Er is veel discussie in de industrie over de vraag of iOS of Android het veiligste mobiele apparaat is. In al mijn gesprekken met beveiligingsprofessionals zijn de meeste, zo niet alle, van mening dat Apple's iOS inherent veiliger is dan het door Google gebouwde Android. Dit recente artikel beschrijft een aantal sterke punten van iOS ten opzichte van Android op het gebied van privacy, zoals de nieuwe functie van Apple waarmee gebruikers kunnen voorkomen dat apps ze volgen. In het artikel stelt de auteur: “Als het om privacy gaat, staan Google en Apple bijna tegenover elkaar.”
Een nieuwe studie smeekt echter om te verschillen; een rapport van onderzoeksbureau Omdia trok mijn aandacht. De belangrijkste bevinding is dat de Google Pixel 6 met Android 12 aanzienlijk veiliger is dan de Apple iPhone 12 Pro met iOS 15. Er zijn vergelijkingen met twee andere op Android gebaseerde telefoons: de Samsung Galaxy S21 Ultra en de Xiaomi Mi 11 5G. In het rapport werd elke leverancier beoordeeld op negen verschillende factoren en gewogen in volgorde van belangrijkheid. De Google Pixel 6 behaalde een perfecte score van 5,4, terwijl Apple vierde werd met 4,03. De weging bleek niet relevant vanwege de perfecte score van de Pixel 6.
Aangezien ik altijd geloofde dat Apple een ruimere beveiliging had, vond ik het de moeite waard om in dit rapport te duiken en de criteria te begrijpen. Een interessant punt is dat ik altijd naar iOS- versus Android-software had gekeken; dit rapport deed zijn analyse op apparaatniveau, wat een mix van hardware en software betekent.
Na het doorlezen van het rapport, vond ik een aantal twijfelachtige punten die volgens mij de moeite waard waren om naar voren te brengen. Dit zijn:
Sponsorschap
Het meest twijfelachtige feit over het rapport is dat Google, de fabrikant van de Pixel-telefoons, de sponsor was van een rapport waarin het een perfecte score behaalde. Het zegt in wezen dat de Google Pixel 6 een perfect apparaat is met betrekking tot beveiliging, en dat is gewoon niet waar, omdat elk apparaat kan worden geschonden. Google heeft beveiligingspatches voor de telefoon uitgegeven, wat aangeeft dat er op zijn minst een paar problemen waren. Niet al het gesponsorde onderzoek is slecht, maar in combinatie met een perfecte ranking doet het wonderen.
Methodologie
De weging van de beveiligingscriteria gebeurt door consumenten te vragen het belang van de negen kenmerken te rangschikken. Hoewel het rapport dit niet expliciet vermeldt, geloof ik dat de 1.520 respondenten werd gevraagd hun top drie te kiezen, omdat het totale percentage oploopt tot 300%. Naar mijn mening is dit een twijfelachtige manier om het te doen, omdat de gemiddelde eindgebruiker geen beveiligingsexpert is. Dit zou hetzelfde zijn als iemand op straat vragen welke veiligheidsvoorzieningen het belangrijkst zijn in een vliegtuig. Ik vlieg veel, maar ik heb geen idee van het relatieve belang van elke functie. Bij het onderzoek had een panel van beveiligingsprofessionals moeten worden gebruikt.
Scoren
Dit was ook gebrekkig omdat de score in elke sectie was afgeleid van het tellen van het aantal kenmerken versus het behalen van het doel van de categorie. Een goede manier om hierover na te denken, is dat het telde “vinkjes” versus hoe goed die werkten. Het is zeker niet de meest effectieve manier om te scoren, en ik zal het hieronder uitleggen.
Identiteitsbescherming:Dit was de best beoordeelde functie van gebruikers, maar de methodologie was volledig mislukt. Google scoorde het hoogst omdat het de meeste identiteitsopties had, wat logisch is omdat het gekoppeld is aan iemands Gmail-account. Gebruikers kunnen kiezen tussen eenmalige wachtwoorden, FIDO, pushmeldingen en andere, waar Apple slechts twee factoren heeft, dus Google kreeg de hoogste score. Wat hier niet wordt verteld, is dat Apple iCloud de grootste en een van de meest – zo niet de meest – succesvolle implementatie van tweefactorbeveiliging in de branche is. Met identiteit is meer niet altijd beter. Apple doet ook een aantal interessante dingen wanneer gebruikers meerdere apparaten hebben; het zal u bijvoorbeeld informeren als u inlogt op uw Mac in San Jose terwijl uw telefoon net is geverifieerd in Rusland.
