安卓和iOS哪个更安全?
时间:2020-09-18 07:52:05 来源:达达文档网 本文已影响 人 
打开文本图片集
这就像是技术领域的一场强强争霸:两大移动操作系统正面较量,就安全这一话题展开死拼。在当前这个时代,我们大家都在使用和处理如此众多的敏感数据,安全显得至关重要。苹果新任首席执行官蒂姆•库克(Tim Cook)在去年10月登台、为iPhone 4S发表主题演讲时,他不失时机地透露了与iOS设备全球采用率有关的几个统计数字。
他透露,自2007年发布第一代iPhone以来,这家总部设在丘珀蒂诺的公司卖出去的iOS设备超过了2.5亿个。由于iOS是苹果各种便携式设备采用的操作系统,我们完全可以认为:这2.5亿个包括iPhone、iPad、iPod touch以及第二代苹果电视。站在另一阵营的是谷歌为大众提供的操作系统:安卓。谷歌首席执行官拉里•佩奇(Larry Page)也宣布,他们激活的安卓设备正好超过了1.9亿个,谷歌更愿意称之为激活量,而不是销售量。在大多数情况下,统计数字并不撒谎,这一回显然如此。但是考虑到iOS比安卓早上市足足十六个月,两者之间的可比性不大。比较数字时要考虑的另一个重要因素是,苹果只是将iOS添加在数量较少的设备上,而安卓用于驱动几乎成千上万的设备上,所以我认为:客观地说,iOS在全球采用率方面仍占主导地位,至少眼下是这样。
但是从安全的角度来看,这两大操作系统相比各自到底如何?安全研究公司Veracode制作了一张非常有意思的信息图,着重比较了一些更重要、更有意思的方面。
首先,不妨先说说这两个平台的相似之处以及它们都具有的安全功能。安卓和iOS都具有所谓的传统访问控制功能,这基本上就是用户访问设备、将设备置于睡眠或锁住设备所用的方法。两者还都拥有访问控制设置,为应用程序添加或删除权限,这就意味着用户可以限制应用程序访问某些服务或数据的功能。让我觉得惊讶的是,这两款操作系统对硬件的访问比较有限。两个平台都含有好多层中间软件,中间软件在操作系统和底层硬件之间充当了中间人。最后,iOS和安卓都内置了应急机制,万一出现基于Web的攻击,就能对付这种攻击。
公众热议的一个方面是分销应用程序的方法。安卓用户经常炮轰苹果对开发人员采取的专横做法和应用程序的提交方法。所有开发人员必须向苹果提交二进制程序包,以便苹果的工程师团队审查;如果应用程序符合要求,同意放到应用程序商店(App Store)来分销。这可能导致发布之前要等上比较长的时间;一些情况下,还会导致遭到苹果拒绝,无法进入到应用程序商店。另一方面,安卓为开发人员提供了好多条途径,其平台能够支持不止一个应用程序市场,还提供了大批分销无线传输式(OTA)应用程序这一选择。不过,苹果起先批准应用程序可以销售,后来认定应用程序违反了自己的某一条规定,随后不提醒开发人员就擅自撤下,这种情况并不罕见。
现在我们再看一下这两款操作系统各自的优缺点。两种设备在运行时都采用了基于权限的访问控制系统,如上述的那样。不过,这两种模式在这方面采取的做法不一样。比如说,如果用户使用的应用程序要求使用用户的位置,就需要应用程序在屏幕上提供提示信息,请求获得访问用户当前位置的权限。如果该用户拒绝了请求,应用程序又依赖实际获得用户的许可权,那么应用程序就失效,因而毫无用处。另一头是安卓采用的模式:用户在下载时,为他们提供了应用程序权限需求列表。然后,用户必须决定继续下载还是“授予”权限。
iOS里面两项很重要的安全功能是地理定位(Geo-location)和自动擦除功能。如果你在想:这两项功能在实际情形下到底怎样,只需想一想苹果免费提供的Find My iPhone应用程序。万一需要的话,该应用程序让用户可以找到丢失设备的位置,然后远程清除该设备上的所有数据。如果这不行,要是设备落到坏人手里,坏人将通行码(即PIN码)输错了十次,那么里面的数据会自动清除。
那么缺点方面呢?这两个平台都有诸多缺点,但是大多数软件不也是这样吗?信息图中提到的一个例子是运行4.3.5之前iOS版本的苹果设备存在的安全漏洞,这类设备容易遭到SSL MITM(中间人攻击);黑客不用费多大力气,就能钻这个漏洞的空子。考虑到某些苹果设备因年限长而实际上并不被允许升级到更高版本的固件,因而总是仍容易受到攻击,这一点尤其需要引起注意。同样的更新问题关系到安卓设备,因为仍在合约期内的数百万设备无法更新到安卓操作系统的最新版本。另外,安卓的应用程序市场相当于交战地带。安卓市场(Android Market)落实的安全机制微乎其微,谷歌允许几乎任何应用程序都可以提交到该市场上销售或下载。不像苹果,谷歌在批准任何应用程序销售之前,并不检查其安全性或合法性。
信息图还含有其他很有意思的部分信息,所以要确保全面看一下,并且阅读所附的智能手机贴士,以便保护你和你的设备。说则比较乐观的消息,知名的安全公司赛门铁克承认,虽然iOS和安卓这两种设备都存在安全漏洞,但是它们的安全性比PC都要高得多。
图译:
安卓VS iOS
两者到底有多安全?
