¿Es seguro el sistema iOS?
"Hoy en día, el entorno del sistema operativo de los dispositivos móviles es desordenado e inseguro. La mayoría de los teléfonos móviles están conectados a redes corporativas En este momento, no están sujetos al control de seguridad de la red corporativa. Muchos teléfonos móviles sincronizan datos con servicios en la nube de terceros que carecen de supervisión, para luego conectarlos a ordenadores públicos con seguridad desconocida”
< p. >No creas que no tiene nada que ver contigo cuando veas la palabra "empresa". De hecho, la seguridad de los teléfonos móviles es un problema al que se enfrentan todos los usuarios de teléfonos móviles.Pilares; Pilares
Primero cite un pasaje del informe Nachenberg:
“El equipo de desarrollo está diseñando las últimas versiones de estos dos sistemas operativos móviles. He considerado los problemas de seguridad y tratado de integrar la seguridad en el sistema operativo para reducir los ataques de seguridad desde el exterior”.
A continuación, Nachenberg probó la seguridad de Android e iOS desde los siguientes aspectos:
Control de acceso tradicional: las técnicas de control de acceso tradicionales incluyen contraseñas y bloqueos de protector de pantalla.
Control de acceso basado en permisos: El control de acceso basado en permisos añade capacidades de control de acceso a cada programa.
Origen del programa: Cada programa tendrá un matasellos indicando el autor del programa, y se utilizan firmas digitales para evitar que el programa sea modificado ilegalmente.
Cifrado: cifra y oculta datos en dispositivos portátiles.
Aislamiento: Las técnicas de aislamiento se utilizan para limitar la capacidad de una aplicación para acceder a datos o sistemas confidenciales específicos.
Rendimiento de los sistemas operativos
El columnista de TechRepublic, Francis, primero comentará sobre el rendimiento de los sistemas operativos Android e iOS para cada pilar, y luego el autor resumirá basándose en el informe de Nachenberg.
Pilar 1: Control de acceso tradicional
Francis: En términos de control de acceso tradicional, según mi experiencia, tanto los sistemas iPhone como Android funcionan bien.
Pero si la huella digital en la pantalla táctil es demasiado clara, puede ayudar a los piratas informáticos a descifrar la contraseña del teléfono. En mi opinión, la mayoría de los desarrolladores de dispositivos móviles no han incluido la capacidad de bloquear programas mediante el desbloqueo de la pantalla de bloqueo del sistema operativo.
En el sistema Android, uso App Protector Pro, una aplicación desarrollada por Carrot App. Este software me permite agregar protección con contraseña adicional a cada programa, como Gmail, Exchange y Facebook. Con este programa, si pierdo mi teléfono y la otra parte descifra la contraseña de la pantalla de bloqueo, tendré algo de tiempo adicional para cambiar las contraseñas de las cuentas involucradas en estos programas.
Recuerdo que no parece haber ningún software de seguridad similar en el iPhone. Sospecho que esto se debe a que iOS tiene un modelo de zona de pruebas más vinculante.
Kassner: Nachenberg cree que la función de control de acceso proporcionada por iOS puede desempeñar un papel de seguridad en caso de pérdida del teléfono. En este sentido, Nachenberg cree que la seguridad de iOS es prácticamente la misma que la de los sistemas de escritorio de Windows.
En el informe, Nachenberg no fue tan amable con Android. Él cree que aunque el sistema Android también puede prevenir ataques accidentales, el sistema Android no admite el cifrado de datos en la tarjeta SD. Por lo tanto, si roban el teléfono y los datos de la tarjeta SD se leen directamente por medios físicos, la contraseña de Android. la función de protección se verá comprometida.
Pilar 2: Control de acceso basado en permisos
Francis: En mi experiencia, existen muy pocos mecanismos de autorización en iOS, mucho menos que en Android. El único mecanismo de permiso que definitivamente existe es que cuando el usuario accede a otros subsistemas protegidos, iOS le solicitará el recurso correspondiente y le pedirá su consentimiento.
Por el contrario, existen muchos mecanismos de autorización de este tipo en Android.
Creo que en teoría tiene éxito, pero en el mundo real, un sistema de licencias así no funciona porque, en teoría, dichas licencias dependen de la comprensión de la tecnología por parte del usuario.
