tisdag 24 juni 2014

IOS eller Android - vad är säkrast? - TechWorld

IOS eller Android - vad är säkrast? - TechWorld



Det är dags att för en djupdykning när det gäller säkerheten
till Android och IOS. Hur skiljer sig egentligen de olika plattformarna
åt under huven, och vilka verktyg finns för att skydda enheten på ett
professionellt sätt?




Kampen om it-avdelningarnas gunst
fortsätter för mobilgiganterna Android och IOS. Teknikjättarna Apple
och Google vädrar stora pengar, och har under senaste tiden presenterat
flera intressanta säkerhetsuppdateringar till sina mobila plattformar.


När IOS 7 visades upp hade Apple
bland annat implementerat stöd för single sign-on, per app vpn och
bättre kontroll över appar installerade av it-avdelningen. Från Googles
håll har man svarat med att bland annat ge Android stöd för SELinux,
fler än ett användarkonto på samma enhet och förbättrat runtime-skydd av
plattformen.


Vi ska börja med att titta närmare
på vad som kan påstås vara det största hotet mot smarta mobiltelefoner i
dag, nämligen skadlig programvara, ofta maskerade till ofarliga appar.


Nya rapporter visar att de mobila
plattformarna blir ett allt mer tydligt mål för hackarna. Båda systemen
är utsatta, men en betydligt större del av attackerna riktas mot
Android. Enligt uppgifter från amerikanska säkerhetsföretaget Arxan
Technologies ska samtliga de 100 mest populära betalapparna för Android
ha utsatts för intrång, medan siffrorna för motsvarande IOS-appar
landade på 56 procent. Dessutom var 99 procent av alla mobila
malware-program som dök upp under 2013 riktade mot Googles plattform,
uppger Cisco i en ny rapport.


Till Androids försvar bör det lyftas
fram att plattformen har en betydligt större marknadsandel än IOS, och
därför drar till sig ett större intresse från hackare. Enligt
analysföretaget IDC utgjorde telefoner och surfplattor med Android över
80 procent av alla enheter som skeppades världen över under tredje
kvartalet 2013.

 


Signerar annorlunda

En större marknadsandel är inte den enda anledningen till att Android är
mer utsatt som plattform. Det finns också en fundamental skillnad
mellan hur de båda konkurrerande systemen hanterar digital signering av
appar.


Syftet med digital signering är att
kunna säkerställa vem som står bakom appen. IOS kräver att koden som
exekveras i appar ska vara signerad, vilket även omfattar den kod som
laddas in när applikationen väl har startas. Google använder sig också
av digital signering av appar i form av certifikat. Men deras kontroll
är inte lika hård.

 
Per Hellqvist

Per Hellqvist, Symantec


– Från Apples sida har man järnkoll på signeringen av appar. Man måste
ha ett certifikat för att kunna släppa en app via App Store. Android
använder sig också av certifikat, men problemet är att egen-certifikat
tillåts. Det är som att skriva ut sitt eget pass, säger Per Hellqvist,
säkerhetsexpert hos Symantec, till TechWorld.


Vad hoppas du på för förändringar när det gäller säkerheten till Android?

– Framför allt snabbare säkerhetsuppdateringar men också bättre koll på
apparna som finns tillgängliga via Play-butiken. Det hade också varit
intressant om Google lagt till en separat kanal bara för att skjuta ut
säkerhetsuppdateringar, säger Per Hellqvist.




sandlåda

Sandlådor är en slags
säkerhetsmekanism som gör att appar körs i en miljö med mycket strikta
förhållningsregler när det gäller exempelvis delning av data och åtkomst
till operativsystemet.


 

Skyddad – om du inte lurats

Trots skillnaderna systemen emellan är det viktigt att poängtera att det
också finns flera likheter mellan Android och IOS när det gäller hur
systemen hanterar säkerhet.


– Om användarna har enheter som inte
blivit komprometterade finns det för både Android och IOS skydd i
runtime, som ska se till att deras enheter inte blir infekterade via en
webbläsare eller sårbara applikationer, säger Johan Ekman,
säkerhetskonsult på Truesec.

