Der er stor debat i branchen om, hvorvidt iOS eller Android giver den mest sikre mobile enhed. I alle mine samtaler med sikkerhedseksperter mener de fleste, hvis ikke alle, at Apples iOS i sagens natur er mere sikker end den Google-byggede Android. Denne nylige artikel beskriver en række styrker, iOS har i forhold til Android inden for privatlivsområdet, såsom Apples nye funktion, hvor brugere kan forhindre apps i at spore dem. I artiklen udtaler forfatteren: “Når det kommer til privatlivets fred, er Google og Apple næsten i modsatte ender.”
En ny undersøgelse beder dog om at afvige; en rapport fra analysefirmaet Omdia fangede min opmærksomhed. Nøgleresultatet er, at Google Pixel 6, der kører Android 12, er væsentligt mere sikker end Apple iPhone 12 Pro, der kører iOS 15. Der er sammenligninger med to andre Android-baserede telefoner: Samsung Galaxy S21 Ultra og Xiaomi Mi 11 5G. Rapporten scorede hver leverandør på ni forskellige faktorer og vægtede dem i rækkefølge efter vigtighed. Google Pixel 6 opnåede en perfekt score på 5,4, mens Apple blev nummer fire med 4,03. Vægtningen viste sig at være irrelevant på grund af Pixel 6's perfekte score.
Da jeg altid havde troet, at Apple havde bedre sikkerhed med en bred margin, syntes jeg, det var værd at dykke ned i denne rapport og forstå kriterierne. En interessant pointe er, at jeg altid havde set på iOS versus Android-software; denne rapport udførte sin analyse på enhedsniveau, hvilket betyder en blanding af hardware og software.
Efter at have læst rapporten igennem fandt jeg adskillige tvivlsomme punkter, som jeg mente var værd at tage op. De er:
Sponsorat
Den mest tvivlsomme kendsgerning ved rapporten er, at Google, producenten af Pixel-telefonerne, var sponsor for en rapport, hvor den fik en perfekt score. Det siger i bund og grund, at Google Pixel 6 er en perfekt enhed med hensyn til sikkerhed, og det er bare ikke sandt, fordi enhver enhed kan blive brudt. Google har udstedt sikkerhedsrettelser til telefonen, hvilket indikerer, at der var mindst et par problemer. Ikke al sponsoreret forskning er dårlig, men når det kombineres med en perfekt placering, får det en til at undre sig.
Metode
Vægtningen af sikkerhedskriterierne sker ved at bede forbrugerne om at rangere vigtigheden af de ni funktioner. Selvom rapporten ikke udtrykkeligt siger dette, tror jeg, at de 1.520 respondenter blev bedt om at vælge deres top tre, fordi den samlede procentdel summerer til 300 %. Efter min mening er dette en tvivlsom måde at gøre det på, fordi den gennemsnitlige slutbruger ikke er en sikkerhedsekspert. Dette ville svare til at spørge en person på gaden, hvilke sikkerhedsfunktioner der er vigtigst i et fly. Jeg flyver meget, men jeg har ingen idé om den relative betydning af hver funktion. Undersøgelsen skulle have brugt et panel af sikkerhedseksperter.
Scoring
Dette var også mangelfuldt, da scoringen i hvert afsnit blev afledt af at tælle antallet af funktioner i forhold til at opfylde kategoriens formål. En god måde at tænke over dette på er, at det talte “afkrydsningsfelter” i forhold til, hvor godt de fungerede. Det er bestemt ikke den mest effektive måde at score på, og jeg vil uddybe nedenfor.
Identitetsbeskyttelse:Dette var den toprangerede funktion af brugere, men metoden var fuldstændig forfalsket. Google scorede højest, fordi det havde flest identitetsmuligheder, hvilket giver mening, fordi det er knyttet til ens Gmail-konto. Brugere kan vælge mellem engangsadgangskoder, FIDO, push-notifikationer og andre, hvor Apple kun har to-faktor, så Google fik den højeste score. Hvad der ikke er fortalt her, er, at Apple iCloud er den største og en af de mest – hvis ikke den mest – succesfulde implementering af to-faktor sikkerhed i branchen. Med identitet er mere ikke altid bedre. Apple gør også nogle interessante ting, når brugere har flere enheder; for eksempel vil den informere dig, hvis du logger på din Mac i San Jose, mens din telefon lige er blevet godkendt i Rusland.