Actualmente, cuatro de cada cinco piratas informáticos utilizan teléfonos Android, y los teléfonos Android se están convirtiendo gradualmente en teléfonos inteligentes convencionales. Sin embargo, el usuario medio no está seguro de si se debe permitir la ejecución de un programa.
De hecho, creo que los usuarios no deberían asumir esta responsabilidad de juicio. Al igual que cuando voy al consultorio del dentista para que me empasen los dientes, no quiero que el médico me pregunte qué instrumentos estoy usando cuando hago una cirugía necesaria. Después de todo, pago por los servicios y confío en los recursos de la clínica y en la experiencia y tecnología del dentista.
Kassner: Escucho a mucha gente hablar sobre el sistema de permisos en la plataforma iOS. Nachenberg detalló este tema en su informe:
"Hay cuatro tipos de recursos del sistema en el sistema iOS, y los programas deben obtener la confirmación de los permisos del usuario antes de acceder a estos recursos. Otros recursos del sistema permiten explícitamente la acceso del usuario utilizando el software, o negar explícitamente el acceso del usuario, que es la política de aislamiento incorporada de iOS. En las siguientes situaciones, el programa puede solicitar confirmación al usuario:
Cuando el GPS del teléfono móvil. requiere ubicación local.
Recibir un mensaje de advertencia de notificación desde Internet
Al realizar una llamada saliente
Al enviar un mensaje de texto o correo electrónico. >Si algún programa intenta utilizar las cuatro funciones anteriores, el usuario primero verá un mensaje de permiso y el programa solo podrá implementar la función después de que el usuario lo permita. Si el usuario permite la función del sistema GPS o del sistema de advertencia de notificación, el programa quedará deshabilitado permanentemente. Permitir el uso del sistema. Para poder realizar llamadas o enviar mensajes de texto y correos electrónicos, los usuarios deben hacer clic para confirmar cada vez. "
La plataforma Android utiliza una versión completa. solución diferente. Se basa en el concepto de "todo o nada", que explico citando un pasaje del informe Nachenberg:
"Cada programa de Android tiene una lista de permisos integrada en su interior, que registra las funciones del sistema necesarias para el programa para funcionar correctamente. Esta lista avisará al usuario durante el proceso de instalación del software de una manera que los usuarios comunes de teléfonos móviles puedan entender, y el usuario decidirá si continúa instalando el software en función de los riesgos de seguridad del software. >
Si el usuario aún elige instalar el software, el programa obtendrá acceso a los recursos correspondientes del sistema. Si el usuario deja de instalar el software, se prohibirá completamente la ejecución del programa "
< p. >Tercer Pilar: El origen del programaFrancis: En los sistemas Android e iOS, el origen de la identidad y el mecanismo para determinar la autenticidad son obviamente diferentes. Aún no se sabe cuál es el mérito de estos dos mecanismos, pero actualmente hay más malware dirigido a Android que a iOS.
No creo que el sistema Android de Google haya fallado en términos de seguridad, sino que una serie de puntos débiles de seguridad hacen que el sistema Android sea más vulnerable a las amenazas a la seguridad. No existen muchas barreras para que los piratas informáticos desarrollen y ejecuten malware en sistemas Android, especialmente cuando el software está clasificado como gratuito o *****, que se propaga más rápido.
Google no tiene ningún mecanismo de revisión para las solicitudes enviadas anteriormente. Los desarrolladores no necesitan demostrar que están autorizados para desarrollar y modificar programas. No existe una autorización de desarrollador centralizada. Actualmente existen muchos canales para lanzar y difundir software en el sistema Android, y el número de canales sigue aumentando. La mayor vulnerabilidad en todo el proceso es que los piratas informáticos pueden obtener fácilmente el software en la tienda de software, restaurarlo al código fuente mediante ingeniería inversa, modificarlo, agregar código malicioso, empaquetarlo y luego publicarlo con el nombre de software normal. .
Aunque el software de la aplicación del iPhone puede ser manipulado a través de esta serie de trabajos, el lenguaje de programación del iPhone no es público y es mucho más difícil de desmontar que el lenguaje Java de la plataforma de Google.
Kasner: En este sentido, las opiniones de Nachenberg son consistentes con las de Francisco. IOS hace esta parte mejor que Android.
Pilar 4: Cifrado
Francis: Una vez participé en un proyecto de software móvil multiplataforma. Este proyecto tenía requisitos claros de protección de la privacidad y terminó con un ingeniero externo independiente. El equipo revisa el código fuente.
