Förra veckans krönika om att Android är skit tog skruv. Jag fick både ris och ros, mest ris, och det finns viss fog för en del av kritiken. Låt mig nyansera det hela en smula och visa vad statistiken säger.

För det första tänker jag inte släppa min grundtes, nämligen att Androids SDK:er (utvecklingsverktyg) och operativsystem medger fler och djupare tillgångar till operativsystemets kärna, vilket öppnar för utvecklare av skadlig kod, likväl som det öppnar för alla andra, inklusive utvecklare av diverse skydd. Android är mer öppet än IOS på gott och ont. Jag kan absolut hålla med om att detta gör Android roligare i det att det finns olika typer av appar som överhuvudtaget inte existerar på IOS, men det går inte att komma runt att ett öppnare system ger fler attackvektorer.

En typ av mothugg jag mottagit av det mer korkade slaget är konspirationsteorin om att det är antivirusföretagen som matar medierna med negativ propaganda om Android, vilket skrämmer upp användarna, vilket får dem att köpa antivirus-appar. Apropå antivirus är det också talande att dessa bara finns för Android – dels för att det behövs, men också för att det går. Och anledningen till att det går är också anledningen till att de behövs. Antivirus för IOS är meningslöst eftersom utvecklarna inte kommer åt de funktioner i kärnan som krävs för att kunna inspektera processer och data.

Mdm-verktyg på företagen hjälper
En kritik som är desto mer vettig är den som för fram MDM-verktyg för företag (mobile device management). I förra krönikan drev jag tesen att företag och organisationer bör se upp med att ge ut Androider till medarbetarna på grund av säkerhetsrisken, och jag tog inte upp MDM-verktyg. Nu är jag ingen expert på de verktygen, men jag misstänker att det de kan bidra med i säkerhetsfrågan är generella policys som till exempel hindrar användarna från att installera appar (eller bara vissa appar), stoppa användarna från att ändra i inställningarna, förhindra användarna från att öppna vissa filer, att organisationen kan trycka ut uppdateringar samt att man kan blåsa stulna/tappade mobiler med mera.

MDM-verktyg gör saken mycket bättre, men de är inte idiotsäkra. Jag kan ha fel, men jag tror inte verktygen stoppar användare från att klicka på farliga länkar, besöka skadliga webbsidor eller att öppna vanliga filtyper (som kan innehålla skadlig kod, till exempel makron). Det kan de inte göra för Iphoneanvändare heller, men återigen handlar det om vad kod kan göra i operativsystemet. När den skadliga koden väl exekveras, vad kan den då ställa till med? Jag tror fortfarande att koden kan ställa till med värre saker på ett öppnare system. Dessutom är det troligen få företag som använder MDM, desto fler som använder byod.

Visa statistik. Okej då.
Vissa kritiker vill att jag ska underbygga mina påståenden med fakta och statistik, så absolut, jag har grävt fram statistik för sårbarheter på respektive plattform. Inte helt förvånande har det genom tiderna upptäckts betydligt fler sårbarheter i Android än i IOS, och sårbarheter kan som bekant exploateras. Alltså finns det fler hack där ute mot Android än mot IOS. Detta ger naturligtvis inte hela bilden, men det är en viktig indikator.

Tyvärr är sökfunktionerna i CVE-databaserna inte de bästa. Bäst är sökfunktionen på NIST och därför har jag använt den. Jag har även sökt på Github, som har bättre sökfunktion, med ungefär samma resultat.

Github, som alltså presenterar kod och kodförbättringar, hittar 5538 sårbarheter för Android och 1833 för IOS.

android säkerhet
Antal rapporterade CVE-sårbarheter för Android genom åren. Trenden är på nedåtgående, så det blir bättre.

NIST hittar genom alla tider 5715 sårbarheter för Android och 1605 sårbarheter för IOS. Sårbarheter rapporterade från januari 2018 till oktobere 2019 är 1649 för Android, varav 1066 under 2018 och 583 hittills i år, och sammanlagt 312 sårbarheter för IOS, varav 124 under 2018 och 188 i år.

android säkerhet
Antal rapporterade CVE-sårbarheter för IOS genom åren. Apple hade svåra år 2015 och 2017, och i år kan antalet rapporterade sårbarheter fördubblas jämfört med 2018.

Notera trenden: Antalet sårbarheter för Android minskar, de ser ut att bli avsevärt färre i år än förra året, medan de ökar för IOS som kan landa på en fördubbling i år. Även när vi tittar på hur allvarliga sårbarheterna är ligger IOS något sämre till. Alla sårbarheter tilldelas en poäng mellan noll och tio, där tio är mest allvarlig. För perioden från 1 januari 2018 till idag snittar Android på 6,6 och IOS på 6,5, men å andra sidan har IOS relativt sett fler sårbarheter av den mest allvarliga klassen (14,2 procent), medan motsvarande andel för Android är 13,1 procent. Nominellt handlar det om 135 mycket allvarliga sårbarheter för Android och 40 för IOS.

Zero-days kostar mer för Android
Men det finns ytterligare en intressant faktor som kan tala till Android fördel, och det är prisbilden för dag-noll-attacker (zero-day) på Zerodium, en öppen handelsplats för denna typ av attacker. En dag-noll-attack för Android av typen FCP (full chain with persistence) – den värsta typen – kostar upp till 2,5 miljoner dollar, motsvarande för IOS kostar upp till två miljoner dollar. Det intressanta är att det fram tills nyligen alltid varit det omvända. Att en attack kostar mer beror med all sannolikhet på att den är svårare att utveckla, men det kan också spela in att marknaden är större, det vill säga man kan infektera fler enheter (Android har en mycket större marknadsandel än IOS globalt). För andra typer av dag-noll-attacker lutar det åt något högre priser för attacker mot iOS, men det är i stort sett jämnt skägg.

android säkerhet
Kostnaden för zero-day-attacker på handelsplatsen Zerodium. Värsta sortens attack mot Android betingar ett högre värde än motsvarande attack mot IOS.

Android har blivit mycket bättre ur säkerhetssynvinkel på senare tid. Google har jobbat hårt med att både förbättra operativsystemet i sig och med att rensa skadliga appar från Play-butiken, även om det finns en hel del skräp kvar. Så visst, Android är väl inte skit idag, men det förekommer fler sårbarheter i Android och risken är fortfarande högre eftersom attackerna är fler.

Ytterligare något som talat mot Android är floran av både hårdvara och olika förgreningar av operativsystemet. När Google kommer med nya säkerhetsuppdateringar kan det ta veckor innan de slår igenom hos mobilleverantörerna. Här har Apple en mycket mer bekväm position med monopol på hårdvara och operativsystem, och det är inte en orimlig gissning att uppdateringar slår igenom avsevärt fortare på IOS än på Android.

Fotnot
Observera att jag sökt på ”Android” respektive ”Apple iOS” i NIST-databasen eftersom även Cisco har sitt IOS. På Github kan man dock lägga in ”NOT Cisco” i söktermen, alltså ”iOS NOT Cisco repo:CVEproject/cvelist extension:json” och för Android blir det alltså ”Android repo:CVEproject/cvelist extension:json”. Även cvedetails.com är populär att söka i; den har jag använt för att få fram fördelningen över sårbarheternas grad av allvarlighet (severity).

Läs också:
”Android är skit – dags för företagen att lämna plattformen”
Ny zero-day-sårbarhet ger hackare full kontroll över Android – här är listan