之前我們對比過桌面操作系統(tǒng)Windows和OS X的安全性,這一次,來對比移動操作系統(tǒng)的安全性。(系統(tǒng)安全哪家強? 黑客帶你逐層扒http://cww.net.cn/consume/html/2015/8/11/20158101759471012.htm)
幾周之前,研究人員發(fā)現(xiàn)安卓(Android)的一個巨大的漏洞,稱之為Stagefright,它可以讓黑客完全控制安卓手機或者平板電腦。該漏洞(BUG)威脅近10億的設(shè)備,這直接促使了谷歌和三星、LG等硬件制造商重新考慮該如何對其軟件進行更新。
蘋果的移動設(shè)備也并不能完全幸免。去年,安全人員便發(fā)現(xiàn)了一個漏洞,可能的情況下,當(dāng)然十分罕見,某些版本的軟件里面含有間諜應(yīng)用程序,如Facebook和 Skype。
從歷史上來看,相比 iOS 和 Android 等移動操作設(shè)備,Pc 和 Mac一直是黑客和網(wǎng)絡(luò)攻擊的主要目標(biāo)。一個原因是,他們本身的安全性并不高。安全公司 Rapid 7 的高級顧問紀(jì)堯姆 · 羅斯(Guillaume Ross)說,“從歷史來看,它們是完全開放的平臺,這也是它們受歡迎的原因。”它們幾乎沒有給應(yīng)用程序的使用帶來什么限制。PC的網(wǎng)上安全問題一直是一個主要問題,我們一直嘗試進行安全方面的改進。
另一方面,智能手機和平板電腦出現(xiàn)后安全問題已經(jīng)成為一個主要的問題,它們相應(yīng)的在你設(shè)計上也考慮了這一點。如今,你在 Android 和 iOS 上安裝程序時,系統(tǒng)會詢問“你是否允許安裝此程序”。
但是羅斯也認(rèn)為,移動設(shè)備的威脅會隨著人們將更多的數(shù)字生活轉(zhuǎn)移到電腦上而繼續(xù)增長。除了表情符號和自拍外,我們也開始關(guān)注移動設(shè)備。
開放VS封閉
iOS和Android一個主要區(qū)別是,后者是建立在“開放”的理念之上的:手機制造商、無線運營商和個人都可以自定義系統(tǒng)配置。應(yīng)用程序制造商有很多方法讓他們的產(chǎn)品傳到平臺上。而蘋果的iOS則主要是內(nèi)部運作。
這并不是說iOS自身沒有安全漏洞。安全軟件制造商 Beyond Trust副總裁莫雷·哈勃(Morey Haber)說,2014年,他們在iOS上發(fā)現(xiàn)了高達127出漏洞。與安卓對比的話,嗯,沒人知道(無法計算)同年安卓上有多少漏洞。
為什么無法計算呢?因為安卓設(shè)備制造商比如三星、HTC喜歡定制操作系統(tǒng),隨心所欲地改變應(yīng)用程序的默認(rèn)接口。無線(通信)運營商也可以設(shè)置并添加應(yīng)用程序。所有的這些動作都會有增加漏洞的風(fēng)險。
由于不同的特點,各大廠商都會發(fā)布自己的更新。你可能需要等幾個月、幾年或者永遠等不到。這取決于你設(shè)備的情況。
谷歌表示,只有 12.4%的 Android 設(shè)備正在運行最新的 5.0 和 5.1 版本的 OS (棒棒糖)。其它正在廣泛流通中的8個版本最早的可以追溯到2011年,而老版本的補丁往往只針對其鼎盛期發(fā)布。唯一的例外是谷歌的Nexus 品牌手機和平板,會獲得像iPhone和iPad一樣的及時更新。
新的Stagefright漏洞嚇壞了谷歌等一干廠商,LG和三星宣布將為手機每月提供更新,但需要跟運營商協(xié)調(diào),這可能會使得問題變得復(fù)雜。
這里的勝者是:iOS
安卓正在盡自己最大的努力修復(fù)漏洞,尤其是對 Nexus 系列設(shè)備,但是蘋果已經(jīng)在這一領(lǐng)域深耕許久,并且系統(tǒng)穩(wěn)定。
防范山寨應(yīng)用程序