Al comienzo de este proyecto, descubrí que los datos de configuración del usuario de ISO se cifrarán y almacenarán en una ubicación determinada de forma predeterminada, mientras que el sistema Android coloca directamente los datos de configuración del usuario en la ubicación correspondiente del programa. .
Esto no significa que los datos confidenciales en Android no estén cifrados, ni tampoco significa que la tecnología de cifrado utilizada por Android sea inferior a la del iPhone. Esto simplemente muestra que Android dejará más trabajo de cifrado a la aplicación misma, en lugar de hacerlo a través del sistema operativo. Esto tiene ventajas y desventajas.
Si es desarrollador de software en la plataforma Android, es posible que la seguridad de los datos de su software no sea tan buena como la de iOS. Pero si configura un método de cifrado especial para su software, la seguridad de los datos de su software puede ser mayor que la del sistema ISO, porque los piratas informáticos tienen que descifrar el algoritmo de cifrado del programa.
Pero como usuario de un teléfono móvil, no sabes si el software descargado tiene un mecanismo de cifrado. Sin embargo, si el software no tiene un mecanismo de cifrado, no se puede garantizar su seguridad, porque la mayoría de las aplicaciones del usuario están instaladas en la tarjeta SD y se pueden quitar fácilmente (como insertarla en una computadora para transferir datos).
Kassner: Francisco está de acuerdo con Nachenberg sobre el cifrado. Sin embargo, todavía quiero compartir mis pensamientos sobre estas dos plataformas.
En primer lugar, iOS utiliza un mecanismo de cifrado, pero esto tiene limitaciones. Muchos programas se ejecutan en segundo plano (incluso cuando el usuario no ha iniciado sesión) y necesitan acceder a los datos almacenados. Para funcionar correctamente, iOS requiere una copia local de la clave no cifrada. Esto significa que, con un teléfono liberado, los piratas informáticos pueden acceder a los datos almacenados sin la contraseña del usuario.
Como dijo Francis, todas las versiones de Android, excepto la versión 3.0, no admiten datos cifrados. Esto significa que cualquier dato en el teléfono puede ser explorado por la tecnología jailbreak o por cualquier usuario con derechos administrativos.
Pilar 5: Aislamiento
Francis: Personalmente creo que los modelos de aislamiento sandbox de Apple y Google son seguros y confiables. Comparado con los dos, el mecanismo de aislamiento del sistema Android es un poco más complejo, pero también más flexible. En comparación con el sistema iOS, Android puede hacer frente al modo multitarea.
Como desarrollador de dispositivos móviles, puedo ver las ventajas de este mecanismo. Esto requiere que consideremos los problemas de seguridad durante el desarrollo del programa y durante todo el proceso de desarrollo, mientras que el desarrollo del software del sistema de escritorio puede considerar los problemas de seguridad en el último paso.
Kasner: Nachenberg y Francis nuevamente están de acuerdo. El mecanismo de aislamiento permite que diferentes programas funcionen por separado, y otros programas en ejecución no se verán afectados porque un programa sea explotado por piratas informáticos.
Debilidades de ambos
Estoy impresionado por las capacidades de seguridad de las plataformas iOS y Android. Pero hay que decir que ambos todavía tienen "debilidades". Lo creas o no, lo creo.
Nachenberg me mencionó una vez que sólo se han descubierto unas pocas vulnerabilidades graves en iOS, y la mayoría de ellas están relacionadas con la tecnología de jailbreak. Pero no he oído hablar de intrusiones de malware.
Android también tiene sólo unas pocas vulnerabilidades graves. Pero Nachenberg dijo que una de las vulnerabilidades podría permitir que un programa de terceros obtenga el control del teléfono. Y muchos piratas informáticos conocen esta vulnerabilidad, y uno de los malware se llama Android.Rootcager.
Android. Rootcager es un malware que avergüenza a Google. Nachenberg explicó: "Lo que es más interesante y controvertido es que la herramienta de reparación de Google para este malware también aprovecha la misma vulnerabilidad del sistema para evitar el sistema de aislamiento de Android y eliminar el objetivo. Malware que representa una amenaza para su dispositivo".
Resumen
Se puede concluir que hay dos jugadores de peso pesado con dos filosofías de protección de seguridad diferentes.
La tarea de este artículo es explicar las diferencias entre estos dos mecanismos de protección de seguridad.