¿Es seguro el sistema ios?

Los piratas informáticos tienen un conocimiento mucho más profundo de la seguridad de los teléfonos inteligentes que los usuarios normales de teléfonos móviles. El informe de Symantec realizó una vez un análisis en profundidad de los problemas inherentes a los sistemas Android e iOS y destacó:

“El entorno actual del sistema operativo para dispositivos de telefonía móvil es confuso e inseguro, y la mayoría de los teléfonos móviles tienen No hay controles de seguridad en la red corporativa cuando se conectan a la red corporativa. Muchos teléfonos móviles sincronizan datos con servicios en la nube de terceros que carecen de supervisión. Algunas personas conectan sus teléfonos móviles a computadoras públicas con seguridad desconocida y luego se conectan a la red corporativa.

No creas que no tiene nada que ver contigo cuando veas la palabra "empresa". De hecho, la seguridad de los teléfonos móviles es un problema al que se enfrentan todos los usuarios de teléfonos móviles.

Pillars

Primera cita de Nachenberg en el informe:

“El equipo de desarrollo ha tenido esto en cuenta al diseñar las últimas versiones de estos dos sistemas operativos móviles. Problemas de seguridad e intentar integrar la seguridad en el sistema operativo para reducir los ataques de seguridad desde el exterior”.

Nachenberg luego probó las precauciones de seguridad de Android e iOS en los siguientes aspectos:

· Control de acceso tradicional: las tecnologías de control de acceso tradicionales incluyen contraseñas y bloqueos de protección de pantalla.

· Control de acceso basado en permisos: El control de acceso basado en permisos añade capacidades de control de acceso a cada programa.

· Origen del programa: Cada programa tendrá un matasellos indicando el autor del programa, y ​​se utilizan firmas digitales para evitar que el programa sea modificado ilegalmente.

· Cifrado: cifra y oculta datos en dispositivos portátiles.

· Aislamiento: Las técnicas de aislamiento se utilizan para limitar la capacidad de una aplicación para acceder a datos o sistemas sensibles específicos.

Rendimiento de los sistemas operativos

El columnista de TechRepublic, Francis, primero comentará sobre el rendimiento de los sistemas operativos Android e iOS para cada pilar, y luego el autor resumirá basándose en el informe de Nachenberg.

Pilar uno: control de acceso tradicional

Francis: En términos de control de acceso tradicional, según mi experiencia, los sistemas iPhone o Android funcionan muy bien.

Sin embargo, si la marca de la huella digital en la pantalla táctil es demasiado clara, puede ayudar a los piratas informáticos a descifrar la contraseña del teléfono. En mi opinión, la mayoría de los desarrolladores de aplicaciones móviles no han agregado la función de bloquear la aplicación desbloqueando la pantalla a través del sistema operativo.

En Android, he utilizado App Protector Pro, un software desarrollado por Carrot App. Este software me permite agregar protección con contraseña adicional a cada programa, como Gmail, Exchange y Facebook. Con este programa, si pierdo mi teléfono y la otra parte descifra la contraseña de la pantalla de bloqueo, tendré algo de tiempo adicional para cambiar las contraseñas de las cuentas involucradas en estos programas.

Según mi memoria, no parece haber ningún software de seguridad similar en el iPhone. Sospecho que esto se debe a que iOS tiene un modelo de zona de pruebas más vinculante.

Kassner: Nachenberg cree que la función de control de acceso proporcionada por iOS puede desempeñar un papel de seguridad en caso de pérdida del teléfono. En este sentido, Nachenberg cree que la seguridad de los sistemas de escritorio iOS y Windows es similar.

En el informe, Nachenberg no fue tan educado con Android. Él cree que aunque el sistema Android también puede prevenir ataques ocasionales, el sistema Android no admite el almacenamiento cifrado de datos en la tarjeta SD. Por lo tanto, si roban el teléfono y los datos de la tarjeta SD se leen directamente a través de medios físicos, Android. La protección con contraseña es inútil.

Pilar 2: Control de acceso basado en permisos

Francis: Según mi experiencia, existen muy pocos mecanismos de permisos en iOS, muchos menos que en Android. El único mecanismo de permiso que definitivamente existe es que cuando un usuario accede a otros subsistemas protegidos, iOS le solicitará los recursos correspondientes y le pedirá su consentimiento.

Por el contrario, existen muchos mecanismos de permisos de este tipo en los sistemas Android.

Creo que esto es exitoso en teoría, pero en el mundo real un sistema de permisos de este tipo no funciona porque este permiso teóricamente depende de la comprensión de la tecnología por parte del usuario.

