Известно, что iPhone сложнее взломать, чем среднестатистический смартфон на Android. Поэтому принято считать, что iOS автоматически защищена лучше, чем операционная система Google. На самом деле, все с точностью наоборот.
Предыстория: iOS – один, а Android – великое множество
Нет, никто не сошел с ума. Но один из авторов «Хакера», Евгений Зобнин, попробовал составить численную статистику и разобраться с известными уязвимостями. По-русски: сначала посчитал все «дырки» в системах, которые позволяют получить доступ к данным пользователя. А потом выкинул из них все те, которые не относятся к Android.
Как не относятся к Android? Почему iOS – дырявое ведро, ведь доказано обратное? Все оказывается очень просто. Когда мы говорим «iPhone», мы подразумеваем целую экосистему, включающую сам смартфон, операционную систему, сервера Apple и команды разработчиков. Когда мы говорим «смартфон на Android», мы тоже представляем себе целую цепочку. Команда Apple одна. Оболочка – тоже одна. Проблемы тоже распространяются на все устройства. Как и отсутствие «дырок в системе».
С Android все хуже. Каждая мало-мальски «серьезная» компания не только адаптирует общедоступные драйвера, но и калечит операционную систему: вносит дополнительные функции, собственные оболочки, дорабатывает системные приложения и добавляет кучу программного мусора. Поэтому таких цепочек, какие мы представляем при слове «iPhone» – великое множество. Конечно, не отдельная для каждой модели смартфона, и даже не отдельная для каждой компании. Но как минимум своя собственная у каждого крупного бренда.
А еще смартфоны под управлением Android используют процессоры 2 крупных разработчиков (если рассматривать планшеты – все еще 3): MediaTek и Qualcomm. Каждая из компаний, производящих процессоры (точнее, однокристальные платформы, SoC), выпускает собственные драйвера. Аналогично – производители модулей в составе смартфона.
У Apple – 1 команда разработки и доработки. У Android их огромное число. Проблемы вносит и исправляет каждая, часто отдельно от других.
Рут и джейлбрейк: два названия одной проблемы
Как поясняет Евгений, для анализа статистики уязвимостей каждой из мобильных операционных систем стоит рассмотреть джейлбрейк – получение прав рут. Сколько требуется времени, чтобы получить рут на iPhone? В зависимости от версии:
- iOS 6.0 — взломана в тот же день;
- iOS 7.0 — взломана спустя 95 дней;
- iOS 7.1 — взломана спустя 25 дней;
- iOS 8.0 — взломана спустя 35 дней;
- iOS 8.1.1 — взломана спустя 12 дней;
- iOS 9.0 — взломана спустя 28 дней;
- iOS 9.1 — взломана спустя 142 дня;
- iOS 10 — взломана спустя 106 дней.
Для Android все несколько хуже. У MediaTek системный загрузчик фактически не защищен: любой пользователь или зловредная программа, установленная пользователем (и получившая при установке от него необходимые права) могут получит рут и полный контроль над операционной системой в несколько касаний. У операционных систем для аппаратов на базе процессоров Qualcomm для этого требуется немного больше времени и сил.
Впрочем, есть смартфоны, у которых разблокировать загрузчик легально нельзя. У Xiaomi, например, для этого необходимо сначала получить разрешение у компании. И только потом приступить к сложной замене фирменного защищенного загрузчика взломанным. Уже он даст доступ к системе.
Защита Android зависит от разработчика смартфона, а не операционной системы.
Статистика: когда числа врут
Если рассмотреть общую статистику уязвимостей операционных систем, благодаря которым злоумышленник (человек или программа) может получить доступ к данным или аппаратным ресурсам смартфона, iOS намного надежнее:
- Android — 1308 уязвимостей.
- iOS — 1275 уязвимостей.
Но если детально рассмотреть эти цифры, все становится неоднозначно. Например, среди последних уязвимостей Android как минимум 2 – вина не операционной системы, а разработчика драйверов для USB и Wi-Fi (Qualcomm). Встречаются и ошибки непрофессиональных разработчиков китайских устройств – таких команд великое множество, и но фоне 10 смартфонов крупных брендов ошибки в программном обеспечении 100 свежих моделей «китайцев» мгновенно портят статистику.
Получается, что проблемы можно разделить на 2 категории: «дыры» в системе и ошибки в драйверах сторонних разработчиков. Евгений рассмотрел выборку из репрезентативную (правильную) 100 последних известных проблем. Для Android:
- 29 — драйверы Qualcomm;
- 28 — уязвимости Android;
- 20 — ядро CAF, развиваемое Qualcomm;
- 9 — драйверы Mediatek;
- 7 — драйверы Broadcom;
- 4 — уязвимости в прошивках производителей;
- 3 — драйверы Nvidia;
И iOS:
- 99 — уязвимости iOS;
- 1 — драйвер Qualcomm.
