erid 2SDnje4KwUm

Android или iOS: что безопаснее?

Премия Securitymedia
Android или iOS: что безопаснее?
Android или iOS: что безопаснее?
23.12.2022

Оглавление

  1. В чем разница между двумя ОС с точки зрения ИБ
  2. Общие проблемы безопасности
  3. Главная проблема безопасности смартфонов
  4. Как защититься от взлома
  5. Так что надежнее: Android или iOS?

По данным BBC за 2021 год, современный человек пользуется своим смартфоном около пяти часов в день. Фото, переписки, история браузеров, пользовательская активность и платежные данные – современный смартфон буквально знает все о своем владельце.

В связи с этим возникает повышенный интерес к безопасности персональных устройств и защищенности данных, которые на них хранятся. В этом вопросе весь мир разделен на два лагеря: тех, кто за Android, и тех, кто за iOS.

В этой статье будут разобраны основные аспекты, которые влияют на безопасность мобильных операционных систем, какая из них предпочтительнее с точки зрения безопасности, какие существуют угрозы и как защитить телефон от киберпреступников.

В чем разница между двумя ОС с точки зрения ИБ

Разница между двумя системами действительно значительна, не зря существует много шуток и мемов о неудобстве перехода с Android-устройств на iOS. В первую очередь, стоит сказать о фундаментальных отличиях, которые обусловлены экономикой, то есть бизнес-моделью и способами дистрибуции, которые используют компании.

Валерий Степанов

Руководитель направления Центра компетенций по информационной безопасности Т1 Интеграции

Два несомненных факта: Android гораздо популярнее iOS в мире и вероятность обнаружения уязвимостей в исходном коде Android гораздо выше. Следовательно, под угрозой потенциально может находится больше людей. Это происходит из-за того, что главным различием между iOS и Android с точки зрения кибербезопасности является тот факт, что Android – это система с открытым исходным кодом. Устройства Android легче поддаются процедуре рутования: она включает снятие ограничений, установленных производителем устройства, и установку неавторизованных программ.

Таким образом, iOS – это продукт под одну конкретную линейку смартфонов, а Android – это открытая ОС, которую используют множество компаний, таких как Samsung, Huawei, Xiaomi и некоторые другие. Таким образом, целый ряд достоинств и недостатков операционных систем обусловлен самим отношением компаний к своему продукту.

Антон Кузнецов

Ведущий инженер информационной безопасности компании R-Vision

Если говорить о разнице этих операционных систем, то здесь стоит выделить два ключевых отличия: в архитектуре приложений и контроле магазина приложений: AppStore/Google play.

В данном случае Apple занимает более выигрышную позицию: установить можно лишь те приложения, которые доступны в официальном магазине AppStore. При этом все приложения, представленные в AppStore, прежде чем попасть в магазин проходят тщательную проверку на безопасность, и их разработчики подвергаются более строгому контролю.

Что касается архитектуры, то в iOS используется изолированная среда для запуска каждого приложения, это означает, что вредоносный код не сможет покинуть данный контейнер и таким образом нанести вред системе и ее пользователю. Но также существуют и старый код в приложениях, который позволяет установить шпионское ПО Pegasus, например, через iMessage. Здесь важно понимать: что такая атака затратная и за обычными пользователями следить смысла нет, а также у Apple некоторое время назад вышел особый защищенный режим, который препятствует взлому.

В свою очередь, Android – операционная система с открытым исходным кодом. Это означает свободный доступ к исходному коду для любого разработчика ПО, который может изменить и опубликовать свою версию ОС. И, как следствие, в устройствах с Android увеличивается вероятность обнаружения уязвимостей. Согласно отчетам многочисленных исследований в этой области, устройства с Android имеют больше заражений вредоносными программами, чем устройства Apple.

Если подробнее рассмотреть вопрос магазинов приложений, то преимущества Apple в ближайшие годы могут быть нивелированы новым законодательством ЕС, которое обяжет производителей ОС разрешать установку приложений из сторонних магазинов. Судя по всему, произойдет это уже в 2023 году.

Монополия на магазины приложений стала серьезной проблемой и для Российских пользователей в этом году, поскольку они не могли скачать, либо обновить приложения компаний, которые попали в списки европейских санкций. Это породило целый ряд курьезных объявлений на разных площадках объявлений. Например, на Авито телефон с установленным приложением Сбербанка пытались продать за 15 миллионов рублей.

