在WP(Windows Phone)销声匿迹之后,如今的智能手机已经完全形成了iOS和Android两大阵营,关于这两个系统的对比评价的说法非常多。

iOS和Android系统各有优劣,喜欢哪个全凭自己,但是在安全性方面有一个普遍的共识是:iOS比Android要更加的安全可靠。真的是这样吗?

想像一下:如今的手机比20年前的超级电脑都要强大10倍,其安装的软件由数千万条代码写就而成,背后的开发者达到了百万人级别,而这些开发者中就不乏黑客的存在。因此,想要找出手机中的漏洞对强悍的黑客来说根本不是问题。



iOS和Android的漏洞对比

iOS和Android都具有旨在进一步保护企业级应用程序安全级别的功能,使其在安全级别上超越普通的消费者所使用的应用程序。iOS和Android操作系统都提供了一种从用户配置文件数据中分割企业数据的方法,实际上,这种把企业数据单独集中管理的思想,就是要创建一个安全的空间来专门安装企业的应用程序和存储企业的数据。此外,可以使用诸如数据加密、特定的VPN通道以及某种形式的直接启动模式来保证企业的数据在iOS和Android操作系统上的传输安全。而这些功能是不会在一般的通用移动设备上使用的,而是专门针对于特定的企业应用程序,具体的这些功能可在Android和iOS网页查到详细的介绍。

因为iOS是一个封闭的系统,苹果对其管控得非常严格,而Android完全是一个开放的生态,厂商可以对其进行修改,运行在它上面的APP并不需要经过特别的审核。在这种情况下,Android不可避免的存在很多漏洞,更有可能受到病毒的袭击,iOS则会安全一些,这是我们一贯以来的印象。事实真是这样吗?

过去一年,这两个操作系统都被发现有相当严重的安全漏洞。虽然iOS比Android少一些,但两者都容易受到恶意软件的攻击。由于都安装了第三方应用程序,这两个系统上的应用程序都容易受到潜在危险的安全漏洞的影响。

其实,每个操作系统都有自己所对应的安全问题。例如,Android有Stagefright漏洞问题,同样在类似的漏洞在iOS也存在着,允许应用程序直接执行标准库代码,绕过安全限制。虽然目前,两个操作系统在最新版本都对该漏洞进行了修复,但这并不意味着类似的漏洞就完全得到了根治。以下是通过CVE所查询的Android漏洞和iOS漏洞的列表。截至2017年1月,iOS共有984个漏洞,而Android总共有746个。

 



开源vs封闭源

理论上,Google Android项目的开源性质使其更容易受到安全问题的影响,但在现实中,情况并非如此,得益于开源思想所带来的好处, Android可以快速发展和改进,这就意味着当新的漏洞被发现时,Android系统可以很快地对漏洞进行修复,而iOS的封闭源代码从理论上来说虽然更加安全,但同时这也意味着安全漏洞会以分层方式固定,通常需要更长的时间才能修复。

iOS和Google Android之间最广泛的安全性差异是这些操作系统的部署和更新方式。 Android受到分段的显著不利影响,这意味着在同一时间,即使在一个企业内,有可能有几十个版本的操作系统正在使用。此外,由于Android碎片化严重,65%的机器都在运行老版本的系统,而这些系统缺乏维护,漏洞颇多。对于那些更新了Android的设备来说,则意味着需要在各种操作系统版本和设备上修补安全漏洞。在下面的图表中,您可以看到,截至2017年1月,最新的Android 7.1版本在业务类别中的覆盖率仅为0.62%。

就iOS而言,封闭源的做法虽然保护了其专有技术免受侵略,但也会阻碍数据取证专家在诊断安全漏洞方面的努力。苹果会控制底层设备基础设施,例如,iOS会阻止应用从设备读取电话号码,设备UDID等,而在Android中,应用程序的开发人员可以编程查询所有装置包括电话号码在内的所有信息。

同样的安全审查理念也被引入到了苹果App Store的应用程序中,与Android应用程序相比,iOS里的应用程序必须经过严格彻底的审核,才能核准进入App Store,让用户下载。 而Google则不会在Android应用程序进入到Google Play之前对其进行彻底测试。举个最近的例子来说: Android里的照片应用程序—Meitu需要授权访问位置,手机状态和身份,以及大量的敏感信息,而这些要求全县与照片编辑的功能毫无关系,你敢确定地说,这里面就一定没有黑客行为吗?