《安卓与iOS系统安全性大比拼.docx》由会员分享,可在线阅读,更多相关《安卓与iOS系统安全性大比拼.docx(10页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、安卓与iOS系统安全性大比拼安卓与iOS系统安全性大比拼2020-12-1619:38至顶网陈广成.关键字:IOS安卓系统安全性系统漏洞移动安全黑客们对于智能手机安全性的理解远比普通手机用户要深入的多。赛门铁克报告曾深化分析了安卓和iOS系统中存在的固有问题,并重点强调:“如今手机设备的操作系统大环境是杂乱的无安全性的,大部分手机在连接企业网络时并没有遭到企业网络的安全控制,很多手机与缺乏监管的第三方云服务进行数据同步,有些人则将手机与安全性未知的公用电脑相连,然后又与企业网络相连。不要看到企业这两个字就觉得跟本人没有关系,实际上手机安全问题是每个手机用户都在面对的问题。支柱首先引用Nache
2、nberg在报告中的一段话:“开发团队在这两款手机操作系统的最新版本设计时已经考虑到了安全问题,并试图将安全性融入操作系统,进而减少来自外部的安全攻击。接下来Nachenberg测试了安卓和iOS在下面几方面的安全防备情况:传统访问控制:传统的访问控制技术包括密码以及屏幕保护锁。基于许可的访问控制:基于许可的访问控制是为每个程序添加访问控制能力。程序起源:每一个程序都会拥有一个邮戳,表示该程序的作者,通过数字签名方式来防止程序被非法修改。加密:对便携设备上的数据进行加密隐藏。隔离:隔离技术用于限制应用程序访问特定敏感数据或系统的能力。操作系统的表现TechRepublic专栏作家Francis
3、首先会对安卓和iOS操作系统针对每个支柱的表现给出评论,然后作者根据Nachenberg的报告进行总结。支柱一:传统访问控制Francis:在传统访问控制方面,根据我的经历,iPhone或安卓系统都有很好的表现。不过,假如触摸屏上的指纹印记太明晰,可能会有助于黑客破解手机密码。在我看来,大部分手机程序开发人员没有为程序添加通过操作系统加锁解锁屏幕实现程序锁定的功能。在安卓系统上,我使用过一款由CarrotApp开发的软件AppProtectorPro。这个软件能够让我为每个程序添加额外的密码保护,如Gmail,Exchange,以及Facebook。有了这个程序,假如我的手机丢失,并且对方破解
4、了锁屏密码,那么我还能有额外的一些时间来修改这些程序所涉及的账号密码。根据我的记忆,好似在iPhone里没有类似的安全软件。我怀疑这是由于iOS有更具有约束力的沙箱模型。Kassner:Nachenberg以为iOS提供的访问控制功能能够在手机丢失后起到一定的安全防备作用。在这方面Nachenberg以为iOS与Windows桌面系统的安全性类似。报告中Nachenberg对于安卓系统就没那么客气了。他以为固然安卓系统也能干防止偶然发生的攻击,但是安卓系统不支持对SD卡中的数据进行加密存放,因而假如手机被盗,通过物理方式直接读取SD卡中的数据,就使得安卓的密码防备功能毫无用途了。支柱二:基于许
5、可的访问控制Francis:根据我的经历,iOS上的许可机制很少,比安卓系统上的许可机制少很多。而唯逐一个肯定存在的许可机制是当用户访问其它受保护的子系统时,iOS会提示用户需要相应的资源,并要求用户同意。相反,在安卓系统上这样的许可机制很多。我以为理论上这样做很成功,但是在现实世界中这样的许可系统起不到什么作用,由于这种许可理论上需要依靠于用户对于科技的了解。目前5个黑客里有4个都在使用安卓系统的手机,安卓手机也逐步成为了主流智能手机,但是一般用户并不清楚针对某个程序,到底是应该允许其运行,还是不允许。实际上我觉得用户也不该承当这种判定责任。就好似我去牙科诊所补牙,我可不希望医生在进行必要的
6、操作时,还征求我的意见该使用哪个仪器。毕竟我是付费享受服务的,我依靠于诊室的资源和牙医的经历技术。Kassner:我曾经听过很多人讲iOS平台中的许可系统问题。Nachenberg在报告中阐述了这个问题:“iOS系统中有四类系统资源是必须经过用户许可确认后,程序才能够访问这些资源的。而其它系统资源,要么是明确的允许用户使用软件访问,要么就是明确的禁止用户访问,这是iOS内置的隔离策略。而出现下面情况时,程序可能会向用户提出确认请求:手机的全球定位系统需要方位本地数据时接收到来自互联网的通知警告信息向外拨打电话时向外发送短信或电子邮件信息时假如有任何程序试图使用以上四类功能,那么用户首先会看到一
7、个许可提示,当用户许可后,该程序才能够施行该功能。假如用户允许了GPS系统或通知警告系统的功能,程序会被永久允许使用该系统。而对于向外拨打电话或发送短信和电邮的功能,则需要用户每次点击确认。而安卓平台使用的是完全不同的方案。它是基于“全部或没有的概念,我引用Nachenberg在报告中的一段话来解释这个概念:“每个安卓程序内部都集成了一个许可列表,记载了能够让该程序正常工作所需的系统功能。这个列表会采用普通手机用户能够看的懂的方式,在软件安装经过中提示用户,而用户会根据这个软件的安全风险来决定能否要继续安装该软件。假如用户仍然选择安装软件,那么程序将获得访问相应系统资源的权限。而假如用户放弃安
