Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.05.2020

Cloud Native Universe

Jako patron medialny zapraszamy programistów wdrażających lub integrujących się z dowolną...
26.03.2020

Koniec certyfikatów...

MCSA, MCSD i MCSA
26.03.2020

Odświeżony OS

FortiOS 6.4
26.03.2020

Bezpieczeństwo w chmurze

Cisco SecureX
26.03.2020

Modernizacja IT

Nowości w VMware Tanzu
26.03.2020

Krytyczne zagrożenie dla...

Nowa groźna podatność
26.03.2020

Laptopy dla wymagających

Nowe ThinkPady T, X i L
26.03.2020

Serwerowe ARM-y

Ampere Altra
26.03.2020

Energooszczędny monitor

Philips 243B1

Android vs IOS – bezpieczeństwo

Data publikacji: 23-01-2020 Autor: Grzegorz Kubera
Ekran konfiguracji połączeń...

Mogłoby się wydawać, że iOS jako system zamknięty jest bezpieczniejszy niż konkurencyjny Android. Z drugiej strony specjaliści ds. bezpieczeństwa mogą uczynić Androida równie albo nawet bardziej bezpiecznym – wszystko sprowadza się do tego, czy dysponują odpowiednimi umiejętnościami w zakresie konfiguracji i wiedzą o rozsądnym doborze instalowanych aplikacji.

 

Większość aplikacji instalowanych na smartfonach wymaga dostępu do określonych informacji o użytkowniku, a niektóre chcą znać lokalizację czy nawet korzystać z kamery lub mikrofonu. W kontekście porównywania mechanizmów bezpieczeństwa w iOS-ie i Androidzie warto się zastanowić, czy pomiędzy oboma systemami zachodzi jakaś różnica, jeśli chodzi o rodzaj i zakres zbieranych danych. Specjaliści z firmy Symantec przeanalizowali ten aspekt i okazało się, że niektóre aplikacje w wersji na Androida żądają przyznania większej liczby uprawnień niż odpowiedniki na iOS-ie. Częsta jest na przykład sytuacja, kiedy na Androidzie program ubiega się o dostęp do skrzynki SMS-owej, ale wersja przeznaczona na urządzenia mobilne Apple już nie. To sprawia, że można się zacząć zastanawiać i kwestionować działania twórców aplikacji: dlaczego aplikacja oferująca niezmienioną funkcjonalność może na gruncie jednego systemu działać z powodzeniem z ograniczonymi dostępami, a na innym mieć znacznie większy apetyt na dostępy do API? 
Eksperci z Symantec zauważają także, że aż 89% przetestowanych aplikacji na Androida (dane z początku 2019 r.) wymaga „ryzykownych uprawnień”. Tym mianem określone zostały w raporcie uprawnienia, po uzyskaniu których aplikacje mogą zbierać o użytkowniku szczególnie wrażliwe dane, co może naruszać jego prywatność. W przypadku iOS-a odsetek aplikacji żądających tego typu dostępów wyniósł „tylko” 39%. Ponadto 45% aplikacji na Androida wymaga dostępu do API umożliwiającego geograficzną lokalizację urządzenia. W przypadku iOS-a jest to 25%. Wnioski nasuwają się same – warto zawsze uważnie analizować zakres przyznawanych instalowanym aplikacjom uprawnień. Jeśli któreś z nich wydaje się niezwiązane z zastosowaniem konkretnego programu, to lepiej poszukać alternatywy. Dotyczy to zarówno Androida, jak i iOS-a. 
 