Actualmente, 4 de cada 5 piratas informáticos utilizan teléfonos Android. Los teléfonos Android se han convertido gradualmente en teléfonos inteligentes convencionales, pero los usuarios comunes no saben si se debe permitir la ejecución de un determinado programa, o no.

De hecho, creo que los usuarios no deberían asumir esta responsabilidad de juicio. Al igual que cuando voy a una clínica dental para que me empasen los dientes, no quiero que el médico me pida mi opinión sobre qué instrumento utilizar al realizar las operaciones necesarias. Después de todo, pago por los servicios y dependo de los recursos de la clínica y de la experiencia y habilidades del dentista.

Kassner: He oído a mucha gente hablar sobre los problemas del sistema de licencias en la plataforma iOS. Nachenberg detalló este tema en el informe:

“Hay cuatro tipos de recursos del sistema en el sistema iOS que deben ser confirmados por el permiso del usuario antes de que los programas puedan acceder a estos recursos. Otros recursos del sistema están permitiendo explícitamente a los usuarios. utilizar software para acceder, o prohibir explícitamente el acceso del usuario, es la estrategia de aislamiento incorporada de iOS. Cuando ocurren las siguientes situaciones, el programa puede realizar una solicitud de confirmación al usuario:

· El teléfono móvil. sistema de posicionamiento global Cuando se necesitan datos locales

· Al recibir mensajes de advertencia de notificación de Internet

· Al realizar llamadas salientes

· Al enviar mensajes de texto o. mensajes de correo electrónico

Si algún programa intenta utilizar las cuatro categorías de funciones anteriores, el usuario primero verá un mensaje de permiso. Después de que el usuario dé permiso, el programa puede implementar la función si el usuario lo permite. Sistema GPS o notificación Para las funciones del sistema de alerta, el programa tendrá permiso permanente para usar el sistema, y ​​para las funciones de realizar llamadas salientes o enviar mensajes de texto y correos electrónicos, el usuario deberá hacer clic para confirmar cada vez.

La plataforma Android utiliza un escenario completamente diferente. Se basa en el concepto de "todo o nada", y cito un pasaje del informe de Nachenberg para explicar este concepto:

"Internamente integrada en cada programa de Android hay una lista de permisos que le permiten Funciones del sistema necesarias para que el programa funcione correctamente. Esta lista se utilizará de una manera que los usuarios comunes de teléfonos móviles puedan comprender, y se le solicitará al usuario durante el proceso de instalación del software, y el usuario decidirá si continúa instalando el software. basado en los riesgos de seguridad del software.

Si el usuario aún elige instalar el software, el programa obtendrá acceso a los recursos del sistema correspondientes. tendrá completamente prohibida su ejecución "

Tercer pilar: Origen del programa

Francis: En los sistemas Android e iOS, el origen de la identidad y los mecanismos para determinar la autenticidad son obviamente diferentes. La gente nunca ha llegado a una conclusión sobre las ventajas y desventajas de estos dos mecanismos, pero actualmente hay más malware dirigido a sistemas Android que iOS.

No creo que el sistema Android de Google haya fallado en términos de seguridad, pero una serie de puntos débiles de seguridad hacen que el sistema Android sea más vulnerable a las amenazas a la seguridad. Para los piratas informáticos, no hay muchos obstáculos para desarrollar y distribuir malware en sistemas Android, especialmente cuando el software se clasifica como gratuito o gratuito, se propaga más rápido.

Google no tiene un mecanismo de revisión de solicitudes enviadas anteriormente. Los desarrolladores no están obligados a demostrar que son ellos quienes tienen la autoridad para desarrollar y modificar el programa. Tampoco existe una autorización de desarrollador centralizada. Actualmente existe una variedad de canales para publicar y distribuir software en sistemas Android, y la cantidad de canales aumenta constantemente. La mayor laguna en todo el proceso es que los piratas informáticos pueden obtener software de las tiendas de software sin esfuerzo, restaurarlo al código fuente mediante ingeniería inversa, modificarlo, agregar código malicioso, empaquetarlo y luego publicarlo como software normal.

Aunque el software de la aplicación del iPhone también puede ser manipulado a través de esta serie de trabajos, el lenguaje de programación del iPhone no es público. Este lenguaje de programación no público es mucho más difícil que el desmontaje del lenguaje Java de la plataforma de Google. .

Kassner: En este sentido, las opiniones de Nachenberg son consistentes con las de Francisco. iOS es mejor que Android en esta parte.

Cuarto Pilar: Cifrado

Francis: Una vez participé en un proyecto de software móvil multiplataforma, que tenía requisitos claros de protección de la privacidad y, al final, habría un equipo A independiente. de ingenieros externos revisan el código fuente.

