211service.com
Comment la sécurité Android s'empile
Les téléphones intelligents d'aujourd'hui ont toute la vitesse, le stockage et la connectivité réseau des ordinateurs de bureau d'il y a quelques années. Pour cette raison, ils constituent un trésor d'informations personnelles et probablement le prochain champ de bataille pour la sécurité informatique.

La reconnaissance de formes: Le Nexus One fonctionnant sous Android utilise un schéma de déverrouillage qui doit être saisi chaque fois que l'écran du téléphone est activé.
Ce qui rend les téléphones intelligents attrayants – la possibilité de les personnaliser en téléchargeant des applications – est ce qui les rend dangereux. Les applications font du téléphone mobile un véritable ordinateur, et l'App Store d'Apple a été un facteur clé du succès du téléphone. Mais les applications font également des smartphones une cible pour les cybercriminels.
Apple sait qu'il ne faudrait pas plus que quelques applications malveillantes pour ternir la réputation de l'iPhone. C'est pourquoi l'App Store est une communauté fortifiée. Les seules applications répertoriées sont celles qui ont été approuvées par Apple. Pour être approuvés, les développeurs doivent créer un compte développeur et payer des frais annuels. Une équipe d'Apple évalue et approuve chaque version de chaque application mise à disposition. Apple aurait refusé environ 10 % des applications soumises à l'App Store car elles voleraient des données personnelles, elles contiennent un contenu inapproprié ou sont conçues pour aider un utilisateur à enfreindre la loi.
Google a adopté une approche fondamentalement différente pour assurer la sécurité des téléphones intelligents fonctionnant sous Android. Comme Apple, Android dispose également d'une boutique, appelée Android Marketplace, à partir de laquelle les utilisateurs peuvent télécharger des applications. Mais contrairement à Apple, n'importe quelle application peut être téléchargée sur Android Marketplace - Google ne les évalue pas en premier. Ce qui protège les utilisateurs d'Android contre les applications malveillantes est un modèle de sécurité basé sur les capacités.
Chaque application Android doit indiquer au système d'exploitation d'un téléphone les capacités dont il a besoin. Lorsque vous installez l'application, le système d'exploitation répertorie les fonctionnalités dont l'application a besoin pour s'exécuter. Vous pouvez ensuite décider si ces capacités sont cohérentes avec ce que l'application prétend vouloir. Par exemple, l'application TaxCaster Mobile d'Intuit nécessite un accès Internet complet car elle doit prendre votre entrée, l'envoyer aux serveurs d'Intuit et vous montrer les résultats. D'autre part, l'application Slacker Radio de Slacker nécessite Bluetooth, un accès Internet complet, modifier/supprimer l'accès à votre carte SD, la possibilité de modifier les paramètres audio, la possibilité de lire l'identité des appels téléphoniques entrants, la possibilité de changer Wi -État Fi et possibilité d'empêcher votre téléphone de dormir.
Le système basé sur les capacités a l'avantage d'être appliqué par le système d'exploitation. Il n'y a tout simplement aucun moyen pour une application de faire plus que ce qu'elle dit. Cela ne dépend pas non plus de la vigilance des examinateurs humains.
Le problème avec les capacités est qu'il n'y a aucun moyen d'être sûr qu'une application agira de manière appropriée avec la confiance qui lui est accordée. Par exemple, en décembre une application bancaire en ligne a été publiée sur l'Android Marketplace qui semblait être pour la First Tech Credit Union. Il s'est avéré que l'application était frauduleuse – juste une autre arnaque par hameçonnage. Google a supprimé l'application malveillante peu de temps après sa découverte, mais on ne sait pas combien de personnes sont tombées dans le piège.
Les fonctionnalités ne peuvent pas protéger les utilisateurs contre ce type d'attaque, car l'application malveillante demande les mêmes privilèges qu'une application légitime, c'est-à-dire la possibilité d'accepter le nom d'utilisateur et le mot de passe d'une personne et de communiquer ces informations sur Internet avec un serveur distant. .
Un autre problème avec le système basé sur les capacités est qu'il oblige les utilisateurs à bien réfléchir à la sécurité. De nombreux utilisateurs sont incapables d'évaluer correctement les risques du logiciel qu'ils souhaitent télécharger et exécuter, même lorsqu'ils soupçonnent que le logiciel peut être malveillant.
Il existe d'autres différences de sécurité importantes entre l'iPhone et les téléphones Android. Les deux peuvent être configurés pour se verrouiller automatiquement après une période d'inactivité et nécessitent un code d'accès avant de pouvoir être réutilisés. Mais l'iPhone peut être configuré pour effacer toutes les données qu'il contient après 10 tentatives infructueuses de mot de passe. L'iPhone prend également en charge l'effacement à distance. L'Android de Google n'a aucune de ces fonctionnalités, ce qui rend le système fondamentalement moins sécurisé. (Une application tierce appelée Wave Secure offre certaines de ces fonctionnalités, mais j'ai trouvé qu'elles étaient mal intégrées au système Android.)
Un autre avantage de sécurité important de l'iPhone est un délai réglable par l'utilisateur pour le code de verrouillage. Si vous définissez un schéma de déverrouillage avec un téléphone Android, vous devez fournir ce schéma chaque fois que vous allumez l'écran du téléphone. Avec l'iPhone, vous pouvez définir un délai afin que le code de déverrouillage n'ait pas besoin d'être entré si le téléphone n'a été endormi que pendant une minute, cinq minutes, 15 minutes, une heure ou quatre heures. Plus la période est courte, plus vos données sont bien sûr sécurisées. Mais pouvoir régler le délai sur cinq minutes ou même 15 minutes rend l'utilisation de cette fonctionnalité beaucoup moins onéreuse. Avec mon téléphone Android, je saisis constamment le code de déverrouillage, même à la fin d'un appel téléphonique d'une minute. C'est tellement ennuyeux que j'envisage sérieusement de l'éteindre.
Je souhaite que l'iPhone ait l'architecture de sécurité basée sur les capacités d'Android, car cette couche de protection supplémentaire offre des garanties de sécurité importantes. Mais même sans cela, la gamme de fonctionnalités de sécurité de l'iPhone en fait un meilleur choix pour les personnes qui ont besoin de conserver des informations sensibles sur leur téléphone. Cela dit, j'espère que Google apportera de grandes améliorations avec la prochaine version du système d'exploitation Android.