 
Johan Ekman

Johan Ekman, Truesec


– Men det skyddar inte om en användare blir lurad att installera en
applikation som innehåller skadlig kod. Vissa av skydden åsidosätts
också om enheten är rootad eller jailbreakad. Till exempel innebär en
jailbreak att ta bort kravet på att all körbar kod skall vara signerad
av Apple.


Android och IOS har båda stöd för så
kallade secure boot-scenarier och för kryptering av innehållet. Secure
boot innebär att systemen verifierar att plattformens kod är som den
förväntas vara vid systemstart, och inte har manipulerats.


När det gäller kryptering speglar
systemens olika lösningar både synen på användarna och skillnaden i
flexibilitet. Hos Iphone skyddas innehållet med 256-bitars
aes-kryptering så fort man har ställt in att ett lösenord måste anges
när enheten startas.


Tyvärr tillåter IOS bara att data i
ett fåtal appar skyddas, som Imessage, e-postmeddelande och vissa
tredjepartsappar. Android kan i stället erbjuda full dm-kryptering av
enheten. Men krypteringen tar minst en timme, och måste aktiveras av
it-avdelningen eller av användarna själv.


Ett annat sätt att skydda enheterna
mot skadliga program är att använda app-sandlådor för att begränsa
applikationernas privilegier. IOS använder sandlådorna för att bland
annat förhindra att appar delar med sig av data till andra installerade
appar.


För Android har Google haft en
betydligt mer frikostig inställning för hur appar ska få integrera med
varandra. Det har bland annat yttrat sig i att det har varit standard i
systemet att appar med rättigheter har varit exponerade för andra.
Konsekvensen har blivit att appar som saknar rättigheter ändå har kunnat
ta del av data från appar som faktiskt fått tillåtelse komma åt
information från telefonboken.


Google valde att införa
begränsningar för hur appar delar med sig av data till andra i och med
släppet av Android 4.2. Men det finns en hake: för att begränsningarna
ska fungera fullt ut måste apparna vara skrivna för Android 4.2.


I och med lanseringen av Iphone 5S
menade Apple att man hade infört ytterligare ett säkerhetslager,
nämligen en biometrisk sensor i form av en fingeravtrycksläsare. Det
skulle kunna fungera som ett komplement till ett vanligt lösenord,
menade företaget. Men Touch ID, som sensorn kallas, hamnade genast i
strålkastarljuset när det gäller hur säker lösningen egentligen är.



Apple anstränger sig

Apple gick nyligen ut med ett dokument där man går mer på djupet med
tekniken. Bland annat framgår det att Touch ID-funktionen hanteras av en
självständig processordel som sitter på A7-processorn i Iphone 5S.
Touch ID-enklaven ska enligt Apple köra egna säker systemstart som är
helt separat från resten av systemet, och lagra all data i krypterat
minne.


Galaxy S4 har också en biometrisk
sensor. Sedan Android 4.0 har plattformen stöd för ansiktsupplösning,
vilket Google menar ska vara en komplettering till lösenord bestående av
bokstäver, siffror och symboler. Det har dock dykt upp flera rapporter
om hur det går att kringgå ansiktsupplåsningen, vilket inte gör det till
ett särskilt säkert alternativ.


Nu är det dags att gå vidare till en
annan käpphäst när det gäller mobil säkerhet: uppdateringar av
operativsystemen. Android beskylls ofta för att vara en fragmenterad
plattform, där en betydande del av enheterna fortfarande använder
föråldrade versioner av operativsystemet.


Googlestatistik från i början av
februari visar att runt 40 procent av världens Android-enheter använder
versioner av systemet som är äldre än två år. Andelen enheter med
senaste Android 4.4.2 (även känd under namnet Kitkat) är bara 1,8
procent.


Anpassningshastigheten hos IOS ser helt annorlunda. I slutet av januari kunde Apple berätta att IOS 7 finns installerat på 80 procent av alla Iphone och Ipad.


Den enorma skillnaden mellan de två
plattformarna har en tydlig orsak. Det är tillverkarna och operatörerna
som skjuter ut nya versioner av Android till enheterna, inte Google.


De flesta tillverkare väljer att
göra egna anpassningar av Android i form av gränssnitt, som Touchwiz
till Samsung. När en ny Androidversion släpps måste tillverkarna
införliva sitt gränssnitt i den nya version, vilket ofta leder till att
det dröjer lång till innan den uppdaterade mjukvaran når slutanvändarna.