Sikkerhedsopdateringer: Rapporten har en nysgerrig tilgang til sikkerhedsopdateringer. Et af kriterierne er, hvor længe leverandøren forpligter sig til at levere sikkerhedsopdateringer. Det giver Google Pixel 6 en perfekt score, da den forpligter sig til, hvad den kalder “en solid fem års sikkerhedsopdateringsperiode”, som er den længste af alle testede leverandører. Den rangerer Apple mere hårdt, fordi den ikke dokumenterer, hvor lang supportperioden er, men siger derefter “Apple-enheder har en tendens til at modtage fem til seks års support.” Det belønner også Google for at aktivere opgraderinger via Google Play Butik og henviser til Apples metodologi som “monolitisk”, men definerer ikke, hvad det betyder. Faktum er, at Apple har en dokumenteret track record med at levere opdateringer til over en milliard enheder på mindre end en uge, når det er påkrævet at gøre det, og er det ikke det vigtigste?
Anti-malware: Det faktum, at Apple har en lavere score her end de tre Android-telefoner, fik mig faktisk til at grine. Rapporten siger: “Mens Samsung, Google og Xiaomi har anti-malware-løsninger indbygget i deres enheder for at beskytte og opdage skadelig software, mangler Apple her.” Grunden til, at Apple ikke har on-device anti-malware, er, at det tilbyder App Store og økosystembeskyttelse, hvorimod Google ikke har. Til mange brugeres ærgrelse tillader Apple heller ikke, at apps sideindlæses, så der kan ikke være nogen “bagdørs”-malware. Denne rapport fra Panda Security udtalte, at Android-enheder er ansvarlige for 47 % af al observeret malware sammenlignet med mindre end 1 % for iPhones. Dette bliver en ond cirkel; trusselsaktører vil ofte målrette mod Android først, fordi brud er nemmere, hvilket øger Android-problemet.
Tabte enheder:Rapporten giver både Apple og Google Pixel topkarakterer for at have et webbaseret værktøj og en mobilapp til at lokalisere, udløse, låse og tørre enheden, hvis den bliver væk eller stjålet. Hvad der er udeladt er, at iPhone understøtter at finde offline (og endda slukkede) enheder, hvorimod Pixel skal være tændt og tilsluttet Wi-Fi eller mobilnettet.
Fysisk adgangskontrol:Her er et andet område, hvor Apple og Google Pixel 6 hver fik fuld karakter, men de ville ikke være blevet rangeret så højt, hvis effektiviteten blev set på i stedet for blot at have funktionen. iPhone 13 face ID har en 1:1 million falsk acceptrate (FAR), mens Pixel 6 har en 1:50.000 FAR. Der har også været mange rapporter om, at Pixel 6 har en langsom fingeraftryksscanner.
Jeg kan fremsætte lignende argumenter for sikker sikkerhedskopiering, hardwaresikkerhed og netværkssikkerhed, hvor Apple er lige så god eller bedre end Google Pixel 6. Den ene sektion, som jeg mente var præcis, var anti-phishing, selvom skrivelsen -up var noget misvisende. Safari bruger Google sikker browsing, men rapporten nævner ikke det. Pixel 6 har et anti-phishing-advarselssystem på enheden, hvilket iPhone ikke har. Mærkeligt nok er det ene område, hvor Google har en klar sejr over Apple, rangeret meget lavt på vigtighedsskalaen.
Nettoresultatet er, at efter at have læst rapporten ville jeg have rangeret Apple som god eller bedre end Google Pixel 6, hvis effektivitet blev brugt i stedet for at tælle underfunktioner. I dette tilfælde bliver Apple straffet for at have solide funktioner. Dette svarer til at rangere en bil mere sikker, fordi den har en faldskærm til at stoppe den, når den har bremser, der vides at svigte, i forhold til en, der har bremser, der aldrig svigter.