Почему Android может быть безопаснее iOS. Объясняет русский Хакер

|
FavoriteLoading В закладки
Почему Android может быть безопаснее iOS. Объясняет русский Хакер

Известно, что iPhone сложнее взломать, чем среднестатистический смартфон на Android. Поэтому принято считать, что iOS автоматически защищена лучше, чем операционная система Google. На самом деле, все с точностью наоборот.

Предыстория: iOS – один, а Android – великое множество

Нет, никто не сошел с ума. Но один из авторов «Хакера», Евгений Зобнин, попробовал составить численную статистику и разобраться с известными уязвимостями. По-русски: сначала посчитал все «дырки» в системах, которые позволяют получить доступ к данным пользователя. А потом выкинул из них все те, которые не относятся к Android.

Как не относятся к Android? Почему iOS – дырявое ведро, ведь доказано обратное? Все оказывается очень просто. Когда мы говорим «iPhone», мы подразумеваем целую экосистему, включающую сам смартфон, операционную систему, сервера Apple и команды разработчиков. Когда мы говорим «смартфон на Android», мы тоже представляем себе целую цепочку. Команда Apple одна. Оболочка – тоже одна. Проблемы тоже распространяются на все устройства. Как и отсутствие «дырок в системе».

С Android все хуже. Каждая мало-мальски «серьезная» компания не только адаптирует общедоступные драйвера, но и калечит операционную систему: вносит дополнительные функции, собственные оболочки, дорабатывает системные приложения и добавляет кучу программного мусора. Поэтому таких цепочек, какие мы представляем при слове «iPhone» – великое множество. Конечно, не отдельная для каждой модели смартфона, и даже не отдельная для каждой компании. Но как минимум своя собственная у каждого крупного бренда.

А еще смартфоны под управлением Android используют процессоры 2 крупных разработчиков (если рассматривать планшеты – все еще 3): MediaTek и Qualcomm. Каждая из компаний, производящих процессоры (точнее, однокристальные платформы, SoC), выпускает собственные драйвера. Аналогично – производители модулей в составе смартфона.

У Apple – 1 команда разработки и доработки. У Android их огромное число. Проблемы вносит и исправляет каждая, часто отдельно от других.

Рут и джейлбрейк: два названия одной проблемы


Как поясняет Евгений, для анализа статистики уязвимостей каждой из мобильных операционных систем стоит рассмотреть джейлбрейк – получение прав рут. Сколько требуется времени, чтобы получить рут на iPhone? В зависимости от версии:

  • iOS 6.0 — взломана в тот же день;
  • iOS 7.0 — взломана спустя 95 дней;
  • iOS 7.1 — взломана спустя 25 дней;
  • iOS 8.0 — взломана спустя 35 дней;
  • iOS 8.1.1 — взломана спустя 12 дней;
  • iOS 9.0 — взломана спустя 28 дней;
  • iOS 9.1 — взломана спустя 142 дня;
  • iOS 10 — взломана спустя 106 дней.

Для Android все несколько хуже. У MediaTek системный загрузчик фактически не защищен: любой пользователь или зловредная программа, установленная пользователем (и получившая при установке от него необходимые права) могут получит рут и полный контроль над операционной системой в несколько касаний. У операционных систем для аппаратов на базе процессоров Qualcomm для этого требуется немного больше времени и сил.

Впрочем, есть смартфоны, у которых разблокировать загрузчик легально нельзя. У Xiaomi, например, для этого необходимо сначала получить разрешение у компании. И только потом приступить к сложной замене фирменного защищенного загрузчика взломанным. Уже он даст доступ к системе.

Защита Android зависит от разработчика смартфона, а не операционной системы.

Статистика: когда числа врут


Если рассмотреть общую статистику уязвимостей операционных систем, благодаря которым злоумышленник (человек или программа) может получить доступ к данным или аппаратным ресурсам смартфона, iOS намного надежнее:

  • Android — 1308 уязвимостей.
  • iOS — 1275 уязвимостей.