8、装软件,程序就完全被禁止运行了。安卓系统上没有所谓的中间地带。支柱三:程序起源Francis:在安卓和iSO系统中,身份起源和判定真实性的机制是明显不同的。人们对这两种机制的优劣一直都没有结论,但目前来看,针对安卓系统的恶意软件要多于iSO。我不以为Google的安卓系统在安全性上是失败的,但是一系列薄弱的安全点,使得安卓系统在面对安全威胁时显得更脆弱。对于黑客来讲,在安卓系统上开发和散步恶意软件没有太大的阻碍,尤其是将软件归为免费或分享时,传播速度更快。Google对于之前提交的应用程序没有审查机制。不需要开发者证实本人就是拥有该程序开发和修改权限的人。也没有集中化的开发者受权。目前有多种渠
9、道都能够发布和传播安卓系统上的软件,而且渠道数量还在不断增加。而整个经过中存在的最大漏洞就是,黑客能够毫不费力的获取软件店里的软件,通过逆向工程复原成源代码,经过修改参加恶意代码并打包后,再将其以正常软件的名义发布出来。固然iPhone的应用软件可以以通过这一系列工作进行篡改,但是iPhone的编程语言并不公开,这种非公开的编程语言比Google平台的Java语言反汇编要难的多。Kassner:在这方面,Nachenberg的观点和Francis是一致的。iOS在这部分做的比安卓系统强。支柱四:加密Francis:我曾经介入过一个跨平台的手机软件项目,该项目有明确的隐私保护要求,并且在最后还会
10、有一个独立的第三方工程师团队对源代码进行审核。在这个项目初期我就发现,iSO的用户设置数据默认状况下会被加密存储在某个位置,而安卓系统则是将用户设置数据直接放在相应的程序所在位置。这并不表示安卓系统上的敏感数据都没有被加密,或者安卓系统使用的加密技术不如iphone。这只是讲明安卓系统会把更多的加密工作留给应用程序本人,而不是通过操作系统来实现。这么做有好处也有缺乏。假如你是安卓平台上的软件开发者,那么你的软件数据安全性可能不如iSO上的软件。但是假如你本人为本人的软件设定了特殊的加密方式,那么你的软件数据安全性可能会高于iSO系统,由于黑客不得不破解程序的加密算法。但是作为手机用户,你并不知
11、道所下载的软件能否带有加密机制。而假如软件没有加密机制,那么由于大多数用户的应用程序都安装在SD卡上,而SD卡又是很容易被取出(比方插入电脑传输数据),因此其安全性无法得到保证。Kassner:在加密方面Francis的观点与Nachenberg一致。不过我还是要讲一下我对这两个平台的看法。首先,iOS使用了加密机制,但是这是有局限的。很多程序在后台运行(就算用户没有登录)需要访问存储数据。为了正常运行,iOS需要在本地复制一份非加密的密钥。这意味着对于越狱的手机,黑客不需要用户密码就能够访问存储数据。正如Francis所讲,所有版本的安卓,除了3.0版以外,都不支持加密数据。这意味着通过越狱
12、技术或者任何获得管理级访问权限的用户都能够阅读手机中的任何数据。支柱五:隔离Francis:我个人以为,不管是苹果还是Google的隔离沙箱模型都是安全可靠的。二者相比,安卓系统的隔离机制略微有些复杂,但也更具有灵敏性。与iOS系统相比,安卓能够真正应对多任务工作形式。作为手机程序开发人员,我能看到这种机制带来的优势。这使得我们在程序开发经过中就要考虑到安全问题,并且一直贯穿整个开发经过,而桌面系统软件的开发,能够在最后环节再考虑安全性问题。Kassner:Nachenberg和Francis的观点又是一致的。隔离机制能够让不同的程序分开工作,不会由于某个程序被黑客利用而影响到其它正在运行的程
13、序。两者的弱点对于iOS和安卓平台的安全性能,我有深入的印象。但是不得不讲二者都还存在“弱点。不管你能否相信,反正我是信了。Nachenberg曾跟我提到,iOS目前只发现了几个严重的漏洞,其中大部分都是与越狱技术有关。不过还没听讲恶意软件入侵事件。安卓系统同样只要很少几个严重的漏洞。但是Nachenberg表示其中一个漏洞能够让第三方程序获得手机的控制权。而且这个漏洞已经被很多黑客知晓了,其中一个恶意软件名为Android.Rootcager。Android.Rootcager是一个让Google难堪的恶意软件。Nachenberg解释讲:“更有趣也更具争议的是,Google针对该恶意软件推出的修复工具也是利用一样的系统漏洞来绕过安卓的隔离系统,删除对设备造成威胁的恶意软件部分。总结能够这样总结:两个重量级选手,两种不同的安全防护哲学,本文的任务就是阐述这两种安全防护机制的差异。原文出自【比特网】,转载请保留原文链接:2022/6bffff112f60ddccda38a0e4hykbtnc2pur./185/12224185. s