Det er stor debatt i bransjen om iOS eller Android gir den sikreste mobile enheten. I alle mine samtaler med sikkerhetseksperter, tror de fleste, om ikke alle, at Apples iOS i seg selv er sikrere enn Google-bygde Android. Denne nylige artikkelen beskriver en rekke styrker som iOS har fremfor Android innen personvern, for eksempel Apples nye funksjon der brukere kan stoppe apper fra å spore dem. I artikkelen uttaler forfatteren: “Når det kommer til personvern, er Google og Apple nesten i ekstreme motsatte ender.”
Imidlertid ber en ny studie om å avvike; en rapport fra analysefirmaet Omdia fanget min oppmerksomhet. Nøkkelfunnet er at Google Pixel 6 som kjører Android 12 er betydelig sikrere enn Apple iPhone 12 Pro som kjører iOS 15. Det er sammenligninger med to andre Android-baserte telefoner: Samsung Galaxy S21 Ultra og Xiaomi Mi 11 5G. Rapporten scoret hver leverandør på ni forskjellige faktorer og vektet dem i rekkefølge etter viktighet. Google Pixel 6 oppnådde en perfekt poengsum på 5,4, mens Apple ble nummer fire på 4,03. Vektingen viste seg å være irrelevant på grunn av Pixel 6s perfekte poengsum.
Siden jeg alltid hadde trodd at Apple hadde bedre sikkerhet med stor margin, syntes jeg det var verdt å dykke ned i denne rapporten og forstå kriteriene. Et interessant poeng er at jeg alltid hadde sett på iOS versus Android-programvare; denne rapporten gjorde sin analyse på enhetsnivå, noe som betyr en blanding av maskinvare og programvare.
Etter å ha lest gjennom rapporten fant jeg flere tvilsomme punkter som jeg følte var verdt å ta opp. De er:
Sponsing
Det mest tvilsomme faktum om rapporten er at Google, produsenten av Pixel-telefonene, var sponsor for en rapport der den fikk en perfekt poengsum. Det er egentlig å si at Google Pixel 6 er en perfekt enhet med hensyn til sikkerhet, og det er bare ikke sant, fordi enhver enhet kan brytes. Google har utstedt sikkerhetsoppdateringer for telefonen, noe som indikerer at det var minst noen få problemer. Ikke all sponset forskning er dårlig, men kombinert med en perfekt rangering får det en til å undre seg.
Metode
Vektingen av sikkerhetskriteriene gjøres ved å be forbrukerne rangere viktigheten av de ni funksjonene. Selv om rapporten ikke eksplisitt sier dette, tror jeg at de 1520 respondentene ble bedt om å velge sine topp tre, fordi den totale prosentandelen summerer seg til 300 %. Etter min mening er dette en tvilsom måte å gjøre det på, fordi den gjennomsnittlige sluttbrukeren ikke er en sikkerhetsekspert. Dette vil være beslektet med å spørre en person på gaten hvilke sikkerhetsfunksjoner som er viktigst i et fly. Jeg flyr mye, men jeg har ingen anelse om den relative betydningen av hver funksjon. Undersøkelsen burde ha brukt et panel av sikkerhetseksperter.
Scoring
Dette var også feil da poengsummen i hver seksjon ble utledet fra å telle antall funksjoner i forhold til å oppfylle målet for kategorien. En god måte å tenke på dette er at det talte “kryssbokser” kontra hvor godt de fungerte. Det er absolutt ikke den mest effektive måten å score på, og jeg skal utdype nedenfor.
Identitetsbeskyttelse:Dette var den topprangerte funksjonen av brukere, men metodikken var fullstendig feil. Google scoret høyest fordi det hadde flest identitetsalternativer, noe som er fornuftig fordi det er knyttet til ens Gmail-konto. Brukere kan velge mellom engangspassord, FIDO, push-varsler og andre, der Apple kun har tofaktor, så Google fikk høyest poengsum. Det som ikke blir fortalt her er at Apple iCloud er den største og en av de mest – om ikke den mest – vellykkede implementeringen av tofaktorsikkerhet i bransjen. Med identitet er mer ikke alltid bedre. Apple gjør også noen interessante ting når brukere har flere enheter; for eksempel vil den informere deg om du logger på Mac-en din i San Jose mens telefonen nettopp har blitt autentisert i Russland.