操作系統(tǒng)是移動設(shè)備上受攻擊的主要目標(biāo),而惡意應(yīng)用程序則可以定向攻擊。
在這一方面蘋果有著與生俱來的優(yōu)勢,因為其嚴(yán)格控制其系統(tǒng)中的應(yīng)用程序。一個應(yīng)用程序要通過蘋果公司的審核有著近乎苛刻的過程。而iPhone和iPad要獲得應(yīng)用程序也沒有第二個獲得的方式。如果越獄的話,將會面對各種漏洞和無法保修。
比如,黑客們找到了一個稱之為“面膜攻擊”的方法,它通過誘導(dǎo)iOS下載陷阱版本的 Facebook 等流行的應(yīng)用程序,這些應(yīng)用程序可以截獲音頻和視頻文件,并將其發(fā)到間諜服務(wù)器上。
當(dāng)然,這些“山寨”的應(yīng)用程序無法進入App Store。只要你不越獄的話,便不會有問題。
Android也有自己的應(yīng)用商店,名字是Google Play,安卓的程序都會在這里進行安全評級。但是這種檢測是系統(tǒng)自動的,而蘋果的程序檢測是人工的。但是羅斯相信,谷歌正在讓其應(yīng)用商店的秩序變得越來越好。事實上,谷歌宣稱Google Play中只有0.15%的安卓應(yīng)用程序是受到感染的。
不過 Android 手機用戶跳過官方商店從其它較小的應(yīng)用程序商店獲得程序的情況很常見,而其大部分沒有防黑客措施。這些商店包含很多欺詐、惡意的應(yīng)用程序。國外的包括Mumayi、AnZhi、Baidu、 eoeMarket和 liqucn等。
這里的贏家還是:iOS
蘋果和谷歌都在努力維護它們的應(yīng)用商店,可是蘋果做的更徹底,它的用戶很難逃到別處。
應(yīng)用程序能干啥?
傳統(tǒng)上,安卓設(shè)備上的應(yīng)用程序有更多與另一個操作系統(tǒng)交互的空間。這讓其程序更加靈活且可定制,安卓粉絲愛的也就是這一點。蘋果比較保守,有時候是死板的。比如安卓用戶一直享受的第三方輸入法蘋果才剛有。
進入 Android 5.0 棒棒糖時代,谷歌將從2015年10月開始更加嚴(yán)格地控制其應(yīng)用程序,這個過程被稱之為“沙盒”(它已經(jīng)存在安卓系統(tǒng)中一段時間了,但是棒棒糖大大加強了它)。而蘋果從iOS誕生起便一直在這么做,安卓要追上還有一段距離。如果你是舊版本的Android 手機,你將不能升級到5.0或者更高的版本,也就意味著你享受不到“沙盒”帶來的好處。
此處的獲勝者依然是:iOS
蘋果自誕生以來便一直控制其應(yīng)用程序,Android 仍然在追趕中。
如何保證安全
獻給每一位讀者,為了你設(shè)備的安全,你可以也應(yīng)該這么去做。
如果你有iPhone或iPad:如果你非常關(guān)注安全問題,你也不想一直擔(dān)心這個問題,還是購買iPhone或iPad吧。蘋果公司的iOS相比Android (特別是舊版本的安卓系統(tǒng))具有與生俱來的安全性。
有新一代的Nexus 手機或平板電腦:如果相比iOS你更喜歡安卓,那就購買 Nexus 設(shè)備吧。它比其它任何安卓產(chǎn)品都能得到更快的更新,現(xiàn)在還包括日常的漏洞修補。三星雖然也承諾了相關(guān)服務(wù),但細(xì)節(jié)仍然不清楚。
安裝一個安全軟件吧,由于大多數(shù)設(shè)備都無法得到及時的更新,為你的手機裝一個安全軟件吧。雖然安全軟件不能做太多,其效果也比不上“沙盒”。
安全底線:移動安全形勢正愈發(fā)嚴(yán)峻。首先,手機還是沒有電腦那么容易受到攻擊;其刺激,安卓設(shè)備終有一天會趕上在安全領(lǐng)域深耕多年的蘋果,不過目前還沒有。因此,從整體安全上來說,蘋果產(chǎn)品依然是最好的選擇。
原文作者:Sean Captain
原文鏈接:https://www.yahoo.com/tech