas turvalisuse nimel - kui vaatate seda nende vastavate ärimudelite objektiivi kaudu. Google peab planeedi populaarseima OS-i käitamiseks jätkama massiivset ja rahutut riist- ja tarkvaraarendajate liitu. Mõni asi võib valesti minna, kui kõik need suhted püsivad tugevad.

Apple seevastu teab, et tema maine on kõik. Kuna inimesed tunnevad end iPhone'ides turvaliselt, tunnevad nad end turvaliselt, et nad saavad nii iPhone'ides kui ka iPhone'ides (üha tähtsamaks) raha kulutada. Ettevõte liigub väga aeglaselt ja sihilikult, nii et saab sellest esimest korda aru, mis mõnikord muudab nad uute tehnoloogiate kasutuselevõtu aeglaseks.

Võitja valimise asemel pidagem mõlemat neist tehnikahiiglastest oma puuduste eest vastutavaks. Päeva lõpuks on tõenäoline, et teil on seade, milles on kogu teie isiklik teave ühelt neist kahest ettevõttest, nii et kumbki ei saa endale lubada varasemate saavutuste või hiljutiste parandustega rahule jäämist.

Algselt avaldati see aadressil https://www.pcmag.com 29. aprillil 2019.