Вместе с такими забавными случаями, возрос и спрос рядовых пользователей на услуги людей, которые могут взломать смартфон, то есть «сделать jailbreak». Весомая доля таких предложений на разных сайтах выглядят крайне сомнительно, и для пользователей велик риск вместо желанного приложения (или в комплекте с ним) получить вредоносное ПО.

Важно также не забывать о том, что обновления, в том числе и связанные с безопасностью устройства, выпускаются только для актуальных моделей смартфонов. В случае с iPhone отследить этот фактор достаточно просто, а вот Android-устройства разных производителей лишаются поддержки достаточно быстро и хаотично, поскольку компаний, использующих OS Android, много. 

Дарья Зубрицкая

Директор по маркетингу и коммуникациям цифровой платформы по организации командировок и управлению расходами Ракета

Общей мерой для обеих операционных систем можно назвать контроль обновлений. Пользователь должен следить, насколько актуальны установленная версия операционной системы и приложения. Что касается операционной системы Android, самое главное, что может сделать пользователь, - это запретить установку приложений из непроверенных источников. Пользователь не должен устанавливать приложения, скаченные с различных сайтов и форумов.

Главный недостаток Android-устройств - это то, что производители достаточно недолго поддерживают устройство, обновляют версию операционной системы на новую, а также не выпускают патчи безопасности. Из-за этого устройства на базе Android достаточно быстро становятся уязвимыми и устранять это производители не стремятся.

Таким образом, с точки зрения «стартовых позиций» iOS в данный момент предлагает более высокий уровень защиты, чем Android. С другой стороны, Android предлагает большую вариативность: пользователь может достаточно гибко настроить безопасность собственного устройства, использовать как защитные программы из маркетов, такие как антивирус «Лаборатории Касперского» или использовать множество инструментов из сторонних источников, которые сочтет нужными.

Общие проблемы безопасности

Наиболее очевидна для обеих ОС проблема физической безопасности устройства. Условно говоря, сдавая свой девайс на замену экрана в сервис, расположенный посреди торгового центра, почти никто не думает о том, какие манипуляции проводит с ним специалист. Проконтролировать его без соответствующих знаний достаточно сложно, поэтому лучше пользоваться доверенными сервисами, либо сертифицированными центрами производителя.

Анатолий Пешков

Сооснователь, технический директор Mad Brains

Стоит помнить, что:

  • во-первых, устройства и операционные системы все еще делаются людьми, а они совершают ошибки (или даже осознанно оставляют бэкдоры);
  • во-вторых, устройство не живет в вакууме, поэтому все, что мы на нем делаем, так или иначе оставляет след: от пакетов, летающих в сети интернет, до данных аппаратной части телефона (подключение к вышкам сотовой связи, связь с GPS спутниками, да даже следы от пальцев на экране).
Так что безопасность не будет 100% никогда, с этим придется смириться. Но отказываться от благ цивилизации из-за паранойи не стоит. Нужно здраво оценивать риски и необходимость делиться или скрывать какую-то информацию.

Также важно помнить, что разработчики ОС – это высокоуровневые специалисты, но все же обычные люди. Да, работа людей частично автоматизирована с помощью анализаторов исходного кода и других инструментов, которыми пользуются большинство ведущих производителей. Например, Samsung и Huawei используют анализатор Svace, разработанный российскими специалистами. Однако, никакие средства автоматизации не могут, в данный момент, нивелировать влияние человеческого фактора, поэтому установка очередного обновления всегда сопряжена с определенными рисками.

Антон Малыгин

Senior iOS Engineer в Cogni

И iOS, и Android-устройства имеют некоторые недостатки с точки зрения информационной безопасности. Например:

- Обе операционные системы могут быть использованы хакерами, если пользователь станет жертвой фишинговой атаки или установит вредоносное приложение.

- Обе операционные системы могут собирать пользовательские данные для различных целей, например для персонализации рекламы или улучшения взаимодействия с пользователем. Этот сбор данных может вызвать проблемы с конфиденциальностью, хотя пользователи обычно могут настроить свои параметры конфиденциальности, чтобы ограничить объем собираемых данных.

- Обе операционные системы могут быть уязвимы для физических атак, например, когда кто-то пытается получить доступ к устройству, угадывая пароль или используя физические инструменты для обхода мер безопасности.

И третий аспект, который характерен и для OS, и для Android это «любовь» к легально-легитимному сбору пользовательских данных в формально-обезличенном формате. Легален он потому что не запрещен законом, а легитимным становится в тот момент, когда пользователь принимает n-ое пользовательское соглашение, которое и содержит соглашение на обработку персональных данных.