Många tillverkare väljer att inte
uppdatera mjukvaran överhuvudtaget för mellan- och
budgetklass-produkter. Det betyder att de telefonerna och surfplattorna
aldrig får en senare version av Android än den som är installerad från
början.


kryptering android

Till skillnad från Apple kan Android erbjuda full kryptering av en enhet.

 

Säkerheten i Android varierar

Säkerheten hos Android har som sagt förbättrats avsevärt i senare
versioner. Men eftersom det tar olika lång tid för uppdateringarna att
nå Androidenheterna i företaget, kan säkerhetsstödet variera mycket
beroende på mobiltillverkare. Har enheterna en version som ligger under
Android 4.0 (även känt som Ice Cream Sandwich) saknas många funktioner,
till exempel runtime-skydd av plattformen.


– Från och med Ice Cream Sandwich
inkluderas ASLR, vilket var ett stort steg. Men sedan dess har Google
gjort flera förbättringar. SELinux introducerades till Android 4.3 för
att förstärka applikationssandlådan men blev inte en obligatorisk
konfiguration förrän i Android 4.4. Därför är det viktigt att så snabbt
som möjligt kunna ta del av säkerhetsuppdateringarna i nya
Androidversioner, säger Johan Ekman på Truesec.


Google är mycket väl medvetna om
problemen med fragmenteringen av systemet. I och med Android 4.4.2 har
minneskraven för att kunna använda den nya versionen sänkts till 512
megabyte ram-minne. Anledning sägs vara att det tidigare inte gått att
installera Android 4.0 eller senare på budgettelefoner med begränsad
hårdvara.


Rykten säger även att Google ska
förbjuda tillverkare från att släppa enheter med äldre Androidversioner.
Från och med 24 april i år ska enheter med mjukvara äldre än Android
4.3 inte längre få tillgång till Googles tjänster, uppger obekräftade
källor.


En annan viktig aspekt för
företagssäkerhet är vilka möjligheter till fjärradministration som
erbjuds. De flesta it-avdelningar har behov av central administration
för att enkelt kunna konfigurera enheterna, bestämma vilka appar som ska
finnas med och hur de får användas, och ha möjlighet att snabbt skjuta
ut nya säkerhetspolicyer. Ett sätt att göra det på mobila enheter är att
använda program för mobile device management, mdm.


Båda plattformarna har bra stöd för
mdm-produkter från tredjepart, som till exempel Symantec, Good
Technology och Citrix. I dagsläget är det bara IOS har som har ett
inbyggt skydd för exempelvis lokalisering och radering av enheter som
tappats bort; Hitta min Iphone.


Förra året lanserade Google en
webbaserad tjänst som gör det möjligt spåra Androidenheter genom appen
Google Device Manager (Google enhetsadministratör på svenska). Men för
att tjänsterna ska fungera måste de vara knutna till användarnas egna
Google- eller Icloud-konton, vilket gör dem svåra att använda för en
it-avdelning.


touch id

Informationen som samlas in via fingeravtryckssensorn på Iphone 5S lagras i ett krypterat minne på telefonen.


apple configurator

Både Google och Apple har tagit fram verktyg för central administrering av mobila enheter. Här ser vi Apples alternativ Apple Configurator.



Jättarnas egna verktyg

Apple och Google har satsat på att ta fram egna verktyg för central
administration. Googles lösning heter Mobile Management. Det är ett helt
webbaserat verktyg, som bland annat går att använda för att konfigurera
inställningar centralt och för att fjärradera anslutna enheter. En
fördel är att verktyget fungerar till både Android- och IOS-prylar. Men
funktionaliteten är begränsad och förutsätter att företaget använder
Google Apps.


Apples motsvarighet är Apple
Configuration som är betydligt kraftfullare och bättre kan matcha
funktionaliteten hos säkerhetsföretagens mdm-verktyg. Programmet är
gratis, till skillnad från de flesta mdm-verktyg, men är begränsat om
det finns behov att sköta flera hundra klienter.


Ett annat område inom mobil säkerhet
där det har skett en intressant utveckling är lösningar som bygger på
appcontainer-teknik. Med hjälp av en container går det att skapa en
säker miljö genom att kapsla in appen i ett krypterat skal. Den stora
fördelen för företag är att man har full kontroll över den isolerade
miljön och all känslig information som finns där.