Разработчики iOS в 3,5 раза чаще разработчиков Android допускают критические ошибки, приводящие к возможности заражения или потере данных.
Почему же iPhone лучше защищен, чем безымянный Android Васи?
Не смотря на статистику, баги iOS быстро исправляются. Апдейты системы получают все пользователи актуальных версий смартфонов, без исключения. У Android-смартфонов печальнее: только некоторые бренды уделяют должное внимание своевременному обновлению своих прошивок.
Самое неприятное, что крупные компании «забывают» обновлять свои устройства даже чаще, чем «китайцы». Еще на памяти ситуация с LG и Sony, отказывавшим в обновлении устройствам моложе года.
Могу ошибаться, но стабильные обновления выпускает только Google (включая партнерские смартфоны проекта Android One), Samsung, OnePlus и Xiaomi. Причем последняя «штопает дыры» еженедельно, даже не спрашивая покупателя – нужно ли.
Ошибки в Android могут распространяться с устаревшей системой 2-3 года. Ошибки в iOS просто исчезают после выпуска новой версии. Если бы не это, покупатели смартфонов Apple были бы жутко разочарованы – компания допускает очень много критических ошибок.
Хочу защищенный смартфон. Что выбрать?
Cамая надежная защита – купить смартфон бренда, уделяющего достаточное внимание обновлениям операционной системы.
- Лучше всего – Google Nexus, Pixel или смартфон проекта Android One. Все они работают под управлением чистого Android, обладают наименьшим числом программных багов и получают обновления системы в течении 3 лет.
- Среди остальных брендов доверие вызывают Samsung, Xiaomi, OnePlus. Xiaomi критические апдейты и свежие версии ОС для всего модельного ряда, не забывая даже свой первый массовый смартфон.
- Если ни один из вариантов невозможен, нужно выбирать смартфон, для которого существует официальная версия LineageOS. Она обновляется на всех поддерживаемых устройствах и спасет в том случае, если производитель «забьет».
- Купить iPhone. Какие бы проблемы не нашлись – Apple закроет дыры для злоумышленников в течении 2 недель.
41 комментариев
Форум →Статья ни о чём. Какой-то нелогичный бред.
@kozz, у всех – свои умственные способности. Увы, видимо слова “статистика” и “безопасность” для вас далеки.
@Николай Маслов, анализ полученной информации и представление её публике, точно не ваше, а вот с безопасностью вы точно незнакомы от слова совсем.
Бред. Начал за здравие, а кончил за упокой.
Ключевой – последний абзац
@BUR62, ну, а если я вертел этот ваш iPhone, поскольку пользуюсь экосистемой Google?)))
Афтар идиото!
@Artemboroda, какой из 2х авторов? Виталий из команды Хакер.ру?
@Николай Маслов, либо гонишь!
Все оно безопасное если пользователь не иванушка-дурачек
@Lannister, беда-беда. Даже люди, близкие к технике, чаще всего показывают себя идиотами. Иначе необходимость установки кривых прошивок от неизвестных людей вряд ли понадобится. Да и установка приложений с кривым переводом и минимальным рейтингом.
Виталий серьезный и уважаемый специалист и глубоко в теме.
По факту всё так – количество уязвимостей ios больше, но в ios они закрываются достаточно быстро.
В Анроид же более-менее стало к 7 версии, но не для всех и не сразу.
К списку аппаратов с регулярным (ежемесячным) обновлением модно добавить Нокию и идущий на российский рынок Орро.
@Entze, количество найденных уязвимостей ни о чем не говорит. В частности не говорит об общем их количестве. На ИОС обращают более пристальное внимание, уязвимости ИОС можно продать очень дорого. Сами разработчики могут более тщательно тестировать код и находить больше уязвимостей. Так что оригинальная статья – непрофессиональный бред.
@picatchy, с другой стороны устройств с андроидом в несколько раз больше, чем с иос, а значит уязвимости с большей вероятностью будут обнаруживаться – а так же больше выгоды от поиска уязвимостей в нехороших целях.
Так что всё это гадание на гуще. Есть статистика. А есть пустой трёп.
@galan, да их особо не кто не ищет, так как старые не закрыты
@Entze, пока не стал бы связываться с OPPO. Появятся официальные, нормальные, отработанные прошивки – тогда да. Если нет страха перед morelocal.
Да мне все равно на Android, мне iOS нравится, даже 11, покрайней мере, меня IPhone не разу ещё не подвёл. А Android всегда раздражал.
Пипец, как познавательно )))) Главное в статье – это ключевая фраза в названии ‘русский хакер’. )))
@alkrv, iphones.ru теперь обвинят во вмешательстве в амеровские ыборы))))
@alkrv, русский Хакер. Все же, название журнала принято писать с большой буквы.
