Saugumo ekspertas Maxas Eddy nagrinėja „Android“ ir „iPhone“ saugumo būklę. Ar Jūsų mobilusis OS yra saugiausias? Ar tai yra neteisingas klausimas?
Ta istorija sena kaip laikas: rašyti poleminę medžiagą apie du konkuruojančius prekinius ženklus, kad būtų galima prieštarauti gerbėjų komentarams. Džiaukitės… Jūsų pykčio teiginiai yra unikalūs ir didina mano atlyginimą. Tačiau, kai stebiu žmones su taure brendi rankoje, susimąstau, ar tikrai „iPhone“ operacinė sistema yra saugesnė už „Android“? Ar „Android“ yra pakankamai geras saugumo sumetimais? Ką daryti, jei, nepaisant sėkmės, abi sistemos neveikia tobulai?
„Apple Way“ saugumas
Apie „Apple“ paprastai yra kalbama, kaip apie nugalėtoją mobiliojo ryšio saugumo klausimais. Atvirai kalbant, sunku ginčytis su šiuo vertinimu. „Apple“ beprecedentis valdymas „iPhone“ ir „iOS“ atžvilgiu, nulėmė, kad dauguma naudotojų gauna ir įdiegia būtent „Apple“ programinės įrangos atnaujinimus ir saugumo pataisymus. Ir tai yra labai svarbus faktas.
„Apple“ sugebėjo išlaikyti savo įrangos tiekimo grandinės kontrolę, taip pat, „App Store“ patvirtinimo proceso metu, valdyti nepriklausomų kūrėjų programas. Prieštaringas procesas, kai programos yra atmestos dėl savavališkų priežasčių, tačiau „App Store“ palaiko daug kenkėjiškų programų. Kai kalbama apie saugumą, „Apple“ naudoja „bet kokiu būdu“ vadinamą metodą. Puikus pavyzdys yra „Messages“ (anksčiau žinoma kaip „iMessage“) platforma. Tai gali atrodyti kaip tiesiog tekstiniai pranešimai tarp telefonų ir kompiuterių, tačiau prieš keletą metų „Black Hat“ pristatymas aiškiai parodė, kad taip nėra. „Apple“ sukūrė platformą nuo nulio, kad užtikrintų šifravimą ir kuo geriau apsaugotų nuo įsilaužimo. Pavyzdžiui, pranešimų serveriams pagreitinti reikalingi aparatūros raktai. Kai serveriai bus paruošti ir paleisti, šie raktai bus sunaikinti, o tai neleis niekam, net ir „Apple“, šnipinėti naudotojus ar trukdyti sistemai. Nors tai labai sudėtinga, tačiau tai veikia.
„Android Way“ saugumas
Ilgą laiką „Google“ pateikdavo argumentą, kad yra pakankamai saugus. Ne, ne visos kenkėjiškos programos buvo perkeltos į „Google Play“. Taip, tyrėjai nustatė keletą pagrindinių operacinės sistemos pažeidžiamumų. Taip, „Android“ ir įdiegtos bazės, suskaidytos į kelias skirtingas „Android“ OS versijas, kelia pavojų naudotojams. Tačiau „Google“ atstovai teigia, kad iš milijardo naudotojų tik nedidelė dalis – apie 1 proc. – kada nors gal būt susidurs su kažkuo kenkėjišku. Tačiau net vienas procentas nuo milijardo tikrai yra daug.
„Google“ pakeitė savo dainelę. „Android“ operacinės sistemos atnaujinimai labai apribojo informacijos rinkimą programėlių dėka. Bendrovė atsisakė „visa ar nieko“ požiūrio „Apple“ pelno naudai. Naudotojai gali sutikti leisti programai pasiekti savo fotoaparatą, bet ne į adresatų sąrašą. „Google“ taip pat perėjo prie spartesnių saugumo naujinimų, siūlant daugiau pataisymų didesniam įrenginių kiekiui.
Didžiausias „Google“ pokytis, iš tikrųjų, buvo gana subtilus. „Google“ giliai įsitraukė į „Android“, į „Google Play“ paslaugas, kurias „Google“ gali atnaujinti, nepaisant to, kurią operacinės sistemos versiją naudoja naudotojai. Tai leido naudoti tokias programas, kaip apsauginis tinklas, leidžiantis „Google“ stebėti kenkėjiškų programų, net ir tų, kurios buvo atsiųstos iš „Google Play“ parduotuvės, ribų. „Google“ ne tik išplėtė „Android“ saugumo ypatybes, bet ir veikė taip, kad „Android“ įrenginiai būtų apsaugoti. „Google“ neseniai paskelbė, kad „Android“ įrenginiai gali būti naudojami kaip FIDO2 dviejų veiksnių autentiškumo patvirtinimo įrenginiai, kurie kiekvienam „Android“ naudotojui suteiks vieną iš geriausių ir lanksčiausių 2FA galimybių. Jei norėtumėte naudoti FIDO2 anksčiau, turėtumėte išleisti 20 – 50 JAV dolerių už raktą iš „Yubico“ ar „Google“.
Nors tikrasis kenkėjiškų programų užpuolių skaičius yra nedidelis, „Android“ naudotojų procentas, kurie susidūrė su kažkuo kenkėjišku, niekada nebuvo tolygiai paskirstytas visiems „Android“ naudotojams. Remiantis 2015 m. statistiniais duomenimis, tai daugiausia buvo naudotojai, kurie naudojosi nebrangiomis priemonėmis, dažnai tik besivystančiose šalyse. Tai iš tikrųjų įstrigo mano galvoje nuo tos dienos, kai išgirdau. Šių įrenginių rizika buvo neproporcingai padidinta tiems, kurie turėjo mažiausiai priemonių, kad atlaikytų sukčiavimą ar ataką. Nepaisant to, kad „Google“ stengėsi išvalyti „Android“ programas, šis modelis reikalavo didelių kūrėjų dalyvavimo. „Google“ turi įtikinti kūrėjus veikti kitaip ir naudoti naujus, saugesnius kompanijos teikiamus įrankius. „Google“ pristatė keletą variantų, kad sėkmingai pritrauktų kūrėjus. Tai dar labiau pablogino „Android“, turinti tris skirtingas versijas, kurių kiekviena turi daugiau kaip 20 procentų įdiegtos bazės ir net nedidelių kitų versijų fragmentų. Tai reiškia, kad yra didelė auditorija, kuri vis dar negauna naujausių OS patobulinimų, ir kūrėjai gali toliau juos nukreipti į programas. „Apple“ strategija taip pat neliko be pasekmių, kurios kenktų naudotojams. Jos laipsniškas požiūris į saugumo gerinimą reiškė, kad tikriausiai užtruks šiek tiek laiko, kol „iPhone“ gali būti naudojamas kaip „2FA FIDO2“, jei tai apskritai įvyks. Aš net negaliu naudoti savo „YubiKey 5 NFC“ iš „iPhone“, nes jis dar nepalaiko FIDO2 per NFC.
„Apple“ taip pat neskuba integruoti slaptažodžių valdytojo. Nes apsunkins tai, ką žmonės gali padaryti, norėdami užtikrintų savo informacijos saugumą.
Tačiau pagrindinė „Apple“ saugumo problema – tai strategijos „viskas ko jums reikia“ pakankamai aukšta kaina. Pigiausias „Apple“ telefonas yra „iPhone 7“, jo kaina apie 449 JAV dolerių. Gali būti taikomos nuolaidos, arba mokėjimo planas – 18,99 JAV dolerių per mėnesį. Kita vertus, naujus, geros kokybės „Android“ telefonus gali įsigyti maždaug už 220 JAV dolerių. Tai gi, norint naudotis telefonu su gerai apsaugota operacine sistema, reikės pakloti nemažą sumelę.
Svarbu ir tai, kad nė viena iš šių saugos priemonių net nenagrinėja, kad didžiausios grėsmės tiek „iOS“, tiek „Android“ naudotojams yra šlamštas ir sukčiavimas. Tai gali būti kenkėjiškos reklamos, apgaulingos SMS žinutės ir sukčiavimo pranešimų formos. Abi platformos stengiasi išspręsti esamą problemą ir suteikti naudotojams ko geresnę apsaugos sistemą.
Ir „Android“ ir „iOS“ gali atlikti tai dar geriau
Manau, kad „Apple“ ir „Google“ požiūris į mobilųjį saugumą yra labai skirtingas. Jos turi skirtingus tikslus ir verslo modelius, taigi ir sprendimai yra skirtingi.
Tiesa ta, kad ir „Apple“ ir „Google“ saugiai veikia – jei žiūrėti į jų rezultatus per atitinkamų verslo modelių prizmę. „Google“ turi išlaikyti platų techninės ir programinės įrangos kūrėjų aljansą, kad galėtų ir toliau veikti su populiariausia operacine sistema planetoje.
Kita vertus, „Apple“ žino, kad jos reputacija jai yra viskas. Naudotojai jaučiasi saugūs naudodami „iPhone“, todėl pasiruošę drąsiai tam leisti pinigus. Kompanija labai lėtai ir sąmoningai juda, kad padarytų viską teisingai iš pirmo karto. Todėl kartais naujos technologijos diegiamos lėčiau nei norėtųsi.
Kiekviena iš šių kompanijų tiri savo kaip privalumus, taip ir trūkumus. O naudotojams yra labai svarbu jaustis saugiai.