Kraken
  • 🐙Привет!
    • 👋Добро пожаловать!
  • ✏️Крупицы знаний
    • 🌚Общие статьи
      • Как установить Kali Linux
      • Как поставить виртуальную Kali Linux
      • Что такое CVE
      • Обзор популярных алгоритмов хеширования
      • Модель OSI
      • Какие есть алгоритмы шифрования
      • Что такое TCP/IP
      • HSTS
      • Что такое хеширование и как его используют в ИБ
      • Скрипт для проверки данных SSL-сертификата
      • Шифруем файлы на Kali Linux с помощью OpenSSL
      • Как работает WPA2
      • О протоколе FTP
      • Что такое CVSS
      • Что такое политика одного источника (SOP)
      • О Cross-Origin Resource Sharing (CORS)
      • О Content Security Policy (CSP)
      • Что такое Bash
      • Веб-сокеты
      • MITRE ATT&CK
      • Начало в OSINT
      • Особенности и подходы к тестированию мобильных приложений
      • Что такое REST
      • Что такое API
      • Сравнение безопасности среды iOS и Android
      • CSS в ИБ
    • 🎪Карьера
      • Какие бывают роли у пентестеров и в чем их смысл
      • Какие есть виды пентеста
      • Что входит в пентест
      • Какие есть области знаний в веб-пентесте
      • Главные ошибки новичков в ИБ
    • 😰Уязвимости
      • Об атаке Pastejaking
      • Об уязвимости KRACK
      • Об уязвимости Regex DoS
      • Об атаке MITM
      • Что такое уязвимость нулевого дня
      • Атака на протокол STP
      • Защита протокола STP
      • Clickjacking
      • База при атаке на Wi-Fi
      • Атаки по сторонним каналам
      • DNS ребайндинг
    • ⚙️Инструменты
      • Лучшие сканеры открытых портов и инструменты проверки портов
      • Что такое OWASP ZAP и как он помогает защитить приложения?
      • О фреймворке WiFi Exploitation Framework (WEF)
      • WeBaCoo — поддерживаем доступ к взломанному веб-серверу
      • Socialscan — проверяем использование электронной почты и имен пользователей в соцсетях
      • Обзор инструментов Red Team
      • 11 инструментов для сканирования уязвимостей
      • Подборка инструментов для автоматизации атак на JWT
      • О Bulk_Extractor
      • О Unicornscan
      • О Maryam
      • О Picocrypt, утилите для шифрования данных
      • Анализируем трафик с ZUI (Zed User Interface)
      • Об инструменте SkipFish
      • Как получить уведомления на почту о входе по SSH
      • О сканере OpenSCAP
      • О Censys — инструменте для поиска уязвимых поддоменов
      • О Scanless — инструменте для анонимного сканирования открытых портов
      • О SearchSploit — инструменте для поиска эксплойтов
      • Выбираем менеджер паролей
      • О Maltego
      • Устанавливаем и используем Snyk CLI в Windows
      • Проверяем безопасность Docker-образов с помощью Trivy
      • Об инструменте SpiderFoot
      • Сканируем сети с помощью скриптов Bash
      • О фреймворке Volatility на Windows
      • Определяем тип WAF с помощью WafW00f
      • Об инструменте ReNgine
      • О Foremost — инструменте для восстановления данных
      • Chisel — инструмент для проброса портов
      • O Yersinia
      • Об Acunetix
      • O Netcat
      • O Samba
      • O John the Ripper
      • О Common User Passwords Profiler (CUPP)
      • О RainbowCrack
      • Shodan
      • MobSF
      • Netsparker
      • Fortify
      • Veracode
      • Rapid7 InsightVM
      • Aircrack-ng
  • 🛠️ИНСТРУМЕНТЫ
    • ⌨️Беспроводные атаки
      • Aircrack-Ng
    • 🔑Атаки на пароли
      • Crunch
      • John
      • CUPP
      • Hashcat
      • Hydra
    • 👁️Сбор Информации
      • Masscan
      • Dnsenum
      • Parsero
      • Nmap
  • 👨‍💻Пентест
    • Методология
    • 🖥️Аппаратный/Физический доступ
      • Физические атаки
      • Побег из КИОСКа
  • 👾MITRE
    • 🗺️Тактики
      • 🏢Предприятия
        • Разведка
      • 📱Мобильные устройства
      • 🏭ICS
    • 💀CTI
      • ☠️Группы
        • admin@338
        • Ajax Security Team
        • ALLANITE
        • Andariel
  • 📟Справочник по безопасной разработке
    • 👨‍🔬CLIENT SIDE
      • Cross-Site Scripting [XSS]
      • Cross-Site Request Forgery [CSRF]
      • Clickjacking
      • Open Redirects
    • 🖥️SERVER SIDE
      • SQL Injections [SQLi]
      • XML External Entity Injection [XXE]
      • OS Command Injection [Command Execution]
      • File Upload
      • Server-Side Request Forgery [SSRF]
      • Host Header Injection
      • Аутентификация
      • Directory Traversal
      • Template Injection [SSTI]
    • API
  • 🐝OWASP
    • Cross Site Scripting (XSS)
Powered by GitBook
On this page
  1. Крупицы знаний
  2. Общие статьи