Сама статья находится, с человеческим а не перевернутым описанием, на сайте хакер.
так и вижу как аппле постоянно штопает свои дыры! сначала 11, потом 11.0.1, затем 11.0.2
@Pavel Lebedev, хорошо, что штопают, пусть даже и не все, что мы бы хотели. Но процесс идёт.
@AlexanderZ, а как же тогда быть с теми, кто кричит на каждом углу о совершенности иос, её “удобстве”, оптимизации?
@Pavel Lebedev, зато на “мусорном бачке” их не штопают :)
@red2121, видимо оттого, что там дыр нет столько! кстати Сони как раз выпустило апдейт по безопасности.
@Pavel Lebedev, потому что им глубоко фиолетово. старый сони лежит дырявый как решето, за то 5 яблофон уже все пофиксили
Не понял о чем статья, г-на больше на андроид, но он безопасней, где логика)
Товарищ забыл, что джейла уже почти год как нет, и то что отдельно надо было взламывать каждую версию)
Ну и самое главное, даже отсутствие рута не спасет от какой-нить гадости, т.к. её банально можно словить напрямую из родного магазина.
@triller, где же его больше? Вчитайтесь, пожалуйста: 28 дыр в Android против 98 в iOS. Джейл – да бог с ним, рут то остался.
Если я правильно себе все представляю, родной магазин – угроза для любой операционной системы. Прецеденты были во всех случаях.
@Николай Маслов, а вам ен кажется, что разделять по вине кого произошел сбой безопасности пользователю мало интересно?)
Опять слишком некоректное сравнение на моей памяти зараженное приложение в appstore попалось только один раз. В гугл плей, таких случаев гораздо больше, а т.к. софт там не проходит проверки, то сколько его там сейчас не знает никто.
@triller, мне в Google Play вообще ни разу не попадался троян. Правда, я уже 10 лет не использую антивирус, и не страдаю.
Пользователю все равно. Но тогда зачем ему читать эту статью?))
самая большая дыра в безопасности любой системы – это пользователь.
Какой некачественный поток сознания… Ужас.
И в это время на iOS онлайн банкинг например Сбербанка работает (просто работает), а на Андроиде – только через работающий одновременно антивирус и то не на всех версиях…
@Czochralski, ну, это вы зря. У меня на данный момент на столе – 7 смартфонов на Android. Сбер работает на всех. Конечно, если система не испорчена предварительно.
@lohmatij, как минимум надо было взять ошибки в обеих системах найденные за одинаковый промежуток времени, скажем 100 дней.
Ну сейчас, когда у всех телефонов заблокированы загрузчики, безопасность на высоте, данные получить невозможно из заблокированного телефона
@ilya0103, только забываете одно. Что контроля за тем что добавляется в родной магазин у гугла практически нет, так что червяка можно получить с банальным апдейтом любимой программы.
@triller, червяка можно получить по MMS, в МР3 файле, а возможно просто с включённым BTили Wi-Fi.
@Entze, только вот на айфоне запустить его не получится. А приложение из доверенного источника запустить можно запросто
И как интересно этот хакер забыл про кучу банковский троянов под Android, которые перехватывают СМС и уже успешно увели очень много денег? Для IOS такого еще не придумали и это наглядно показывает где реальная эксплуатация уязвимостей, а где мелкие и быстро закрытые уязвимости.
@SMS77, товарищу хакеру доход приносит андроид, чем больше андроида тем больше денег. Все логично
@SMS77, ошибаетесь. https://www.google.ru/search?q=%D0%B1%D0%B0%D0%BD%D0%BA%D0%BE%D0%B2%D1%81%D0%BA%D0%B8%D0%B5+%D1%82%D1%80%D0%BE%D1%8F%D0%BD%D1%8B+ios&oq=%D0%B1%D0%B0%D0%BD%D0%BA%D0%BE%D0%B2%D1%81%D0%BA%D0%B8%D0%B5+%D1%82%D1%80%D0%BE%D1%8F%D0%BD%D1%8B+ios&aqs=chrome..69i57.7504j0j7&sourceid=chrome&ie=UTF-8
Нашли орфографическую ошибку в новости?
Выделите ее мышью и нажмите Ctrl+Enter.Как перестать получать публичные бета-версии iOS и macOS?
Как в Safari на macOS отключить уведомления от сайтов и веб-приложений
Как отвязать iPhone от оператора?
Как менять циферблаты Apple Watch автоматически по времени суток
Как сохранить все скидочные и бонусные карты в iPhone
Как отключить всплывающие аннотации в приложении YouTube на iPhone?
Как переключать профили пользователей в Apple TV
Горячие клавиши iOS для беспроводной клавиатуры