Uvijek je pitanje koji mobilni operativni sustav je sigurniji: iOS ili Android? Fanovi će uvijek “navijati” za svoje, a “pljuvati” na suparnički OS. To je tako od početka i sumnjamo da će prestati u budućnosti. No, oba OS-a isprobali su mnogi sigurnosni stručnjaci i dali više-manje odličan odgovor. Koji je to odgovor, naći ćete u ovom tekstu. Pitanje je – da li je uopće ijedan od ova dva OS-a siguran ili su oba pala na važnim stvarima. Krenimo redom pa ćemo vidjeti.
Sigurnost na Appleov način
U ovom dvoboju, Apple se često percipira kao očiti pobjednik kada je riječ o mobilnoj sigurnosti. Iskreno rečeno, to je ponekad teško osporiti. Apple u potpunosti kontrolira iPhone, odnosno iOS. To znači da korisnici mogu samo instalirati nove verzije iOS-a, zakrpe i aplikacije koje su prošle kroz “Appleove ruke”, njihove automatizirane testove, te potom kroz ruke testera koji mora odobriti aplikaciju.
Taj proces je kritičan i zna trajati par dana. To jako dobro znaju oni koji rade aplikacije za iOS. To je čak i pomalo kontroverzan proces, jer se aplikacije ponekad odbijaju zbog čudnih razloga, ali do sad je App Store bio jako siguran i aplikacije nisu imale nikakav malware.
Nadalje, Apple u potpunosti kontrolira sav svoj hardver, odnosno cijeli “hardware supply chain” pa tako ima kontrolu nad hardverom i softverom.
Kada dođemo do sigurnosti, Apple ima pristup “whatever it takes”. Drugim riječima, učinit ćemo sve što treba da zaštitimo Apple eko-sustav. Odličan primjer je njihova “Messages” platforma. Možda se čini samo kao platforma za slanje i primanje tekstualnih poruka između računala i telefona, ali jedna prezentacija na Black Hat konferenciji je pokazala da to nije baš tako.
Apple je dizajnirao platformu od početka do kraja, te ugradio end-to-end enkripciju koja štiti maksimalno dotične poruke. Server na kojem su pohranjene poruke treba hardverski ključ da biste mu mogli pristupiti. Jednom kada su ti serveri u produkciji, taj hardverski ključ se uništava i serveru više nitko ne može pristupiti. Može ga se ugasiti, ali ono što je na njemu, nije dostupno više nikome. Čak i da je, osoba ne može pročitati ono što je na serveru jer je sve kriptirano. Jako je kompleksan sustav, ali funkcionira gotovo savršeno.
Sigurnost na Googleov način
Dugo vremena, Google ja govorio da je njihov OS – “dovoljno siguran”. Dovoljno siguran je relativan pojam jer nisu uspjeli uhvatiti svaki malware koji se pojavio na Google Playu. Nadalje, imali su nekih vrlo kritičnih problema u svom operativnom sustavu, a otkrili su ih sigurnosni stručnjaci. Androidova “otvorenost” i činjenica da na tržištu ima jako puno verzija Androida koje korisnici koriste, ne doprinosi sigurnosti i stavlja korisnike u nepovoljan položaj.
Na to sve, iz Googlea su tvrdili da samo mali postotak (oko 1 posto korisnika) je imao zaražen mobitel. No, problem je što oni imaju oko milijardu korisnika, a jedan posto od toga je – 10 milijuna!
No, čak je i Google shvatio da moraju malo “okrenuti priču” i nešto napraviti po ovom pitanju. Tako je Android OS polako počeo uvoditi restrikcije nad podacima koje aplikacije mogu dohvatiti. Zatim su odbacili model “dozvola all-or-nothing” jer korisnik koji je htio koristiti određenu aplikaciju je morao pristati na sve što aplikacija traži od njega. Pa su prihvatili Appleov model u kojem korisnik može pristati da mu aplikacija ima pristup kameri, ali recimo nema pristup kontaktima. Također, Google je počeo mnogo brže izdavati sigurnosne zakrpe kada bi našli neke probleme.
No, problem je trebalo rješavati na drugom kraju – Google Playu, pa je Google to i napravio. Malo su se više počeli truditi oko inspekcije i analize aplikacija koje dođu na njihovu “trgovinu aplikacijama”. Tu Google prati aplikacije, ali i prati uređaje koji su zaraženi malwareom. Tako Google zna ako vam je uređaj zaražen i zna od kuda ste dobili taj malware. Bez obzira da li ste aplikaciju skinuli s Google Playa ili s neke druge web stranice.
