Kampen om it-avdelningarnas gunst fortsätter för mobilgiganterna Android och IOS. Teknikjättarna Apple och Google vädrar stora pengar, och har under senaste tiden presenterat flera intressanta säkerhetsuppdateringar till sina mobila plattformar.
När IOS 7 visades upp hade Apple bland annat implementerat stöd för single sign-on, per app vpn och bättre kontroll över appar installerade av it-avdelningen. Från Googles håll har man svarat med att bland annat ge Android stöd för SELinux, fler än ett användarkonto på samma enhet och förbättrat runtime-skydd av plattformen.
Vi ska börja med att titta närmare på vad som kan påstås vara det största hotet mot smarta mobiltelefoner i dag, nämligen skadlig programvara, ofta maskerade till ofarliga appar.
Nya rapporter visar att de mobila plattformarna blir ett allt mer tydligt mål för hackarna. Båda systemen är utsatta, men en betydligt större del av attackerna riktas mot Android. Enligt uppgifter från amerikanska säkerhetsföretaget Arxan Technologies ska samtliga de 100 mest populära betalapparna för Android ha utsatts för intrång, medan siffrorna för motsvarande IOS-appar landade på 56 procent. Dessutom var 99 procent av alla mobila malware-program som dök upp under 2013 riktade mot Googles plattform, uppger Cisco i en ny rapport.
Till Androids försvar bör det lyftas fram att plattformen har en betydligt större marknadsandel än IOS, och därför drar till sig ett större intresse från hackare. Enligt analysföretaget IDC utgjorde telefoner och surfplattor med Android över 80 procent av alla enheter som skeppades världen över under tredje kvartalet 2013.
Signerar annorlunda
En större marknadsandel är inte den enda anledningen till att Android är mer utsatt som plattform. Det finns också en fundamental skillnad mellan hur de båda konkurrerande systemen hanterar digital signering av appar.
Syftet med digital signering är att kunna säkerställa vem som står bakom appen. IOS kräver att koden som exekveras i appar ska vara signerad, vilket även omfattar den kod som laddas in när applikationen väl har startas. Google använder sig också av digital signering av appar i form av certifikat. Men deras kontroll är inte lika hård.
– Från Apples sida har man järnkoll på signeringen av appar. Man måste ha ett certifikat för att kunna släppa en app via App Store. Android använder sig också av certifikat, men problemet är att egen-certifikat tillåts. Det är som att skriva ut sitt eget pass, säger Per Hellqvist, säkerhetsexpert hos Symantec, till TechWorld.
Vad hoppas du på för förändringar när det gäller säkerheten till Android?
– Framför allt snabbare säkerhetsuppdateringar men också bättre koll på apparna som finns tillgängliga via Play-butiken. Det hade också varit intressant om Google lagt till en separat kanal bara för att skjuta ut säkerhetsuppdateringar, säger Per Hellqvist.
Sandlådor är en slags säkerhetsmekanism som gör att appar körs i en miljö med mycket strikta förhållningsregler när det gäller exempelvis delning av data och åtkomst till operativsystemet.
Skyddad – om du inte lurats
Trots skillnaderna systemen emellan är det viktigt att poängtera att det också finns flera likheter mellan Android och IOS när det gäller hur systemen hanterar säkerhet.
– Om användarna har enheter som inte blivit komprometterade finns det för både Android och IOS skydd i runtime, som ska se till att deras enheter inte blir infekterade via en webbläsare eller sårbara applikationer, säger Johan Ekman, säkerhetskonsult på Truesec.
– Men det skyddar inte om en användare blir lurad att installera en applikation som innehåller skadlig kod. Vissa av skydden åsidosätts också om enheten är rootad eller jailbreakad. Till exempel innebär en jailbreak att ta bort kravet på att all körbar kod skall vara signerad av Apple.
Android och IOS har båda stöd för så kallade secure boot-scenarier och för kryptering av innehållet. Secure boot innebär att systemen verifierar att plattformens kod är som den förväntas vara vid systemstart, och inte har manipulerats.
När det gäller kryptering speglar systemens olika lösningar både synen på användarna och skillnaden i flexibilitet. Hos Iphone skyddas innehållet med 256-bitars aes-kryptering så fort man har ställt in att ett lösenord måste anges när enheten startas.
Tyvärr tillåter IOS bara att data i ett fåtal appar skyddas, som Imessage, e-postmeddelande och vissa tredjepartsappar. Android kan i stället erbjuda full dm-kryptering av enheten. Men krypteringen tar minst en timme, och måste aktiveras av it-avdelningen eller av användarna själv.
Ett annat sätt att skydda enheterna mot skadliga program är att använda app-sandlådor för att begränsa applikationernas privilegier. IOS använder sandlådorna för att bland annat förhindra att appar delar med sig av data till andra installerade appar.
För Android har Google haft en betydligt mer frikostig inställning för hur appar ska få integrera med varandra. Det har bland annat yttrat sig i att det har varit standard i systemet att appar med rättigheter har varit exponerade för andra. Konsekvensen har blivit att appar som saknar rättigheter ändå har kunnat ta del av data från appar som faktiskt fått tillåtelse komma åt information från telefonboken.
Google valde att införa begränsningar för hur appar delar med sig av data till andra i och med släppet av Android 4.2. Men det finns en hake: för att begränsningarna ska fungera fullt ut måste apparna vara skrivna för Android 4.2.
I och med lanseringen av Iphone 5S menade Apple att man hade infört ytterligare ett säkerhetslager, nämligen en biometrisk sensor i form av en fingeravtrycksläsare. Det skulle kunna fungera som ett komplement till ett vanligt lösenord, menade företaget. Men Touch ID, som sensorn kallas, hamnade genast i strålkastarljuset när det gäller hur säker lösningen egentligen är.