Al comienzo de este proyecto, descubrí que los datos de configuración del usuario de iOS se cifrarán y almacenarán en una ubicación determinada de forma predeterminada, mientras que el sistema Android coloca los datos de configuración del usuario directamente en la ubicación del programa correspondiente.

Esto no significa que los datos confidenciales en Android no estén cifrados o que la tecnología de cifrado utilizada por Android sea inferior a la del iPhone. Esto simplemente significa que Android dejará una mayor parte del trabajo de cifrado a las propias aplicaciones, en lugar de hacerlo a través del sistema operativo. Esto tiene ventajas y desventajas.

Si es desarrollador de software en la plataforma Android, es posible que la seguridad de los datos de su software no sea tan buena como la del software en iOS. Pero si configura un método de cifrado especial para su software, la seguridad de los datos de su software puede ser mayor que la del sistema ISO, porque los piratas informáticos tienen que descifrar el algoritmo de cifrado del programa.

Pero como usuario de un teléfono móvil, no sabes si el software que descargas tiene un mecanismo de cifrado. Si el software no tiene un mecanismo de cifrado, dado que la mayoría de las aplicaciones de los usuarios están instaladas en la tarjeta SD y la tarjeta SD se puede quitar fácilmente (por ejemplo, insertarla en una computadora para transferir datos), no se puede garantizar su seguridad.

Kassner: Las opiniones de Francisco sobre la encriptación son consistentes con las de Nachenberg. Pero todavía quiero decir lo que pienso sobre estas dos plataformas.

En primer lugar, iOS utiliza un mecanismo de cifrado, pero este tiene limitaciones. Muchos programas que se ejecutan en segundo plano (incluso cuando el usuario no ha iniciado sesión) necesitan acceder a los datos almacenados. Para funcionar correctamente, iOS requiere una copia local de la clave no cifrada. Esto significa que para los teléfonos con jailbreak, los piratas informáticos no necesitan la contraseña del usuario para acceder a los datos almacenados.

Como dijo Francis, todas las versiones de Android, excepto la versión 3.0, no admiten datos cifrados. Esto significa que cualquier información en el teléfono puede ser explorada por jailbreak o cualquier persona con acceso administrativo.

Pilar Cinco: Aislamiento

Francis: Personalmente, creo que tanto los modelos de zona de pruebas de aislamiento de Apple como de Google son seguros y confiables. Comparado con los dos, el mecanismo de aislamiento del sistema Android es un poco más complejo, pero también más flexible. En comparación con el sistema iOS, Android realmente puede hacer frente al modo de trabajo multitarea.

Como desarrollador de aplicaciones móviles, puedo ver las ventajas de este mecanismo. Esto requiere que consideremos los problemas de seguridad durante el desarrollo del programa y durante todo el proceso de desarrollo. En el desarrollo del software del sistema de escritorio, los problemas de seguridad se pueden considerar en la etapa final.

Kassner: Nachenberg y Francis tienen la misma opinión. El mecanismo de aislamiento permite que diferentes programas funcionen por separado, sin afectar a otros programas en ejecución debido a que un programa sea explotado por piratas informáticos.

Debilidades de ambos

Estoy profundamente impresionado por el rendimiento de seguridad de las plataformas iOS y Android. Pero hay que decir que ambos todavía tienen "debilidades". Lo creas o no, yo lo creo de todos modos.

Nachenberg me mencionó una vez que sólo se han descubierto unas pocas vulnerabilidades graves en iOS, la mayoría de las cuales están relacionadas con la tecnología de jailbreak. Pero todavía no he oído hablar de ninguna intrusión de malware.

Android también tiene sólo unas pocas vulnerabilidades graves. Pero Nachenberg dijo que una de las vulnerabilidades podría permitir que un programa de terceros obtenga el control del teléfono. Y muchos piratas informáticos conocen esta vulnerabilidad, y uno de los malware se llama Android.Rootcager.

Android.Rootcager es un malware que avergüenza a Google. Nachenberg explicó: "Lo que es más interesante y controvertido es que la herramienta de reparación lanzada por Google para este malware también utiliza la misma vulnerabilidad del sistema para evitar el sistema de aislamiento de Android y eliminar el malware que representa una amenaza para el dispositivo. Sección de malware.

”

Resumen

Se puede resumir así: dos jugadores de peso pesado, dos filosofías de protección de seguridad diferentes. La tarea de este artículo es explicar las diferencias entre estos dos mecanismos de protección de seguridad.

p>