安卓和iOS都有:
传统的访问控制功能
比如密码和闲置时段屏幕锁定,以保护设备本身。
隔离功能
限制了某个进程访问敏感数据或另一个进程所用系统资源的功能。
基于权限的访问控制
为每个应用程序授予一组权限,限制了应用程序对指定设备数据和指定系统的访问。
有限的硬件访问
应用程序无法直接访问底层硬件。应用程序与硬件的交互都完全由许多不同的软件层来控制,这些软件在应用程序和设备本身之间充当中间人。
抵制基于Web的攻击
这两个系统都内置了一些功能,抵制基于Web的攻击。
不过
应用程序的分销方法
安卓有更多的分销渠道。
就安卓而言,有更多的机会和方法来装入应用程序。
比如说:安卓设备支持不止一个应用程序商店,还支持大批分销无线传输式应用程序。
iOS应用程序只能通过苹果的应用程序商店来分销。 应用程序商店
这两种设备上都有数据加密功能
有不同的加密级别;其中一些是针对特定设备的。这两款操作系统为应用程序提供了将加密的私密数据存储到磁盘上的机制;但是应用程序并不总是充分利用这些功能。比如说,如果你同步到PC上,移动设备上加密的数据可能以明文格式存储。
应用程序安全测试
各种安卓应用市场与苹果应用程序商店在应用程序安全方面的验证级别不一样。安全和隐私没有经过全面的测试;未授权访问敏感数据的情况在苹果应用程序商店和安卓市场中都已经发生过。
苹果有时批准应用程序后又禁止
苹果对于放到iTunes商店的应用程序有一个审批过程。可是,不难找到这样的例子:某应用程序在被发现行为不端后,从应用程序商店撤下。
安卓
安全功能
•基于权限的访问控制:
安卓的访问控制模式有别于iOS的访问控制模式:在应用程序清单里面,有一份静态的权限列表,这些权限是安卓应用程序事先请求的。用户在安装应用程序时可以看到该列表。
•安装应用程序:
官方的谷歌市场允许你将应用程序远程安装到手机上。它提示手机接受后方可安装,因而不可能远程安装和运行像自动擦除或Find Me这种类型的应用程序。
iOS
安全功能
基于权限的访问控制:
•应用程序在运行时请求使用iOS中的某项受保护功能(如访问用户的当前位置)时,操作系统就会在应用程序的中间弹出一个对话框,询问用户是否决定允许应用程序访问资源。要是用户选择“禁止”,许多应用程序就失效。
地理位置:
•手机丢失时,你就能确定其位置。该功能由苹果提供,是其操作系统和配套在线服务的一项特性。
自动擦除:
•如果你的手机丢失或被偷了,你可以清除掉设备上的敏感数据。万一手机失而复得,你可以通过台式机上的备份来恢复信息。启用了这项功能后,如果通行码输错十次,就会自动清除掉设备上的数据。
安卓
几个典型的弱点
安卓孤儿设备
成千上万仍在合约期内的安卓手机无法更新到安卓操作系统的最新版本。
极其混乱的应用程序市场
应用程序市场就算实施了安全机制,也很有限。谷歌而是选择了让提交到该市场的几乎任何应用程序都可以发布,供用户使用。谷歌在发布到市场之前并不核实应用程序的安全性。
智能手机生产商可以修改手机的用户界面
谷歌安卓本来就是可以由发布设备的运营商来修改。正因为如此,安卓设备面临厂商添加软件和修改用户界面的情况,而智能手机用户可能不想要或不需要这些。
iOS
几个典型的弱点
每个运行4.3.5之前操作系统版本的iOS设备都很容易受到SSL MITM这个漏洞的攻击,黑客很容易钻这个漏洞的空子。
由于苹果不允许某些类别的设备升级到这个新版本,这意味着市面上有成千上万个一直很容易被人钻空子的设备。安卓存在类似的问题。
如果iPhone用户决定破解手机,他就更容易遭到恶意软件的攻击。
iPhone破解手法钻的是安全漏洞的空子,但黑客也可以钻这些空子。比如iPhone PDF解析器里面就有个漏洞,该漏洞让文档可以执行代码。
你是不是买了只智能手机来庆祝圣诞节?
下面是保护智能手机远离黑客的十招。
•更改手机密码和语音邮箱密码。 •使用移动安全软件,如Lookout。
•使用别人很难猜中的密码/PIN码。 •使用移动设备管理软件。
•将手机设成闲置5分钟后受密码保护。 •备份数据。
•只启用你所用的无线网络/连接。如果你不用•不要在公共无线网络上查看敏感信息。
蓝牙设备,就不要开启蓝牙功能! • 一旦有了最新的操作系统更新版,就尽快安装,
•只安装你信任的厂商提供的应用程序。 确保你智能手机的固件是最新版本。
安装之前查看应用程序的评论和应用程序来源。
互联网和设备安全公司赛门铁克得出结论,尽管iOS和安卓都存在其弱点,但是这两个移动平台仍比PC要安全得多。
你已掌握了相关信息,现在可以明智地使用智能手机了。