Сравнение безопасности среды iOS и Android

В этой статье сравним две главные ОС в мире приложений с точки зрения кибербезопасности. Расскажем о многих аспектах, но в общих чертах: от архитектуры до политики конфиденциальности.

Архитектура системы

iOS
Android

Закрытая система с строгим контролем Apple над всеми аспектами ОС

Открытая операционная система, что дает производителям гаджетов возможность её модификации.

Жесткий контроль над App Store → как итог меньшее количество вредоносных приложений

Google Play Market имеет более открытую политику, что может привести к большему количеству вредоносных приложений. Однако Google регулярно сканирует приложения на вредоносные программы.

Только Apple создает устройства, что обеспечивает лучшую интеграцию аппаратных и программных решений.

Множество производителей устройств с Android, что может привести к различиям в безопасности на разных устройствах.

Обновления системы

iOS
Android

Обновления выходят непосредственно от Apple и доступны для всех поддерживаемых устройств одновременно.

Обновления могут задерживаться из-за необходимости их модификации различными производителями устройств.

Пользователи быстрее получают обновления безопасности и новые версии операционной системы.

Некоторые старые или недорогие устройства могут вообще не получать обновления (хотя старых айфонов это тоже касается)

Магазин приложений

iOS
Android

Строгий процесс проверки приложений перед публикацией.

Google Play Market также проверяет приложения, но из-за более открытой природы Android, риск вредоносного ПО выше.

Меньше шансов столкнуться с вредоносным ПО

Существует множество сторонних магазинов приложений, где проверка приложений менее строгая.

Шифрование и безопасность данных

iOS
Android

Шифрование данных изначально встроено в систему и активировано по умолчанию.

Предоставляет шифрование и безопасные методы биометрической аутентификации, но реализация может отличаться у разных устройств.

Более строгие настройки конфиденциальности.

Настройки конфиденциальности постоянно улучшаются с каждым новым выпуском Android.

Взлом и jailbreak/root

iOS
Android

Jailbreak устройств iOS может увеличить риск безопасности, однако делать это гораздо сложнее, и он быстро блокируется обновлениями системы.

Получение root-доступа более распространено среди пользователей Android

Регулирование доступа к функциям устройства

iOS
Android

Приложениям обычно требуется явное разрешение пользователя для доступа к определенным функциям устройства или личным данным.

Последние версии Android значительно ужесточили политику доступа

Экосистемы и сопутствующие услуги

iOS
Android

Apple постоянно обновляет свои услуги, такие как iCloud и Find My, для обеспечения улучшенной безопасности и конфиденциальности данных.

Google также предлагает сопутствующие сервисы, включая Google Drive и Find My Device, с похожими функциями и улучшенной безопасностью.

Алгоритмы безопасности и защита уязвимостей

Обе платформы регулярно обновляют свои алгоритмы шифрования и безопасности, а также патчат известные уязвимости. Тут сложно выделить особые различия.

Политика конфиденциальности

iOS
Android

Apple акцентирует внимание на конфиденциальности и усиливает её через новые функции, такие как обозреватель приватности в Safari, минимизация данных трекеров и прозрачность использования приложений.

В последних обновлениях Android также видны усилия по усилению конфиденциальности, например, с изоляцией разрешений приложений и уведомлениями об использовании данных.

Поддержка сторонних разработчиков

iOS
Android

Строгий контроль над API и доступом к функциям устройства обеспечивает дополнительный уровень безопасности.

Более открытые API и возможности для разработчиков могут влиять как на инновации, так и на потенциальные риски безопасности.

Краткий итог: iOS — система построже Andoid, поэтому здесь взлом сложнее. А ещё у Apple закрытая экосистема с большим количеством единых (и высоких) стандартов безопасности. Но не стоит говорить, что приложения на Android лёгко взламывать. Как минимум последние обновления усиливают контроль, здесь также выводят постоянно патчи. Есть в Android ещё один особый плюс: их открытая система быстро делится ошибками с общественностью. У Apple уже есть парочка скандалов, связанных с приватностью. Так как вся система принадлежит одной компании, есть корпоративная возможность что-то умалчивать, чтобы не нести репутационные риски.

Last updated 1 year ago

✏️
🌚