iOS vs. Android: quin és més segur?

Apple_Android

Després de que hagi estat trobat un greu problema de seguretat al sistema operatiu mòbil d’Apple, Panda Security intenta aportar una mica més de llum sobre l’eterna pregunta.

XCodeGhost és un virus informàtic que afecta l’entorn de desenvolupament d’apps mòbils d’Apple i, per extensió, les seves creacions. Fou detectat fa pocs dies en prop d’una quarantena d’aplicacions presents a l’App Store de la companyia de la poma, la botiga d’aplicacions que permet comprar, descarregar i instal·lar programes que, en principi, haurien de ser segurs. I entre les apps afectades, algunes de molt conegudes i reconegudes…

D’ençà de l’anunci, per a alguns mitjans ha semblat la vinguda de l’apocalipsi per als dispositius mòbils d’Apple, però les companyies dedicades a la seguretat informàtica ja fa temps que malden per poder establir quina és la plataforma mòbil més segura entre iOS (la que munten els iPhone i els iPad) i Android (de Google), les dues més emprades pels usuaris.

En matèria d’informàtica no hi ha res segur al 100%, és a dir, cap sistema operatiu és “invulnerable”, però hi ha claus que ens permeten escollir entre un sistema operatiu més segur que no pas un altre.

Una d’aquestes claus és el nombre d’usuaris de la plataforma de programari; és normal i lògic pensar que a un cibercriminal li interessarà molt més un sistema operatiu emprat per un milió d’usuaris que no pas un altre que només el fan servir deu mil, ja que les possibilitats de contagi del seu malware entre usuaris de la mateixa plataforma augmenten en gran mesura quants més usuaris tinguem.

Per altra banda, però, un sistema operatiu que tingui pocs usuaris tampoc disposarà d’un gran nombre de tècnics al seu darrere que estiguin vetllant per la seva seguretat i intentant descobrir-hi forats per a tapar-los posteriorment. Tot té els seus pros i els seus contres.

L’opinió de les companyies de seguretat

Eugene Kasperky, fundador y màxim responsable de l’empresa que porta el seu cognom, Kaspersky Lab, és conegut per les crítiques que, amb el seu habitual sentit de l’humor, aboca sobre els productors de plataformes de programari mòbils i, especialment, per les topades que aquestes declaracions -i també les dels seus subordinats- li han provocat amb Google pels seus reiterats esments a Android.

Kaspersky va predir, ja fa temps, l’arribada d’un dia fatídic en el qual una epidèmia de malware afectaria una bona part dels terminals dels usuaris, una cosa així com un “dia del judici final” mòbil.

Apple, per la seva banda, sembla que segueix fidel a la política de l’empresa de no entrar a comentar allò que no valora interessant per a ficar-hi cullerada, ja sigui perquè se l’ataca o se la lloa.

Panda Security s’ha mantingut normalment força al marge d’aquesta picabaralla, però veient l’impacte que l’affaire XCodeGhost ha tingut entre el públic final, ha cregut oportú preguntar-se per les fortaleses i febleses de cadascuna de les dues plataformes líders en el mercat, i ho ha fet a través del seu blog corporatiu, en una entrada en la qual hi analitza els avantatges i inconvenients d’iOS i d’Android.

Com a avantatges d’iOS hi esmenta el seu codi tancat (que, en certs aspectes, afirma que en millora la seguretat -per ofuscació-), i la verificació de les apps per a què aquestes puguin ser exhibides a l’App Store (malgrat que, com hem vist abans, aquest és un procediment que ha fallat desastrosament), mentre que entre els inconvenients hi esmenta els reeixits atacs a l’Apple ID com el que va dur a la filtració de milers d’imatges íntimes de celebritats.

Si parlem d’Android, l’ús del llenguatge C++ per a desenvolupar-hi apps és vist per Panda com un punt fort, mentre que l’ús de Java el té en compte com una feblesa. També considera que la botiga d’aplicacions oficial de la plataforma és menys segura.