Но если детально рассмотреть эти цифры, все становится неоднозначно. Например, среди последних уязвимостей Android как минимум 2 – вина не операционной системы, а разработчика драйверов для USB и Wi-Fi (Qualcomm). Встречаются и ошибки непрофессиональных разработчиков китайских устройств – таких команд великое множество, и но фоне 10 смартфонов крупных брендов ошибки в программном обеспечении 100 свежих моделей «китайцев» мгновенно портят статистику.

Получается, что проблемы можно разделить на 2 категории: «дыры» в системе и ошибки в драйверах сторонних разработчиков. Евгений рассмотрел выборку из репрезентативную (правильную) 100 последних известных проблем. Для Android:

  • 29 — драйверы Qualcomm;
  • 28 — уязвимости Android;
  • 20 — ядро CAF, развиваемое Qualcomm;
  • 9 — драйверы Mediatek;
  • 7 — драйверы Broadcom;
  • 4 — уязвимости в прошивках производителей;
  • 3 — драйверы Nvidia;

И iOS:

  • 99 — уязвимости iOS;
  • 1 — драйвер Qualcomm.

Разработчики iOS в 3,5 раза чаще разработчиков Android допускают критические ошибки, приводящие к возможности заражения или потере данных.

Почему же iPhone лучше защищен, чем безымянный Android Васи?


Не смотря на статистику, баги iOS быстро исправляются. Апдейты системы получают все пользователи актуальных версий смартфонов, без исключения. У Android-смартфонов печальнее: только некоторые бренды уделяют должное внимание своевременному обновлению своих прошивок.

Самое неприятное, что крупные компании «забывают» обновлять свои устройства даже чаще, чем «китайцы». Еще на памяти ситуация с LG и Sony, отказывавшим в обновлении устройствам моложе года.

Могу ошибаться, но стабильные обновления выпускает только Google (включая партнерские смартфоны проекта Android One), Samsung, OnePlus и Xiaomi. Причем последняя «штопает дыры» еженедельно, даже не спрашивая покупателя – нужно ли.

Ошибки в Android могут распространяться с устаревшей системой 2-3 года. Ошибки в iOS просто исчезают после выпуска новой версии. Если бы не это, покупатели смартфонов Apple были бы жутко разочарованы – компания допускает очень много критических ошибок.

Хочу защищенный смартфон. Что выбрать?


Cамая надежная защита – купить смартфон бренда, уделяющего достаточное внимание обновлениям операционной системы.

  • Лучше всего – Google Nexus, Pixel или смартфон проекта Android One. Все они работают под управлением чистого Android, обладают наименьшим числом программных багов и получают обновления системы в течении 3 лет.
  • Среди остальных брендов доверие вызывают Samsung, Xiaomi, OnePlus. Xiaomi критические апдейты и свежие версии ОС для всего модельного ряда, не забывая даже свой первый массовый смартфон.
  • Если ни один из вариантов невозможен, нужно выбирать смартфон, для которого существует официальная версия LineageOS. Она обновляется на всех поддерживаемых устройствах и спасет в том случае, если производитель «забьет».
  • Купить iPhone. Какие бы проблемы не нашлись – Apple закроет дыры для злоумышленников в течении 2 недель.

Поставьте оценку:

1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (Нет голосов)
Оставайся в теме. Подпишись на наш Telegram 👏
... и не забывай читать наш Facebook и Twitter 🍒
FavoriteLoading В закладки
undefined
iPhones.ru
Мы в шоке – вы тоже удивитесь: спор между Apple и Google решен не в пользу Купертино. Но правильный смартфон нужно выбирать с умом.
Прокомментировать

🙈 Комментарии 41

  1. kozz avatar
    kozz4 октябрь 2017
    24

    Статья ни о чём. Какой-то нелогичный бред.

    Николай Маслов avatar
    Николай Маслов4 октябрь 2017
    0

    @kozz, у всех – свои умственные способности. Увы, видимо слова “статистика” и “безопасность” для вас далеки.

    somebodythatiusedtoknow avatar
    somebodythatiusedtoknow5 октябрь 2017
    0

    @Николай Маслов, анализ полученной информации и представление её публике, точно не ваше, а вот с безопасностью вы точно незнакомы от слова совсем.