Sikkerhetsoppdateringer: Rapporten tar en nysgjerrig tilnærming til sikkerhetsoppdateringer. Et av kriteriene er hvor lenge leverandøren forplikter seg til å levere sikkerhetsoppdateringer. Det gir Google Pixel 6 en perfekt poengsum ettersom den forplikter seg til det den kaller “en solid fem års sikkerhetsoppdateringsperiode”, som er den lengste av alle leverandører som er testet. Den rangerer Apple strengere fordi den ikke dokumenterer hvor lang støtteperioden er, men sier deretter “Apple-enheter har en tendens til å motta fem til seks års støtte.” Den belønner også Google for å aktivere oppgraderinger via Google Play-butikken og omtaler Apples metodikk som “monolitisk”, men definerer ikke hva det betyr. Faktum er at Apple har en bevist merittliste for å gi oppdateringer til over en milliard enheter på mindre enn en uke når det er påkrevd å gjøre det, og er ikke det det viktigste?
Anti-skadelig programvare: Det faktum at Apple har lavere score her enn de tre Android-telefonene fikk meg faktisk til å le. Rapporten sier: “Mens Samsung, Google og Xiaomi har anti-malware-løsninger innebygd i enhetene sine for å beskytte og oppdage skadelig programvare, mangler Apple her.” Grunnen til at Apple ikke har anti-malware på enheten er at den tilbyr App Store og økosystembeskyttelse, mens Google ikke har det. Også, til mange brukeres fortvilelse, tillater ikke Apple at apper lastes inn fra siden, så det kan ikke være noen “bakdørs” malware. Denne rapporten fra Panda Security uttalte at Android-enheter er ansvarlige for 47 % av all observert skadelig programvare sammenlignet med mindre enn 1 % for iPhones. Dette blir en ond sirkel; trusselaktører vil ofte målrette Android først fordi brudd er lettere, noe som øker Android-problemet.
Tapte enheter:Rapporten gir både Apple og Google Pixel toppkarakterer for å ha et nettbasert verktøy og mobilapp for å finne, utløse, låse og tørke enheten hvis den blir mistet eller stjålet. Det som er utelatt er at iPhone støtter å finne enheter uten nett (og til og med slått av), mens Pixel må være slått på og koblet til Wi-Fi eller mobilnettverk.
Fysisk tilgangskontroll:Her er et annet område hvor Apple og Google Pixel 6 hver fikk full karakter, men de ville ikke blitt rangert så høyt hvis effektiviteten ble sett på i stedet for bare å ha funksjonen. iPhone 13 ansikts-ID har en 1:1 millioner falsk aksepteringsrate (FAR) mens Pixel 6 har en 1:50 000 FAR. Det har også vært mange rapporter om at Pixel 6 har en treg fingeravtrykkskanner.
Jeg kan komme med lignende argumenter for sikker sikkerhetskopiering, maskinvaresikkerhet og nettverkssikkerhet der Apple er like god eller bedre enn Google Pixel 6. Den ene delen jeg følte var nøyaktig var anti-phishing, selv om skrivelsen -up var noe misvisende. Safari bruker Google sikker nettlesing, men rapporten nevner ikke det. Pixel 6 har et anti-phishing-varslingssystem på enheten, som iPhone ikke har. Merkelig nok er det ene området der Google har en klar seier over Apple, rangert veldig lavt på viktighetsskalaen.
Nettoresultatet er at etter å ha lest rapporten, ville jeg ha rangert Apple som god eller bedre enn Google Pixel 6, hvis effektivitet ble brukt i stedet for å telle underfunksjoner. I dette tilfellet blir Apple straffet for å ha solide funksjoner. Dette er beslektet med å rangere en bil tryggere fordi den har en fallskjerm for å stoppe den når den har bremser som er kjent for å svikte, versus en som har bremser som aldri svikter.