No hi ha cap conclusió, no apunta ni dispara contra cap de les dues plataformes (no queda malament ni amb Apple ni amb Google, això ja es veu clar) però si que acaba donant responsabilitat als usuaris ja que són els responsables últims de la seguretat dels seus dispositius mercès a unes bones pràctiques que han de seguir.

Evidentment, l’usuari té la responsabilitat pròpia de no caure en comportaments i pràctiques que puguin posar en perill la seguretat del seu dispositiu i, per extensió, la de les seves dades, però també és el fabricant tant del sistema operatiu com de l’aplicació, el responsable de proporcionar les mesures de seguretat actives i passives necessàries per enfrontar-se a l’acció dels cibercriminals, i aquesta responsabilitat no es pot traspassar en exclusiva ni als usuaris ni als productors de solucions de seguretat.

Malgrat que és cert que una seguretat profunda de l’aplicació implica despeses en les quals el desenvolupador no sempre hi pot incòrrer, també és cert que molts cops ho considera una pèrdua de temps, deixant a càrrec d’un altre la responsabilitat que li correspon a ell.

És curiós fixar-se com algunes apps ampliament emprades i que treballen amb dades sensibles no es preocupen tant de la seva seguretat com, per exemple, una app en principi tan senzilla i trivial com la de la cadena de restauració Subway, la qual, no obstant, disposa de la possibilitat de realitzar pagaments en línia des del mateix programa, convertint-se en un exemple de com si s’han de fer les coses.

T'interessen aquests continguts en català?

Subscriu-te al butlletí d'ycom i rebràs la informació més destacada i articles exclusius al teu correu electrònic una vegada per setmana.

Guillem Alsina

Redactor en cap d'ycom.cat i atombit.es. De formació tècnica, escriu sobre tecnologia

000-017   000-080   000-089   000-104   000-105   000-106   070-461   100-101   100-105  , 100-105  , 101   101-400   102-400   1V0-601   1Y0-201   1Z0-051   1Z0-060   1Z0-061   1Z0-144   1z0-434   1Z0-803   1Z0-804   1z0-808   200-101   200-120   200-125  , 200-125  , 200-310   200-355   210-060   210-065   210-260   220-801   220-802   220-901   220-902   2V0-620   2V0-621   2V0-621D   300-070   300-075   300-101   300-115   300-135   3002   300-206   300-208   300-209   300-320   350-001   350-018   350-029   350-030   350-050   350-060   350-080   352-001   400-051   400-101   400-201   500-260   640-692   640-911   640-916   642-732   642-999   700-501   70-177   70-178   70-243   70-246   70-270   70-346   70-347   70-410   70-411   70-412   70-413   70-417   70-461   70-462   70-463   70-480   70-483   70-486   70-487   70-488   70-532   70-533   70-534   70-980   74-678   810-403   9A0-385   9L0-012   9L0-066   ADM-201   AWS-SYSOPS   C_TFIN52_66   c2010-652   c2010-657   CAP   CAS-002   CCA-500   CISM   CISSP   CRISC   EX200   EX300   HP0-S42   ICBB   ICGB   ITILFND   JK0-022   JN0-102   JN0-360   LX0-103   LX0-104   M70-101   MB2-704   MB2-707   MB5-705   MB6-703   N10-006   NS0-157   NSE4   OG0-091   OG0-093   PEGACPBA71V1   PMP   PR000041   SSCP   SY0-401   VCP550   2V0-621   200-120   JK0-022   9A0-385   70-533   1z0-434   N10-006   PMP   70-532   300-320   70-412   100-105  , 70-410   9L0-066   NSE4   000-105   400-201   300-208   MB2-704   70-417   ICBB   350-060   NSE4   HP0-S42   NSE4   1Z0-144   70-246   101-400   000-017   300-208   1Z0-060   101-400   102-400   1Z0-804   70-534   350-029   70-178   70-462   EX200   000-017   9L0-012   CAP   000-106   C_TFIN52_66   c2010-652   CCA-500   70-488   N10-006   642-999   M70-101   300-135   2V0-621   CAP   300-135   C_TFIN52_66