Рядовые пользователи часто удивляются тому, что стоит поговорить рядом со спокойно лежащим рядом смартфоном (даже выключенным) о какой-то планируемой покупке – и при заходе в поисковик он тут предложит путевку заграницу, дачный участок или маркетплейс по продаже бытовой техники. Важно понимать, что даже отключение устройства не гарантирует того, что оно вас « не слышит». Частично эту проблему может решить извлечение аккумулятора, но оно возможно далеко не со всеми моделями. Второй вариант – приобрести папку или чехол-блокиратор, в которые можно поместить устройство на время важных переговоров, но велик риск наткнуться на подделку, которая не соответствует заявленным характеристикам и не выполняет своих функций.

Главная проблема безопасности смартфонов

Если проанализировать поисковые запросы, связанные с безопасностью мобильных ОС и смартфонов, можно столкнуться с такими, как:

  • можно ли взломать телефон через звонок;
  • взлом через СМС.

Это, с одной стороны, говорит о растущем внимании пользователей к безопасности своих устройств. С другой – о низком уровне понимания того, какие «точки входа» могут использовать злоумышленники и как обезопасить свой телефон.

Максим Аферов

Ведущий эксперт по мобильной разработке, «Аурига»

К сожалению, уязвимости есть абсолютно у всех устройств, систем и приложений. Я продолжаю считать, что главная уязвимость – это слабая образованность самих пользователей. Я бы поставил другой вопрос – кто и от кого собирается защищаться? Если вы обычный пользователь и защита нужна от случайных атак не очень опытных хакеров, то любая ОС в руках подкованного в ИБ пользователя такую защиту предоставит. Если же пользователь представляет собой серьезный интерес для взлома (допустим, знаменитость или крупный чиновник, бизнесмен, политик) – при наличии ресурсов взломать можно любое устройство. Но, как правило, у таких пользователей есть собственные службы ИБ, чья задача обеспечить безопасность их работодателя.

Можно ли взломать телефон с помощью ВПО? Да, существует огромное количество троянов, кейлоггеров и других программных средств, которые можно «доставить на телефон и получить все данные. С ВПО можно столкнуться и в сети, например, после ввода платежных данных в интернет-магазине, который заражен скиммером.

Но в подавляющем большинстве случаев, злоумышленник будет использовать не уязвимости операционной системы, а «уязвимости» пользователя, то есть социальную инженерию.

Громким примером стали события 31 августа 2014 года, когда были «слиты» гигабайты личных фотографий множества голливудских знаменитостей. Событие получило не только громкий резонанс, но и свою страничку в Википедии. Хакер попросту разослал на учетные записи gmail и iCloud сообщения с просьбой подтвердить учетные данные и ссылкой, ведущей на фишинговый сайт.

Важно понимать, что высокий уровень защищенности мобильных устройств складывается из двух факторов:

  • защищенность ОС;
  • пользовательское поведение.

Если пользователь бесконтрольно скачивает приложения, раздает им максимальные полномочия и оставляет свои пользовательские данные на сомнительных сайтах – защитить его приватность можно только с помощью «деградации» современного смартфона до кнопочного устройства, которое просто не способно на что-то большее, чем звонить и отправлять СМС.

Как защититься от взлома

Самое главное в вопросе персональной информационной безопасности – осознать два базовых фактора:

  • персональные данные нуждаются не только в защите со стороны ОС, регуляторов или производителей смартфонов, но и со стороны конкретного человека;
  • стопроцентная защита данных в принципе недостижима, можно только постоянно снижать риски до минимального значения.

Осознание этих базовых истин позволяет взглянуть на привычные инструменты под новым углом. Например, выбирать приложения с большой историей, проверять ссылки перед кликом, пользоваться инструментами кибербезопасности. Однако, можно выделить и ряд частных правил, которые могут помочь в защите смартфона, независимо от операционной системы.

Алексей Маринин

Старший разработчик мобильных приложений, независимый эксперт

Я предлагаю 10 советов, как защитить свой смартфон.

