211service.com
Hur Android Security stackar upp
Dagens smarta telefoner har samma hastighet, lagring och nätverksanslutning som stationära datorer från några år sedan. På grund av detta är de en skattkammare av personlig information - och förmodligen nästa slagfält för datorsäkerhet.

Mönsterigenkänning: Den Android-drivna Nexus One använder ett upplåsningsmönster som måste anges varje gång telefonens skärm aktiveras.
Det som gör smarta telefoner attraktiva – möjligheten att anpassa dem genom att ladda ner applikationer – är det som gör dem farliga. Appar gör mobiltelefonen till en riktig dator och Apples App Store har varit en nyckelfaktor för telefonens framgång. Men appar gör också smarta telefoner till ett mål för cyberbrottslingar.
Apple vet att det inte skulle krävas mer än några skadliga appar för att fördärva iPhones rykte. Det är därför App Store är en muromgärdad gemenskap. De enda appar som listas är de som har godkänts av Apple. För att bli godkänd måste utvecklare skapa ett utvecklarkonto och betala en årlig avgift. Ett team på Apple utvärderar och godkänner varje version av varje applikation som görs tillgänglig. Apple avslår enligt uppgift ungefär 10 procent av ansökningarna som skickas in till App Store eftersom de skulle stjäla personuppgifter, de innehåller olämpligt innehåll eller är utformade för att hjälpa en användare att bryta mot lagen.
Google har tagit ett fundamentalt annorlunda tillvägagångssätt för att säkerställa säkerheten för smarta telefoner som kör Android. Liksom Apple har Android också en butik, kallad Android Marketplace, från vilken användare kan ladda ner applikationer. Men till skillnad från Apple kan alla program laddas upp till Android Marketplace – Google utvärderar dem inte först. Det som skyddar Android-användare från skadliga applikationer är en säkerhetsmodell baserad på kapacitet.
Varje Android-app måste berätta för en telefons operativsystem vilka funktioner den kräver. När du installerar programmet listar operativsystemet de funktioner som programmet behöver för att köras. Du kan sedan bestämma om dessa funktioner är förenliga med vad applikationen hävdar att den kommer att göra. Till exempel kräver TaxCaster Mobile-applikationen från Intuit full internetåtkomst eftersom den behöver ta emot din input, skicka den till Intuits servrar och visa dig resultaten. Å andra sidan kräver Slacker Radio-applikationen från Slacker Bluetooth, full internetåtkomst, modifiera/ta bort åtkomst till ditt SD-kort, möjligheten att ändra ljudinställningar, möjligheten att läsa identiteten för inkommande telefonsamtal, möjligheten att ändra Wi -Fi-tillstånd och möjligheten att förhindra att din telefon sover.
Det kapacitetsbaserade systemet har fördelen att det upprätthålls av operativsystemet. Det finns helt enkelt inget sätt för en ansökan att göra mer än den säger. Det beror inte heller på vaksamheten hos mänskliga screeners.
Problemet med funktioner är att det inte finns något sätt att vara säker på att en applikation kommer att agera korrekt med det förtroende som den ges. Till exempel redan i december en webbbankapplikation lades ut på Android Marketplace som verkade vara för First Tech Credit Union. Det visade sig att applikationen var bedräglig – bara ytterligare ett nätfiskebedrägeri. Google tog bort den oseriösa appen kort efter att den upptäcktes, men det är oklart hur många som föll för bluffen.
Funktioner kan inte skydda användare från denna typ av attack eftersom den oseriösa applikationen bad om samma privilegier som en legitim applikation skulle – det vill säga förmågan att acceptera en persons användarnamn och lösenord och att kommunicera den informationen över Internet med en fjärrserver .
Ett annat problem med det kapacitetsbaserade systemet är att det kräver att användarna tänker noga på säkerheten. Många användare kan inte korrekt utvärdera riskerna med programvaran som de vill ladda ner och köra – även när de misstänker att programvaran kan vara skadlig.
Det finns andra viktiga säkerhetsskillnader mellan iPhone och Android-baserade telefoner. Båda kan ställas in så att de låses automatiskt efter en period av inaktivitet och kräver ett lösenord innan de kan användas igen. Men iPhone kan ställas in för att radera all data som den innehåller efter 10 misslyckade lösenordsförsök. iPhone stöder även fjärrspolning. Googles Android har ingen av dessa funktioner, vilket gör systemet i grunden mindre säkert. (En tredjepartsapplikation som heter Wave Secure erbjuder några av dessa funktioner, men jag har tyckt att de är dåligt integrerade med Android-systemet.)
En annan viktig säkerhetsfördel för iPhone är en användarinställbar fördröjning för låskoden. Om du ställer in ett upplåsningsmönster med en Android-telefon måste du ange det mönstret varje gång du slår på telefonens skärm. Med iPhone kan du ställa in en fördröjning så att upplåsningskoden inte behöver anges om telefonen bara har sovit i en minut, fem minuter, 15 minuter, en timme eller fyra timmar. Ju kortare tidsperiod, desto säkrare är din data förstås. Men att kunna ställa in fördröjningen på fem minuter eller till och med 15 minuter gör det mycket mindre betungande att faktiskt använda den här funktionen. Med min Android-telefon anger jag hela tiden upplåsningskoden, även i slutet av ett telefonsamtal på en minut. Det är så irriterande att jag allvarligt överväger att stänga av det.
Jag önskar att iPhone hade Androids kapacitetsbaserade säkerhetsarkitektur, eftersom det extra skyddslagret ger viktiga säkerhetsgarantier. Men även utan det gör iPhones utbud av säkerhetsfunktioner den till ett bättre val för människor som behöver behålla känslig information på sin telefon. Som sagt, jag är hoppfull att Google kommer att göra stora förbättringar med nästa version av Android-operativsystemet.