  2. BUR62 avatar
    BUR624 октябрь 2017
    17

    Бред. Начал за здравие, а кончил за упокой.
    Ключевой – последний абзац

    Николай Маслов avatar
    Николай Маслов4 октябрь 2017
    1

    @BUR62, ну, а если я вертел этот ваш iPhone, поскольку пользуюсь экосистемой Google?)))

  3. Artemboroda avatar
    Artemboroda4 октябрь 2017
    10

    Афтар идиото!

    Николай Маслов avatar
    Николай Маслов4 октябрь 2017
    0

    @Artemboroda, какой из 2х авторов? Виталий из команды Хакер.ру?

    Artemboroda avatar
    Artemboroda4 октябрь 2017
    3

    @Николай Маслов, либо гонишь!

  4. Lannister avatar
    Lannister4 октябрь 2017
    1

    Все оно безопасное если пользователь не иванушка-дурачек

    Николай Маслов avatar
    Николай Маслов4 октябрь 2017
    0

    @Lannister, беда-беда. Даже люди, близкие к технике, чаще всего показывают себя идиотами. Иначе необходимость установки кривых прошивок от неизвестных людей вряд ли понадобится. Да и установка приложений с кривым переводом и минимальным рейтингом.

  5. Entze avatar
    Entze4 октябрь 2017
    1

    Виталий серьезный и уважаемый специалист и глубоко в теме.
    По факту всё так – количество уязвимостей ios больше, но в ios они закрываются достаточно быстро.
    В Анроид же более-менее стало к 7 версии, но не для всех и не сразу.
    К списку аппаратов с регулярным (ежемесячным) обновлением модно добавить Нокию и идущий на российский рынок Орро.

    picatchy4 октябрь 2017
    2

    @Entze, количество найденных уязвимостей ни о чем не говорит. В частности не говорит об общем их количестве. На ИОС обращают более пристальное внимание, уязвимости ИОС можно продать очень дорого. Сами разработчики могут более тщательно тестировать код и находить больше уязвимостей. Так что оригинальная статья – непрофессиональный бред.

    galan avatar
    galan4 октябрь 2017
    1

    @picatchy, с другой стороны устройств с андроидом в несколько раз больше, чем с иос, а значит уязвимости с большей вероятностью будут обнаруживаться – а так же больше выгоды от поиска уязвимостей в нехороших целях.

    Так что всё это гадание на гуще. Есть статистика. А есть пустой трёп.

    red2121 avatar
    red21215 октябрь 2017
    1

    @galan, да их особо не кто не ищет, так как старые не закрыты

    Николай Маслов avatar
    Николай Маслов4 октябрь 2017
    0

    @Entze, пока не стал бы связываться с OPPO. Появятся официальные, нормальные, отработанные прошивки – тогда да. Если нет страха перед morelocal.

  6. DarkGothicLady avatar
    DarkGothicLady4 октябрь 2017
    11

    Да мне все равно на Android, мне iOS нравится, даже 11, покрайней мере, меня IPhone не разу ещё не подвёл. А Android всегда раздражал.

  7. alkrv4 октябрь 2017
    5

    Пипец, как познавательно )))) Главное в статье – это ключевая фраза в названии ‘русский хакер’. )))

    kozz avatar
    kozz4 октябрь 2017
    3

    @alkrv, iphones.ru теперь обвинят во вмешательстве в амеровские ыборы))))

    Николай Маслов avatar
    Николай Маслов4 октябрь 2017
    0

    @alkrv, русский Хакер. Все же, название журнала принято писать с большой буквы.

  8. ya ne robot avatar
    ya ne robot4 октябрь 2017
    0

    Сама статья находится, с человеческим а не перевернутым описанием, на сайте хакер.

  9. Pavel Lebedev4 октябрь 2017
    0

    так и вижу как аппле постоянно штопает свои дыры! сначала 11, потом 11.0.1, затем 11.0.2

    AlexanderZ avatar
    AlexanderZ4 октябрь 2017
    1

    @Pavel Lebedev, хорошо, что штопают, пусть даже и не все, что мы бы хотели. Но процесс идёт.