  1. Поставить надежный пароль на устройство. Google/Apple аккаунт, Face ID или отпечаток пальца позволят вам разблокировать телефон в людных местах без опасности скомпрометировать свой пароль.
  2. Установить разные пароли на телефон, учетную запись, а также на банковские приложения и почту, чтобы в случае если злоумышленники заполучили пароль от вашего устройства и смогли его разблокировать (или вырвали его из рук, когда он был разблокированным), они не получили контроль над всеми вашими данными и приложениями. В самих приложениях можно настроить так, чтобы вход осуществлялся по отпечатку пальца или FaceID, что избавит вас от необходимости постоянно вводить пароли.
  3. Использовать менеджер паролей. Не стоит хранить такую чувствительную информацию в заметках или придумывать универсальный пароль на все ваши сервисы и приложения.
  4. Привязать устройство к вашей учетной записи, чтобы в случае потери или кражи вы смогли его дистанционно очистить. В таком случае злоумышленники не смогут заполучить вашу информацию.
  5. Своевременно обновлять программное обеспечение. В новых версиях прошивок производители смартфонов часто устраняют уязвимости.
  6. Не использовать сильно устаревшие устройства, поддержку которых компании уже не оказывают. Например, Apple осуществляет поддержку своих устройств от 3 до 6 лет в зависимости от модели.
  7. Если у вас телефон под управлением Android, можно отказаться от сторонних оболочек над ОС, и пользоваться «чистым» андроидом. Потенциально это значительно снизит количество уязвимостей.
  8. На устройства под управлением Android можно установить антивирус, и это также улучшит безопасность устройства.
  9. На устройствах с Android предлагаю отказаться от скачивания приложений со сторонних сайтов и альтернативных магазинов приложений. Использование официального магазина предложений снизит (но не исключит) риск установки вредоносного программного обеспечения
  10. Не стоит скачивать сомнительные приложения даже из официальных магазинов приложений. Система контроля в таких маркетах хорошая, но не идеальная, и вредоносное ПО может проскочить. Используя программу с большим количеством отзывов от знакомых компаний, вы снизите этот риск.

Отдельно стоит сказать о « ВИП-пользователях» под которыми подразумеваются люди, персональные данные которых могут стать таргетом для хакеров. К ним можно отнести политиков, звезд эстрады, топ-менеджеров крупных компаний, лидеров мнений и ряд других людей. Для этой категории деятелей крайне желательно не только соблюдать общие правила, но и прибегать к консультации, услугам профильных ИБ-специалистов. Это могут быть штатные сотрудники ИБ-отдела компании или специалисты на аутсорсе.

Так что надежнее: Android или iOS?

Абсолютной надежности не гарантирует ни одна система, поскольку кибербезопасность – это комплексное направление, в котором важен баланс программных средств, пользовательской внимательности и целого ряда других факторов.

Для одного человека наилучшим решением будет вообще использовать клавишный телефон, поскольку он работает с крайне чувствительными данными и, при этом, слабо представляет себе, как устроены современные смартфоны и работают методы социальной инженерии, что далеко не редкость, например, для людей старшего возраста.

Сергей Опивалов

Senior Software Engineer в Gradle Inc.

Одним из недостатков устройств Android является то, что они могут быть более уязвимы для вредоносных программ и других угроз из-за более открытой природы операционной системы. Android позволяет пользователям устанавливать приложения из источников, отличных от официального магазина Google Play, что может увеличить риск загрузки вредоносного программного обеспечения. Кроме того, устройства Android могут получать обновления не так часто, как устройства iOS, что может сделать их уязвимыми для уязвимостей, которые уже были устранены в более новых версиях операционной системы.

Устройства iOS, с другой стороны, обычно имеют более надежные функции безопасности, включая безопасный процесс загрузки и встроенное шифрование данных в состоянии покоя. Однако, они по-прежнему могут быть уязвимы для таких угроз, как фишинговые атаки и вредоносные веб-сайты.

Если же говорить конкретно об Android и iOS, то операционная система от Apple больше подойдет тем, кто хочет минимально вникать в вопросы обеспечения безопасности своего смартфона, и готов мириться с некоторыми ограничениями в правах пользователя и функционале устройства.

Android-устройства больше подойдут тем пользователям, которые готовы регулярно тратить личное время на изучение разного рода инструментов и самой активности своего смартфона, и хотят взамен получить, потенциально, более высокий уровень защищенности, чем у тех пользователей, что хотят получать безопасность «как услугу».

Однако, номинальное лидерство iOS с точки зрения безопасности, вполне вероятно, может сойти на нет, если регуляторы разных стран продолжат продвигать тренд на унификацию стандартов для смарт-девайсов.


Комментарии 0