U biti, Google nije samo povećao sigurnost na samom uređaju, nego i na mjestu gdje skidate aplikacije.
Što oba OS-a rade krivo?
Iako je stvarni broj inficiranih uređaja relativno mali, odnosno postotak je mali, postoje Android korisnici koji imaju maliciozni softver na svojim uređajima. Zanimljiva je statistika iz 2015. godine koja kaže da su većinom malware imali korisnici koji su koristili jeftine Android uređaje, te korisnici iz zemalja “u razvoju”. Točnije u siromašnim zemljama gdje je standard loš. Zanimljiva činjenica, no i dan danas je to vjerojatno tako.
Unatoč naporima koje Google radi da očisti Android uređaje, kao i aplikacije na Google Playu, ovaj model iziskuje napor i kod onih koji razvijaju aplikacije. Google mora uvjeriti programere da određene stvari rade drugačije, da koriste nove i sigurnije alate koje kompanija radi za njih i slično.
Google je tu nešto čak i uspio napraviti, ali ne u potpunosti. Problem je i dalje ta “razlomljenost” OS-a, odnosno činjenica da zadnje tri verzije Androida imaju u prosjeku 20 posto korisnika. Ostalih 40 posto korisnika koriste još starije verzije Androida. I tu nastaje problem. Programeri i dalje pružaju podršku za starije aplikacije na starijim verzijama Androida, koje možda i nisu sigurne kao novije verzije. I teško je izaći iz tog začaranog kruga.
Ukratko – Googleu je problem velika razlomljenost OS-a, te programeri koji “ne odrađuju” svoj dio posla i ne guraju korisnike prema novijim verzijama Androida.
Ni Appleova strategija nije baš prošla bez posljedica po korisnike. Njihov najveći sigurnosni problem je spomenuta “whatever it takes” strategija. Zbog nje, iPhone košta kao da je napravljen od zlata. Dobar iPhone ćete u Hrvatskoj platiti između jedne i dvije tisuće eura, što je za Hrvatski standard, jako puno.
S druge strane, pristojan Android uređaj možete naći za 200-300 eura, odnosno do 2000 kuna. Apple očito šalje jasnu poruku – “Ako niste dovoljno bogati, nećete dobiti sigurnost koju mi nudimo”.
No, ono što je najveća prijetnja iOS-u i Androidu su korisnici koji će “nasjesti” na spam, phishing i razne druge prevare. One mogu doći u obliku malvertisinga, SMS poruka i phishing emailova. Obje platforme su poduzele određene korake i pokušavaju zaštititi svoje korisnike, ali ne mogu zaštititi korisnike od njih samih.
iOS i Android mogu bolje
Teško je napisati da li je jedna platforma bolja od druge i koja je to. Iskreno mislimo da postoji ogromna razlika u pristupu mobilnoj sigurnosti. Obje kompanije – Apple i Google – imaju drugačije ciljeve i različite poslovne modele, a iz njih proizlaze određeni sigurnosni problemi. Ovisi iz kojeg kuta ih gledate.
Istina je da obje kompanije rade relativno dobar posao po pitanju sigurnosti. Pogotovo ako gledate iz njihove “poslovne” perspektive. Google mora održavati masivni eko sustav s preko milijardu korisnika i “boriti” se s hrpom softvera i hardvera, te programerima koji rade te aplikacije.
S druge strane, Apple ima kontrolu nad svojim hardverom i softverom, brine se o svojoj reputaciji, ima skupe uređaje koje treba isfinancirati i prodati u desecima milijuna primjeraka da bi im bili profitabilni, a sve je manje onih koji su spremni iskeširati toliko novaca za mobilni uređaj. Ali za te novce nude određenu sigurnost i telefon koji ćete bez problema koristiti naredne dvije, tri ili četiri godine.
Da ne ulazimo u to da Apple, unazad par godina, jako sporo prihvaća nove tehnologije i jako je oprezan što stavlja u nove telefone. Oba telefona imaju svoje prednosti i nedostatke, no teško ih je direktno uspoređivati. Na kraju ćete vi, kao korisnik, morati odvagnuti s “čime možete živjeti” i što želite platiti.
Piše: B.P.