Przejdźmy do kwestii bezpieczeństwa oficjalnych sklepów z aplikacjami. W tym przypadku także androidowe Google Play wydaje się bardziej zagrożone i podatne na ataki. Głównym powodem jest mniej restrykcyjny niż w przypadku iOS-a regulamin sklepu. Skutkuje to publikowaniem w nim znacznie większej liczby aplikacji, których ogromną bazę znacznie trudniej moderować. Z jednej strony daje to olbrzymi wybór użytkownikom, ale z drugiej zwiększa ryzyko, że natrafią oni na złośliwe oprogramowanie. Choć Google wprowadził w ostatnich latach wiele poprawek i znacznie poprawił bezpieczeństwo sklepu, to nadal nie sposób określić mechanizmów chroniących Google Play jako wystarczająco skutecznych. Jednym z głośnych przykładów porażek Google na tym polu był malware Loapi. Jego twórcy połączyli różne techniki ataków, zastosowali m.in. oprogramowanie, które zarejestrowało użytkownika w płatnej usłudze, wyświetlało reklamy, wysyłało wiadomości na dowolny numer telefonu czy też wykonywało inne działania w internecie w imieniu ofiary. Loapi najczęściej było dystrybuowane za pośrednictwem aplikacji dla dorosłych lub fałszywych antywirusów. 
 
> OCHRONA PRZED ATAKAMI I AKTUALIZACJE 
 
Na wielu niezależnych forach i blogach można napotkać argument, że iOS jest systemem bezpieczniejszym, gdyż jest zamknięty i atakujący nie mają dostępu do jego kodu źródłowego. Takie opinie mają swoje uzasadnienie. Kod źródłowy iOS nie jest dostępny dla twórców aplikacji, również sam posiadacz iPhone’a czy iPada nie ma możliwości samodzielnej modyfikacji systemu operacyjnego czy zastąpienia go innym. Hakerzy zamiast czerpać informacje z samego kodu źródłowego, muszą zatem bazować między innymi na inżynierii wstecznej i innych metodach poszukiwania luk.
 
Android – przynajmniej częściowo, w ramach Android Open Source Project – to otwarte oprogramowanie, co może ułatwić atakującym pozyskiwanie informacji o podatnościach. Poza tym producenci telefonów – choć zazwyczaj utrudniają to umowy licencyjne z Google – również mogą modyfikować kod i przez to nieumyślnie rozszczelniać system. Problem stanowią tu przede wszystkim mało popularni producenci smartfonów z najniższej półki, którzy nie współpracują z Google. Jeśli producencki firmware zawiera podatności, to kwestią czasu jest, aż hakerzy znajdą sposób jej eksploatacji. Wszystko to sprawia, że urządzenia z Androidem są szczególnie atrakcyjne dla hakerów, przede wszystkim za sprawą dużej popularności tego systemu. 
 
Z drugiej strony kod Androida jest na bieżąco audytowany, a szukaniem luk zajmują się również wyspecjalizowane organizacje i eksperci, ponieważ Google zapewnia odpowiednią motywację w postaci programów bug bounty – najwyższa nagroda pieniężna za znalezienie luki w systemie może sięgnąć ponad milion dolarów. Apple również stosuje podobne programy, zachęcając do szukania luk i błędów zarówno w oprogramowaniu mobilnym, jak i desktopowym. 
 
To, że iOS nie jest systemem otwartym, nie oznacza, że nie może być zaatakowany. Cyberprzestępcy znają wiele metod infekowania urządzeń, na przykład za pośrednictwem aplikacji firm trzecich. Możliwe są niezwykle groźne przejęcia łańcucha dostaw, powszechnie wykorzystywany jest też phishing oparty na zaawansowanej inżynierii społecznej, czyli scenariusz, w którym napastnik podszywa się pod osobę cieszącą się względnym zaufaniem ofiary (np. pracownika banku) i prosi, aby przekazać mu wrażliwe dane, także dane logowania do usług. W takich przypadkach nie ma znaczenia, czy korzystamy z iOS, czy Androida – najskuteczniejszą ochroną przed phishingiem pozostaje zdrowy rozsądek i krytyczne podejście do treści otrzymywanych wiadomości, zarówno mailowych, jak i SMS-ów. 
 
[...]
 
Założyciel firmy doradczo-technologicznej; pełnił funkcję redaktora naczelnego w magazynach i serwisach informacyjnych z branży ICT. Dziennikarz z ponad 13-letnim doświadczeniem i autor książek nt. start-upów i przedsiębiorczości.
 

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"