Förutsättningarna för appcontainrar
skiljer sig markant åt på de två olika operativsystemen. Android är som
sagt betydligt mer öppet och flexibelt, vilket gör att man dela upp
systemet i flera olika delar för att skydda sig mot angrepp mot appar
eller webbläsare.


Ett exempel på en lösning av det här
slaget är Samsung Knox, som är den sydkoreanska Androidtillverkarens
företagslösning. På grund av Androids mer öppna struktur är det möjligt
att dela in telefonen i två profiler: En privat där användarna kan ladda
ner vilka appar som helst, och en professionell som är helt isolerad.


I Knox-delen har it-avdelningen
kontroll över vilka appar som får laddas ned, och har full möjlighet
till policykontroll. Miljön är helt åtskild från resten av telefonen,
vilket till exempel gör att innehållet som finns där är helt skyddat
från eventuella malware-appar som användaren kan ha laddat ned till sin
privata profil av misstag.


Precis som namnet antyder finns
Samsung Knox enbart tillgängligt för Samsung-telefoner. I nuläget
tjänsten begränsad till två modeller, Galaxy S4 och Galaxy Note 3, men
det är uppenbart att Samsung satsar hårt på att Knox ska få ett bredare
genomslag.


Flera av de kommersiella
container-produkterna från säkerhetsföretagen erbjuder liknande
lösningar som Samsung Knox. Det innebär en krypterad arbetsmiljö med en
svit av säkra applikationer, som e-postprogram, kalender och webbläsare.


För IOS är läget lite annorlunda.
Begränsningar i operativsystemet gör det omöjligt att ha två profiler
med olika privilegier på samma enhet. Det gör att man inte kan skapa en
isolerad arbetsmiljö där alla appar är krypterade. Däremot går det att
skapa IOS-containrar som säkrar och isolerar enskilda Iphone- och
Ipad-appar.

 

5 säkerhetsverktyg till IOS och Android

IOS

Hitta min Iphone kan bland annat fjärradera innehåll på IOS-enheter som försvunnit

tinytw.se/hittamin

Kryptos använder 256-bitars aes-kryptering för att kryptera röstkommunikation

tinytw.se/kryptos

Accellion Mobile riktar sig till affärsanvändare och ger säker tillgång till filer

tinytw.se/acce

Webroot Secureweb Browser – säker webbläsare som kan varna för skadliga hemsidor

tinytw.se/iosroot

Lookout – multiverktyg som bland annat automatiskt skapar backup-filer

tinytw.se/lookout


Android

Snoopwall – Bestäm vilka rättigheter som installerade appar ska få på enheten

tinytw.se/snoopwall

Android Enhetsadminstratör – Hitta och fjärradera innehåll på borttappade enheter

tinytw.se/andenh

Webroot Secureweb Browser – Säker webbläsare som kan varna för skadliga hemsidor ttinytw.se/androot

Avast – Virusskyddsapp med bland annat apphanterare och nätverksmätare

tinytw.se/avastapp

Clean Master skyddar mot malware – och samt frigör arbetsminne på enheterna

tinytw.se/cleanm
 

TechWorlds slutsats

Android och IOS har kommit långt sedan operativsystemens födelse. I dag
är båda plattformarna pålitliga, stabila och satsar allt mer på
säkerheten. Android har dock fortfarande några egenskaper som gör att
systemet har svårare att platsa i företagssammanhang. Det gäller framför
allt systemuppdateringarna. Till och med för toppmodellerna är det helt
enkelt svårt att veta hur länge en telefon kommer att hänga med.
Kontrollen över både hård- och mjukvara ger Apple helt andra
förutsättningar än Google.


Viktigt är ändå att poängtera är att
utvecklingen inom smartphone sker så snabbt att det kan vara svårt att
hålla en enhet säker i tre år, oavsett om det är en Iphone eller en
Android-telefon.



Läs även:

5 tecken på att Android hackats

tinytw.se/andhack

10 bästa säkerhetstipsen för IOS

tinytw.se/ioshack

Så enkelt hackar han Iphone

tinytw.se/iphonehack

Bäst smartphone-os för proffsen

tinytw.se/bastsmart
 




 

Inga kommentarer:

Skicka en kommentar