Beveiligingsupdates: Het rapport heeft een merkwaardige benadering van beveiligingsupdates. Een van de criteria is hoe lang de leverancier zich inzet voor het leveren van beveiligingsupdates. Het geeft Google Pixel 6 een perfecte score omdat het zich inzet voor wat het noemt “een solide beveiligingsupdateperiode van vijf jaar”, de langste van alle geteste leveranciers. Het beoordeelt Apple strenger omdat het niet documenteert hoe lang de ondersteuningsperiode is, maar dan vermeldt “Apple-apparaten krijgen meestal vijf tot zes jaar ondersteuning.” Het beloont Google ook voor het mogelijk maken van upgrades via de Google Play Store en verwijst naar de methodologie van Apple als “monolithisch”, maar definieert niet wat dat betekent. Het feit is dat Apple een bewezen staat van dienst heeft in het leveren van updates aan meer dan een miljard apparaten in minder dan een week wanneer dat nodig is, en is dat niet het belangrijkste?
Anti-malware: Dat Apple hier een lagere score heeft dan de drie Android-telefoons maakte me eigenlijk aan het lachen. Het rapport stelt: “Terwijl Samsung, Google en Xiaomi anti-malware-oplossingen in hun apparaten hebben ingebouwd om kwaadaardige software te beschermen en te detecteren, ontbreekt het Apple hier.” De reden dat Apple geen anti-malware op het apparaat heeft, is dat het App Store- en ecosysteembescherming biedt, terwijl Google dat niet heeft. Tot grote ergernis van veel gebruikers staat Apple ook niet toe dat apps zijwaarts worden geladen, dus er kan geen “achterdeur”-malware zijn. Dit rapport van Panda Security stelt dat Android-apparaten verantwoordelijk zijn voor 47% van alle waargenomen malware, vergeleken met minder dan 1% voor iPhones. Dit wordt een vicieuze cirkel; bedreigingsactoren zullen zich vaak eerst op Android richten omdat inbreuken gemakkelijker zijn, wat het Android-probleem nog vergroot.
Verloren apparaten:Het rapport geeft zowel Apple als Google Pixel de hoogste score voor het hebben van een webgebaseerde tool en mobiele app om het apparaat te lokaliseren, activeren, vergrendelen en wissen als het verloren of gestolen is. Wat wordt weggelaten, is dat iPhone het vinden van offline (en zelfs uitgeschakelde) apparaten ondersteunt, terwijl Pixel moet worden ingeschakeld en verbonden met wifi of mobiel.
Fysieke toegangscontrole:Hier is nog een gebied waar Apple en Google Pixel 6 elk volledige punten hebben gekregen, maar ze zouden niet zo hoog zijn gerangschikt als naar de effectiviteit werd gekeken in plaats van simpelweg de functie te hebben. De gezichts-ID van de iPhone 13 heeft een valse acceptatiegraad van 1:1 miljoen (FAR), terwijl de Pixel 6 een FAR van 1:50.000 heeft. Ook zijn er veel meldingen geweest dat de Pixel 6 een trage vingerafdrukscanner heeft.
Ik kan vergelijkbare argumenten aanvoeren voor veilige back-ups, hardwarebeveiliging en netwerkbeveiliging waar Apple net zo goed of beter is dan Google Pixel 6. Het enige gedeelte dat volgens mij juist was, was anti-phishing, hoewel het schrijven -up was enigszins misleidend. Safari gebruikt veilig browsen van Google, maar het rapport vermeldt dat niet. De Pixel 6 heeft wel een anti-phishing waarschuwingssysteem op het apparaat, wat de iPhone niet heeft. Vreemd genoeg staat het enige gebied waar Google een duidelijke overwinning op Apple heeft, erg laag op de belangrijkheidsschaal.
Het netto resultaat is dat ik, na het lezen van het rapport, Apple als goed of beter zou hebben beoordeeld dan Google Pixel 6, als effectiviteit was gebruikt in plaats van subfuncties te tellen. In dit geval wordt Apple gestraft voor het hebben van solide functies. Dit is vergelijkbaar met het rangschikken van een auto als veiliger omdat hij een parachute heeft om hem te stoppen wanneer hij remmen heeft waarvan bekend is dat ze falen, in plaats van een die remmen heeft die nooit falen.