Android Против Ios. Проблема Безопасности

Некоторое время назад мы в Symantec обдуманный две популярные платформы — Android и iOS для их безопасности.

Без лишних слов сообщаем подробности нашего исследования.

Итак, мобильные платформы Google и Apple в разной степени полагаются на пять столпов мобильной безопасности.

Эти принципы и особенности поведения платформ мы для наглядности представили в таблице:

1. Контроль доступа

Каждое собственное приложение представляет собой отдельный процесс, который запускается непосредственно процессором ARM; Приложения не могут использовать общие объекты (например, файлы DLL);	Каждое приложение на основе байт-кода выполняется на отдельной виртуальной машине в отдельном процессе Linux; Приложения могут иметь собственные общие объекты на основе архитектуры ARM (например, файлы DLL).

2. Проверка происхождения приложений

Каждое приложение должно быть подписано официальным сертификатом, выданным Apple; Приложения, опубликованные для публичного использования, должны пройти ручную/автоматическую проверку Apple; Публично размещаемые приложения должны физически размещаться в Apple App Store; Сертифицированные компании могут распространять самостоятельно разработали приложения на устройствах своих сотрудников, на которые распространяется сертификат организации.

Каждое приложение должно быть подписано цифровым сертификатом; Однако допускается самоподписание анонимными сертификатами; Приложения могут публиковаться без согласия или проверки со стороны Google; Приложения можно распространять с любого веб-сайта (по умолчанию Android Market).

3. Шифрование

iOS хранит все данные в зашифрованном виде на SD-карте устройства; Данные автоматически расшифровываются при чтении iOS и приложениями, паролей нет; iOS вторично шифрует электронную почту, используя парольную защиту, блокируя доступ, если устройство не разблокировано явно; Сторонние приложения также могут использовать шифрование с использованием защиты кода интерфейса прикладного программирования (API).

В Android встроено шифрование конфиденциальных данных (приложений, календаря, контактов, паролей и т. д.), доступное только в версии 3.0; Приложения могут использовать интерфейсы прикладного программирования (API) шифрования Java для сокрытия данных.

Небрежный подход Google к определению происхождения приложений делает Android уязвимым для развивающихся вредоносных программ и законных программ, атакованных троянами.

Упрощенная сертификация привела к тому, что сегодня мы можем наблюдать постоянный рост количества вредоносного ПО для Android-устройств.

Вперед, продолжать:

4. Изоляция процесса

Приложения не могут перезаписывать/читать/записывать другие приложения/ОС/данные; Приложения ограничены пользовательским режимом и не могут устанавливать драйверы; Правила изоляции блокируют доступ к папкам входящей электронной почты и SMS, отправке SMS, совершению телефонных звонков и GPS.

Приложения могут переписывать другие приложения и проверять их исходный код, но не конфиденциальные данные; Однако данные, хранящиеся на карте памяти SD, по умолчанию могут быть прочитаны всеми; Приложения ограничены пользовательским режимом и не могут устанавливать драйверы; Приложения получают доступ к большинству системных сервисов только после того, как пользователь ответит на запрос утвердительно.

5. Управление доступом по ролям

Пользователь должен дать разрешение на: доступ к GPS, включение удаленных уведомлений, совершение телефонных звонков и отправку SMS; Политика доступа/блокировки для всех остальных подсистем встроена в процесс утверждения/проверки iOS и Apple.

Приложения могут переписывать другие приложения и проверять их исходный код, но не конфиденциальные данные; Однако данные, хранящиеся на карте памяти SD, по умолчанию могут быть прочитаны всеми; Приложения ограничены пользовательским режимом и не могут устанавливать драйверы; Приложения получают доступ к большинству системных сервисов только после того, как пользователь положительно ответит на запрос; ОС Android, а не виртуальная машина Dalvik, обеспечивает изоляцию.

К сожалению, несмотря на довольно жесткие требования безопасности, которые были выдвинуты при разработке анализируемых нами платформ, степень их защищенности недостаточна для защиты корпоративной информации, которая так часто на них сваливается.

При правильном использовании и настройке обе платформы — Android и iOS — дают пользователям возможность одновременно синхронизировать свои устройства с несколькими (частными и корпоративными) облачными сервисами без риска утечки информации.

В случае неверного ответа они дают злоумышленникам возможность украсть данные о местоположении устройства, номер телефона, адрес электронной почты и контакты, украсть действующий код IMEI и установить его на деактивированный/поддельный телефон, получить деньги за установку мошеннических приложений, заставить телефон отправлять SMS. сообщения или набирать платные номера, менять настройки сервера доступа в Интернет на прокси-сервер злоумышленников, шпионить и многое другое.

Теги: #iOS #Android #Apple #Google #вирусы #информационная безопасность #мобильные устройства #Сотовая связь #информационная безопасность

• Новости Консультанта Great Plains: Обновление Версии Dynamics Gp

  19 Oct, 24

• «М.видео» Запустит Торговую Площадку, Аналогичную Яндекс.маркету

  19 Oct, 24

• Хакеры Выставили На Продажу 32,8 Миллиона Паролей Twitter, Украденных Через Браузеры

  19 Oct, 24

• Яндекс Запустил Платный Доступ К Weather Api Для Разработчиков

  19 Oct, 24

• Автомобильные Конфигураторы Как Зеркало Революции Веб-Технологий

  19 Oct, 24

• Как Я Купил Домен

  19 Oct, 24

• Планирую Написать Серию Статей О Разработке Сайта С Нуля С Помощью Codeigniter. Как Вам Это Нравится?

  19 Oct, 24

• Дайджест По Итогам 2009 Года На Рынке Веб-Разработок

  19 Oct, 24

• Война 2.0: Кто Наблюдает За Наблюдателями?

  19 Oct, 24

• 5 Важных Жизненных Уроков От Кунг-Фу Панды

  19 Oct, 24