    Pavel Lebedev5 октябрь 2017
    0

    @AlexanderZ, а как же тогда быть с теми, кто кричит на каждом углу о совершенности иос, её “удобстве”, оптимизации?

    red2121 avatar
    red21215 октябрь 2017
    0

    @Pavel Lebedev, зато на “мусорном бачке” их не штопают :)

    Pavel Lebedev5 октябрь 2017
    0

    @red2121, видимо оттого, что там дыр нет столько! кстати Сони как раз выпустило апдейт по безопасности.

    red2121 avatar
    red21216 октябрь 2017
    0

    @Pavel Lebedev, потому что им глубоко фиолетово. старый сони лежит дырявый как решето, за то 5 яблофон уже все пофиксили

  10. triller avatar
    triller4 октябрь 2017
    7

    Не понял о чем статья, г-на больше на андроид, но он безопасней, где логика)
    Товарищ забыл, что джейла уже почти год как нет, и то что отдельно надо было взламывать каждую версию)
    Ну и самое главное, даже отсутствие рута не спасет от какой-нить гадости, т.к. её банально можно словить напрямую из родного магазина.

    Николай Маслов avatar
    Николай Маслов4 октябрь 2017
    0

    @triller, где же его больше? Вчитайтесь, пожалуйста: 28 дыр в Android против 98 в iOS. Джейл – да бог с ним, рут то остался.

    Если я правильно себе все представляю, родной магазин – угроза для любой операционной системы. Прецеденты были во всех случаях.

    triller avatar
    triller5 октябрь 2017
    0

    @Николай Маслов, а вам ен кажется, что разделять по вине кого произошел сбой безопасности пользователю мало интересно?)
    Опять слишком некоректное сравнение на моей памяти зараженное приложение в appstore попалось только один раз. В гугл плей, таких случаев гораздо больше, а т.к. софт там не проходит проверки, то сколько его там сейчас не знает никто.

    Николай Маслов avatar
    Николай Маслов5 октябрь 2017
    0

    @triller, мне в Google Play вообще ни разу не попадался троян. Правда, я уже 10 лет не использую антивирус, и не страдаю.

    Пользователю все равно. Но тогда зачем ему читать эту статью?))

  11. MikeVV avatar
    MikeVV4 октябрь 2017
    3

    самая большая дыра в безопасности любой системы – это пользователь.

  12. Czochralski avatar
    Czochralski4 октябрь 2017
    7

    Какой некачественный поток сознания… Ужас.
    И в это время на iOS онлайн банкинг например Сбербанка работает (просто работает), а на Андроиде – только через работающий одновременно антивирус и то не на всех версиях…

    Николай Маслов avatar
    Николай Маслов4 октябрь 2017
    0

    @Czochralski, ну, это вы зря. У меня на данный момент на столе – 7 смартфонов на Android. Сбер работает на всех. Конечно, если система не испорчена предварительно.

  13. lohmatij avatar
    lohmatij4 октябрь 2017
    0

    @lohmatij, как минимум надо было взять ошибки в обеих системах найденные за одинаковый промежуток времени, скажем 100 дней.

  14. ilya01034 октябрь 2017
    0

    Ну сейчас, когда у всех телефонов заблокированы загрузчики, безопасность на высоте, данные получить невозможно из заблокированного телефона

    triller avatar
    triller4 октябрь 2017
    5

    @ilya0103, только забываете одно. Что контроля за тем что добавляется в родной магазин у гугла практически нет, так что червяка можно получить с банальным апдейтом любимой программы.

    Entze avatar
    Entze4 октябрь 2017
    1

    @triller, червяка можно получить по MMS, в МР3 файле, а возможно просто с включённым BTили Wi-Fi.

    triller avatar
    triller5 октябрь 2017
    0

    @Entze, только вот на айфоне запустить его не получится. А приложение из доверенного источника запустить можно запросто

  15. SMS77 avatar
    SMS774 октябрь 2017
    2

    И как интересно этот хакер забыл про кучу банковский троянов под Android, которые перехватывают СМС и уже успешно увели очень много денег? Для IOS такого еще не придумали и это наглядно показывает где реальная эксплуатация уязвимостей, а где мелкие и быстро закрытые уязвимости.

    vgurin avatar
    vgurin4 октябрь 2017
    2

    @SMS77, товарищу хакеру доход приносит андроид, чем больше андроида тем больше денег. Все логично

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь