Huis Securitywatch Securitywatch: Android versus iOS, wat is veiliger? | max eddy

Securitywatch: Android versus iOS, wat is veiliger? | max eddy

Inhoudsopgave:

Video: iOS vs Android 2020! (December 2024)

Video: iOS vs Android 2020! (December 2024)
Anonim

Het is een verhaal zo oud als de tijd: het schrijven van een polemisch stuk over twee concurrerende merken om de fanboys voor elkaar tegen elkaar te zetten in de commentaren. Dans, mijn poppen. Je woede-uitzending levert alleen de unieke opvattingen op en betaalt mijn salaris. Maar als ik het menselijke wrak onderzoek, brandewijn snifter in de hand, denk ik: is de iPhone echt veiliger dan Android? Is de "goed genoeg" aanpak van Android echt goed genoeg? Wat als, ondanks successen, beide platforms op belangrijke manieren falen?

Beveiliging op de Apple Way

Apple wordt meestal aangeprezen als de duidelijke winnaar op het gebied van mobiele beveiliging. Eerlijk gezegd is het moeilijk om met die beoordeling op het eerste gezicht te argumenteren. De ongekende controle van Apple over de iPhone- en iOS-ervaring heeft ertoe geleid dat de meeste mensen software-updates en beveiligingsoplossingen ontvangen en installeren. Dat is van cruciaal belang en het is een belangrijke onderscheidende factor van Android.

Apple is erin geslaagd om de hardwareketen van de hardware strak in de hand te houden en heeft via het controleproces van de App Store controle gehouden over apps van onafhankelijke ontwikkelaars. Het is ook een controversieel proces, waarbij apps om schijnbaar willekeurige redenen worden afgewezen, maar één die de App Store grotendeels malware-vrij heeft gehouden.

Als het op beveiliging aankomt, lijkt Apple een "alles wat nodig is" -benadering te gebruiken. Een goed voorbeeld is het platform Berichten (voorheen iMessage). Dit lijkt misschien net als tekstberichten gedeeld tussen telefoons en computers, maar een Black Hat-presentatie van een paar jaar geleden maakte duidelijk dat dat niet het geval was. Apple heeft het platform vanaf het begin ontworpen om end-to-end gecodeerd en zo sabotagebestendig mogelijk te zijn. Servers voor berichten hebben bijvoorbeeld hardwaresleutels nodig om op te zetten. Zodra de servers operationeel zijn, worden die sleutels vernietigd, waardoor niemand - zelfs Apple - gebruikers kan bespioneren of met het systeem kan knoeien. Het is enorm complex, maar het werkt.

Beveiliging op Android Way

Google heeft lange tijd het argument aangevoerd dat het veilig genoeg was . Nee, het heeft niet elke kwaadwillende app geregistreerd die is geüpload naar Google Play. Ja, er zijn verschillende grote kwetsbaarheden in het besturingssysteem ontdekt door onderzoekers. Ja, de openheid van Android en een geïnstalleerde basis die is opgedeeld in verschillende versies van het Android-besturingssysteem heeft klanten in gevaar gebracht. Maar vertegenwoordigers van Google wijzen erop dat van de ongeveer een miljard gebruikers slechts een kleine fractie - zoiets als één procent - ooit daadwerkelijk iets kwaadaardigs tegenkomt. Dat gezegd hebbende, zelfs slechts één procent van een miljard is veel . Zoals, 10 miljoen veel.

In zijn eer heeft Google zijn melodie veranderd. Updates voor het Android-besturingssysteem hebben grotere beperkingen opgelegd aan de informatie die apps kunnen verzamelen. Het bedrijf heeft zijn alles-of-niets-machtigingsmodel gedumpt ten gunste van een benadering met een Apple-smaak, waarbij gebruikers kunnen overeenkomen om een ​​app toegang te geven tot hun camera maar niet tot hun contactenlijst. Google is ook overgestapt op een veel snellere cadans voor zijn beveiligingsupdates, waardoor meer fixes naar meer apparaten zijn doorgevoerd.

De grootste verandering van Google is eigenlijk heel subtiel geweest. Google heeft zijn beveiligingsinspanningen diep binnen Android verplaatst naar Google Play Services, die Google kan bijwerken ongeacht welke versie van de gebruikers van het besturingssysteem worden uitgevoerd. Dat maakt programma's mogelijk zoals Safety Net, waarmee Google malware op apparaten kan zoeken, zelfs malware die van buiten de Google Play Store werd ge-sideload.

Van daaruit heeft Google niet alleen de beveiligingsfuncties van Android uitgebreid, maar ook gewerkt om van Android-apparaten beveiligingsapparaten te maken. Google heeft onlangs aangekondigd dat Android-apparaten kunnen worden gebruikt als FIDO2 tweefactorauthenticatieapparatuur, waardoor elke Android-eigenaar een van de beste en meest flexibele 2FA-opties krijgt. Als je FIDO2 eerder wilde gebruiken, zou je $ 20- $ 50 moeten uitgeven voor een hardwaresleutel van bijvoorbeeld Yubico of Google.

Wat ze allemaal verkeerd doen

Hoewel het werkelijke aantal malware-infecties laag is, is dat één procent van de Android-gebruikers die iets kwaads hebben ondervonden, nooit gelijkmatig over alle Android-gebruikers verdeeld. Volgens de statistieken van 2015 was het voornamelijk onder mensen die goedkope apparaten gebruikten, vaak in ontwikkelingslanden. Dit is echt vast blijven zitten sinds de dag dat ik het hoorde. Het risico van deze apparaten werd onevenredig uitgebreid tot degenen met de minste middelen om een ​​zwendel of aanval te doorstaan.

Ondanks pogingen van Google om Android en Android-apps op te schonen, vereist het model een behoorlijke hoeveelheid buy-in voor ontwikkelaars. Google moet ontwikkelaars overtuigen om dingen anders te doen en de nieuwe, veiligere tools gebruiken die het bedrijf biedt. Google heeft enkele sticks en wortels geïntroduceerd om ontwikkelaars aan boord te krijgen, maar met gemengd succes. Dit wordt verder verergerd door de gebroken aard van Android, met drie verschillende versies die elk meer dan 20 procent van de geïnstalleerde basis hebben, en zelfs kleinere splinters van andere versies. Dat betekent dat er een groot publiek is dat nog steeds niet de nieuwste OS-verbeteringen ontvangt en dat ontwikkelaars hen kunnen blijven richten met apps.

De strategie van Apple is ook niet zonder gevolgen gebleven die gebruikers hebben gekwetst. De incrementele benadering van beveiligingsverbeteringen betekent dat het waarschijnlijk een tijdje zal duren voordat een iPhone kan worden gebruikt als een 2FA FIDO2-authenticator, als het al gebeurt. Ik kan mijn bestaande YubiKey 5 NFC zelfs niet gebruiken met een iPhone, omdat deze nog geen FIDO2 ondersteunt via NFC.

Apple is ook traag geweest met de integratie van wachtwoordbeheer, waardoor het moeilijker is wat mensen kunnen doen om hun informatie veilig te houden.

De grootste beveiligingszonde van Apple is echter dat de strategie 'wat er ook voor nodig is' een hoge handsetprijs kost. De meest betaalbare telefoon die nog verkrijgbaar is bij Apple is de iPhone 7, die $ 449 kost, hoewel inruilkortingen kunnen worden toegepast, evenals een betalingsplan van $ 18, 99 per maand. Nieuwe Android-telefoons van goede kwaliteit zijn daarentegen al te koop voor slechts $ 220. De hoge prijs van een Apple-apparaat geeft een vrij duidelijke boodschap: als je niet rijk genoeg bent, krijg je geen Apple-beveiliging. Als iOS buiten het prijsbereik van veel consumenten valt, beschermt Apple hen niet.

Niets hiervan gaat zelfs in op het feit dat spam, phishing en fraude de grootste bedreigingen zijn voor zowel iOS- als Android-gebruikers. Deze kunnen de vorm aannemen van malvertising, sms-berichten en phishing-e-mails. Beide platforms hebben stappen ondernomen om de uitdaging aan te gaan, maar we moeten niet vergeten dat hoewel spam en phishing niet zo sexy zijn als door de overheid vervaardigde malware, het de echte bedreiging voor de consument vormt.

Zowel Android als iOS kunnen beter

Ik vind het niet alleen lastig om te schrijven dat het ene platform beter is dan het andere, ik denk echt dat er een enorme kloof bestaat tussen hoe Apple en Google omgaan met mobiele beveiliging. De bedrijven hebben verschillende doelen en bedrijfsmodellen en hebben met deze lenzen beveiligingsproblemen aangepakt.

  • Met Android P stopt Google met het inhalen van beveiliging Met Android P stopt Google met het inhalen van beveiliging
  • Apple iOS 12 Apple iOS 12
  • Google Android Pie (9.0) Google Android Pie (9.0)

De vuile waarheid is dat zowel Apple als Google slagen in beveiliging - als je het bekijkt door de lens van hun respectieve bedrijfsmodellen. Google moet een enorme, ongemakkelijke alliantie van hardware- en softwareontwikkelaars onderhouden om het populairste besturingssysteem ter wereld te kunnen blijven gebruiken. Het kan een paar dingen verkeerd doen, op voorwaarde dat al die relaties sterk blijven.

Apple daarentegen weet dat zijn reputatie alles is. Omdat mensen zich veilig voelen op iPhones, voelen ze zich veilig om geld uit te geven aan iPhones en (steeds belangrijker) met iPhones. Het bedrijf beweegt heel langzaam en opzettelijk, zodat het de eerste keer goed kan komen, waardoor ze soms langzaam nieuwe technologieën kunnen gebruiken.

Laten we, in plaats van een winnaar te kiezen, deze beide technische reuzen verantwoordelijk houden voor hun tekortkomingen. Uiteindelijk is de kans groot dat je een apparaat hebt waarop al je persoonlijke informatie van een van deze twee bedrijven staat, dus geen van beide kan het zich veroorloven tevreden te zijn met prestaties uit het verleden of recente verbeteringen.

Securitywatch: Android versus iOS, wat is veiliger? | max eddy