亚原子科技无线事业部

NEWS新闻

iOS和Android 谁更安全?是时候给你个答案了......

UPTATED:2019-01-11 10:26:00
不知道大家有没有留意前段时间的一则新闻, 《纽约时报》 发文说:“中国和俄罗斯情报部门一直在监控特朗普的个人苹果手机”。
 
结果我国外交部新闻发言人华春莹霸气回应:“如果特朗普担心苹果手机不安全,可改用华为。” 李小龙也出来互动说“如果特朗普购买有困难的话可以来找我”
 
虽然是一则外交新闻,但有些朋友也会有疑问,难道 华为手机比iPhone更安全?
 
在这背后是安卓和iOS两大阵营的对比。
 
Let's Rock !
 
一直以来,大众的普遍认知甚至各路媒体报道都在强调安卓的安全性低于iOS,但事实真的是这样吗?
 
其实我们所理解的安全性是存在 偏差 的,固有观点认为开源的安卓系统必然安全性不如封闭的iOS。 讲道理 ,Android系统是谷歌公司的,iOS 系统是苹果公司的,两家都是市值几千亿美元的大公司,不太可能在安全技术上有绝对悬殊。
 
就拿2个月前,世界级手机破解大赛 Mobile Pwn2Own 来说,比赛结果iPhone X 被参赛选手成功破解,而华为的 P20 和谷歌的Pixel无人攻陷 ,这也在一定程度上证明并非安卓系统不安全,而是 两者的差异一定程度上在于系统对权限的控制和对应用的审核等等问题上。
 
当然客观来讲,一场比赛结果并不能直接断定哪款手机更安全,因为涉及的因素很多,比如系统版本、选手对不同机型的关注度等。
 
不过 问题来了 ,同样是安卓系统,为什么华为和谷歌Pixel的表现出人意料呢?
 
实际上,我们大部分人所使用到的安卓系统,都不是 “真安卓” ,市面上的手机厂商几乎没有搭载原生Android 系统,都是在原系统基础上的深度定制版。
 
比如华为是 EMUI ,小米是 MIUI ,OPPO是 ColorOS 、vivo 的 Funtouch OS ,锤子的 Smartisan OS 、一加的 氢 OS 等等。
 
号称基于Android开发的 情感化操作系统 ,我们称之为谷歌干儿子。而谷歌的亲儿子是谁呢?比如Nexus 和 Pixel 。
国内各手机厂商都在定制系统而不用原生系统,原因有很多,比如谷歌服务在国内无法正常使用,以及原生系统不够本地化,无法优化推送、后台等原因。
 
然而定制虽好,也会导致一些不可逆的问题,比如:碎片化,而碎片化也是安卓系统安全性削减的最大原因。
 
举个例子:
 
同样是下载软件, 98%以上的苹果用户都是直接入进AppStore下载应用,严格管控,童叟无欺。
 
上传iOS版的app到App Store审核非常严格,而且应用不上传到应用市场,手机就不能安装这个app。iOS在app的严格审核保障了app的安全性和质量。
 
所有在App Store上销售的软件都要通过苹果的API扫描审查, 如果发现使用了私有API是不会被允许上架销售的 。私有API是苹果公司没有开放给开发者的API,很多高级功能需要使用私有API才能实现,比如铃声设置,必须要用电脑里的iTunes软件才能设置。
 
国外大部分安卓用户也习惯去谷歌官方的应用市场 GooglePlay下载,管控也很到位,APP滥用权限的情况不多见。
 
可到了国内,由于谷歌不在中国大陆提供服务,不足2%的用户会通过其他手段使用GooglePlay。绝大多数用户只能自己寻找下载渠道,于是 各种软件分发应用 出现了。
 
大超市和小卖部的还是有差距的,国内应用市场的安全管控水准显然比不上苹果、谷歌这样的一线科技大佬。
 
于是,早期国内充斥着恶意软件、APP滥用权限等情况, 一个计算器软件也要获取GPS定位权限。 还涉及到一些重要的用户信息,比如通讯录,在使用某些软件的时候,如果不同意获取用户信息,应用可能会无法使用或直接闪退。
 
如果你授权给某个APP某种权限,比如麦克风,一旦授权,这个APP就永远拥有了这个权限。无论白天半夜,无论放进裤兜还是放在枕边,它都拥有录音权限,这不安全也不合理。
 
很多APP 都不那么老实:
 
要么读取不该读取的数据,侵犯隐私;
 
要么展示不该展示的内容(广告、不良信息),影响体验;
 
要么唤醒不该唤醒的进程,占用内存,耗费性能。
 
在这些问题上iOS确实会好很多。
 
碎片化带来的问题还有 漏洞修补 问题。
 
一个安卓漏洞的 理想修复流程 是这样的:
 
白帽子发现漏洞 → 提交给谷歌 → 谷歌收到后迅速修复 → 迅速下发补丁给厂商 → 厂商迅速为旗下的多个手机版本做补丁适配 → 然后迅速推送给用户安装。
 
要迅速到什么程度?至少要比黑产迅速。
 
然而, 实际情况是:
 
谷歌收到漏洞,先研究十天半月,下放补丁给厂商,厂商又花一段时间研究一下补丁是否有必要安装,是否有其他影响,然后去匹配各种机型,测试,每个机型花几天。
 
最后,等用户打上安全补丁,时间已过去好几个月,足够黑产把所有姿势玩个遍。甚至,有的厂商对旧机型干脆不推送安全补丁,任由其“自生自灭。”
 
而iOS的系统的安全性只能由苹果公司提供,工程师发现系统漏洞以后,立即修复,供用户更新使用。
 
如今安卓和iOS的安全性问题其实真的应该有所改观了,一方面近些年国内厂商在系统优化方面确实下了大功夫,综合水准稳步上升,华为就是一个例子;
 
另一方面,iOS其实并没有我们想象的那么安全,iOS 的系统漏洞其实比Android 更多,Android 因为是开源的系统,所以相关的漏洞更容易被发现和修复,而 iOS 是封闭的系统,它的漏洞只能指望苹果自己的工程师来修复。
 
相对来说,Android 的最新版其实相当安全。不过 Android 的问题是 ROM 更新太慢 ,由于大多数 ROM 都经过了厂商的定制,使得大多数人无法及时更新到最新的操作系统,这个问题极大地降低了 Android 的安全性。
 
其实所谓安全性都是相对而言的,不管 iOS 还是 Android, 它们都不是绝对安全的系统 。那么我们能做的就是,提高安全意识,尽量小心,避免打开未知链接、不从浏览器上直接下载来源不明的应用、经常检查系统更新、安装安全应用 ,这样才能有效保证手机系统安全,避免受到漏洞攻击和恶意软件的侵扰。