Ein Team des Sicherheits-Softwareentwicklers Symantec hat sich die beiden führenden mobilen Betriebssysteme Android und iOS vorgeknöpft und aus sicherheitstechnischer Sicht miteinander verglichen. Dabei ist herausgekommen, dass Apples Betriebssystem bezüglich der Sicherheit die Nase vorn hat.
Im 23-seitigen Dokument (PDF) mit dem Titel “A Window Into Mobile Device Security”, in welchem die Forschungsergebnisse zusammenfasst wurden, wird neben den Ergebnissen ein Blick auf vergangene Sicherheitslücken und zukünftige Risiken der beiden Plattformen gegeben.
iOS
Bei der Gegenüberstellung der beiden Systeme stellte Symantec fest, dass iOS sicherer als Android sei. Vor allem in Bezug auf Malware-Attacken besitzt Apples System vollen Schutz, während bei Android lediglich leichter Schutz zu entdecken war. Zudem sind iOS-Devices besser gegen Ressourcen-Missbrauch, Service-Attacken sowie Datenverlust und Angriffe auf die Daten-Integrität geschützt. Darüber hinaus überzeugt iOS in Bezug auf Sicherheitsfunktionen wie Zugriffskontrolle, Überwachung der Software-Herkunft und Verschlüsselung. In einem einzigen Punkt hat Android gegenüber der Apple-Plattform die Nase vorn. Beim Sicherheits-Faktor der System-Isolation hat Android die volle Punktzahl erhalten, während iOS nur einen Mittelwert für sich verbuchen konnte.
Symantec hält besonders große Stücke auf Apples stark reglementierten Ansatz des App Stores. Denn dies stellt eine hohe Sicherheitsbarriere gegen Malware, Datenverlust sowie Datenintegrität und DDOS-Attacken dar. Dank des kuratierten Marktplatzes ist es beinahe unmöglich, dass sich Malware einschleicht. Der Bericht beschreibt das Sicherheitskonzept als gut programmiert und überwiegend sicher gegen Schädlinge.
Overall, Symantec considers iOS’s security model to be well designed and thus far it has proven largely resistant to attack.
Trotz dieser Lobeshymnen konnte Symantec von 2007 bis zu 200 Sicherheitslücken in iOS ausmachen. Die meisten dieser Lecks übten nur eine mittlere bis geringe Gefahr auf das System aus. Angreifer hätten maximal einen Prozess kontrollieren, nicht aber die Kontrolle des ganzen Systems an sich reißen können. Die Sicherheitslücken, derer sich Jailbreaker bedienen, sind hingegen schon eine etwas andere Kategorie. Mithilfe dieser (wenigen) entdeckten Lücken wären Hacker in der Lage, vollen Root-Zugriff auf das iOS-Gerät zu bekommen und alle darauf befindlichen Daten auszulesen. Im Bericht wurde betont, dass iOS-Geräte mit einem Jailbreak weit weniger sicher sind als ohne. Bestes Beispiel ist der iPhoneOS.Ikee-Wurm, der vor etwa zwei Jahren sein Unwesen auf iPhones mit Jailbreak sein Unwesen trieb.
Android
Symantec entdeckte zwei große Schwächen in Googles System. Zum einen ist es ohne große Probleme möglich, Malware zu verteilen. Denn im Unterschied zu iOS (ohne Jailbreak) existieren sehr viele Wege, an Apps zu gelangen. Das System ist diesbezüglich viel offener, was viele Nutzer überwiegend auch gutheißen. Die Entscheidung, sich bestimmte Apps aus dubiosen Quellen zu installieren, liegt vollends beim User. Aber selbst über den Android Market ist es nicht schwierig Malware zu vertreiben, denn jeder Entwickler lädt seine Apps selbst in den Market, die Kontrolle über den Marktplatz durch Google ist relativ gering.
Android-Apps besitzen zwar ein übersichtliches Berechtigungssystem, in denen die diversen Rechte aufgelistet werden, welche die App erfordert, doch die Entscheidung die App zu laden, obliegt dem einzelnen User. Oftmals ist diesem gar nicht bewusst, was er gerade installiert hat. Bestes Beispiel ist die aktuelle Facebook-App in Version 1.6. Diese verlangt die Zustimmung auf das Lesen und Schreiben von SMS-Nachrichten. Warum diese App Zugriff auf den Teil des Systems benötigt, wird von den meisten nicht hinterfragt.
Wie Eingangs erwähnt, wird in Android die Prozess-Isolation positiv bewertet. Es ist nämlich auf diesem OS sichergestellt, dass einzelne Prozesse weder sich gegenseitig, noch den Kernel beeinflussen können. Problematisch hingegen ist der vollständige Zugriff der einzelnen Apps auf die SD-Karte, durch den die dort gespeicherten Daten recht ungeschützt dastehen. Eine Verschlüsselung wäre hier hilfreich, die Android aber noch fehlt. Ab der nächsten Android Version Ice Cream Sandwich wird es eine Datenverschlüsselung geben.
Fazit
Die beiden Plattformen werden in der Zusammenfassung des Berichts als ein “mixed bag”, eine bunte Mischung beschrieben. Beide Plattformen haben ihre Vor- und Nachteile. Während Android viel offener ist und Kontrolle an den User abgibt, verliert das System automatisch an Sicherheit, da die Angriffsfläche größer ist. iOS hingegen ist gegen Angriffe besser geschützt, da das System im Unterschied zu Android um Ecken geschlossener ist und somit dem User einen geringeren Gestaltungsspielraum bietet.
Auch wenn Apples iOS das sicherere System ist, entscheiden sich viele mittlerweile für Android, da ihnen das OS eine um Ecken größere Gestaltungsmöglichkeit bietet. Die Kontrolle, die Apple über iOS besitzt, ist manchen einfach zu viel des Guten.
– via AppleInsider und t3n –
- In eigener Sache: Einer geht, zwei neue kommen - 25. Oktober 2011
- Nokia 900 – Ist dies das neue Windows-Phone-Flaggschiff? - 25. Oktober 2011
- Nokia World 2011 – Was wird’s geben? - 25. Oktober 2011
In dem Kontext des Artikels ist vermutlich auch der Heiseartikel zum Thema “Nutzlose iPhone-Sperre” lesenswert: https://www.heise.de/newsticker/meldung/iPhone-Sperre-nahezu-nutzlos-1270786.html
Leider hat Symantec bei dem Test die Möglichkeiten, die ein Benutzer hat, sein System zusätzlich zu schützen, nicht mitgewertet. iPad/iPhone (iOs) bieten z.B. keine Möglichkeit, zusätzliche Sicherheit beispielsweise in der Form von Verschlüsselung nachzuinstallieren. Grade bei den regelmäßig gemeldeten schweren Sicherheitsprobleme von diversen iOs-Bankingapps wäre dies wünschenswert.
Das ich nicht lache! iOS und sicher! Ich sag nur PDF-Expoit!!! Bei Android kann man wenigsten n Antivirus Tool direkt auf Gerät laden 😉