安卓和iOS哪個更安全?

這就像是技術領域的一場強強爭霸：兩大移動操作系統正面較量，就安全這一話題展開死拼。在當前這個時代，我們大家都在使用和處理如此眾多的敏感數據，安全顯得至關重要。蘋果新任首席執行官蒂姆#8226;庫克（Tim Cook）在去年10月登臺、為iPhone 4S發表主題演講時，他不失時機地透露了與iOS設備全球采用率有關的幾個統計數字。

他透露，自2007年發布第一代iPhone以來，這家總部設在丘珀蒂諾的公司賣出去的iOS設備超過了2.5億個。由于iOS是蘋果各種便攜式設備采用的操作系統，我們完全可以認為：這2.5億個包括iPhone、iPad、iPod touch以及第二代蘋果電視。站在另一陣營的是谷歌為大眾提供的操作系統：安卓。谷歌首席執行官拉里#8226;佩奇（Larry Page）也宣布，他們激活的安卓設備正好超過了1.9億個，谷歌更愿意稱之為激活量，而不是銷售量。在大多數情況下，統計數字并不撒謊，這一回顯然如此。但是考慮到iOS比安卓早上市足足十六個月，兩者之間的可比性不大。比較數字時要考慮的另一個重要因素是，蘋果只是將iOS添加在數量較少的設備上，而安卓用于驅動幾乎成千上萬的設備上，所以我認為：客觀地說，iOS在全球采用率方面仍占主導地位，至少眼下是這樣。

但是從安全的角度來看，這兩大操作系統相比各自到底如何？安全研究公司Veracode制作了一張非常有意思的信息圖，著重比較了一些更重要、更有意思的方面。

首先，不妨先說說這兩個平臺的相似之處以及它們都具有的安全功能。安卓和iOS都具有所謂的傳統訪問控制功能，這基本上就是用戶訪問設備、將設備置于睡眠或鎖住設備所用的方法。兩者還都擁有訪問控制設置，為應用程序添加或刪除權限，這就意味著用戶可以限制應用程序訪問某些服務或數據的功能。讓我覺得驚訝的是，這兩款操作系統對硬件的訪問比較有限。兩個平臺都含有好多層中間軟件，中間軟件在操作系統和底層硬件之間充當了中間人。最后，iOS和安卓都內置了應急機制，萬一出現基于Web的攻擊，就能對付這種攻擊。

公眾熱議的一個方面是分銷應用程序的方法。安卓用戶經常炮轟蘋果對開發人員采取的專橫做法和應用程序的提交方法。所有開發人員必須向蘋果提交二進制程序包，以便蘋果的工程師團隊審查；如果應用程序符合要求，同意放到應用程序商店（App Store）來分銷。這可能導致發布之前要等上比較長的時間；一些情況下，還會導致遭到蘋果拒絕，無法進入到應用程序商店。另一方面，安卓為開發人員提供了好多條途徑，其平臺能夠支持不止一個應用程序市場，還提供了大批分銷無線傳輸式（OTA）應用程序這一選擇。不過，蘋果起先批準應用程序可以銷售，后來認定應用程序違反了自己的某一條規定，隨后不提醒開發人員就擅自撤下，這種情況并不罕見。

現在我們再看一下這兩款操作系統各自的優缺點。兩種設備在運行時都采用了基于權限的訪問控制系統，如上述的那樣。不過，這兩種模式在這方面采取的做法不一樣。比如說，如果用戶使用的應用程序要求使用用戶的位置，就需要應用程序在屏幕上提供提示信息，請求獲得訪問用戶當前位置的權限。如果該用戶拒絕了請求，應用程序又依賴實際獲得用戶的許可權，那么應用程序就失效，因而毫無用處。另一頭是安卓采用的模式：用戶在下載時，為他們提供了應用程序權限需求列表。然后，用戶必須決定繼續下載還是“授予”權限。

iOS里面兩項很重要的安全功能是地理定位（Geo-location）和自動擦除功能。如果你在想：這兩項功能在實際情形下到底怎樣，只需想一想蘋果免費提供的Find My iPhone應用程序。萬一需要的話，該應用程序讓用戶可以找到丟失設備的位置，然后遠程清除該設備上的所有數據。如果這不行，要是設備落到壞人手里，壞人將通行碼（即PIN碼）輸錯了十次，那么里面的數據會自動清除。

那么缺點方面呢？這兩個平臺都有諸多缺點，但是大多數軟件不也是這樣嗎？信息圖中提到的一個例子是運行4.3.5之前iOS版本的蘋果設備存在的安全漏洞，這類設備容易遭到SSL MITM（中間人攻擊）；黑客不用費多大力氣，就能鉆這個漏洞的空子。考慮到某些蘋果設備因年限長而實際上并不被允許升級到更高版本的固件，因而總是仍容易受到攻擊，這一點尤其需要引起注意。同樣的更新問題關系到安卓設備，因為仍在合約期內的數百萬設備無法更新到安卓操作系統的最新版本。另外，安卓的應用程序市場相當于交戰地帶。安卓市場（Android Market）落實的安全機制微乎其微，谷歌允許幾乎任何應用程序都可以提交到該市場上銷售或下載。不像蘋果，谷歌在批準任何應用程序銷售之前，并不檢查其安全性或合法性。

信息圖還含有其他很有意思的部分信息，所以要確保全面看一下，并且閱讀所附的智能手機貼士，以便保護你和你的設備。說則比較樂觀的消息，知名的安全公司賽門鐵克承認，雖然iOS和安卓這兩種設備都存在安全漏洞，但是它們的安全性比PC都要高得多。

圖譯:

安卓VS iOS

兩者到底有多安全？

安卓和iOS都有：

傳統的訪問控制功能

比如密碼和閑置時段屏幕鎖定，以保護設備本身。

隔離功能

限制了某個進程訪問敏感數據或另一個進程所用系統資源的功能。

基于權限的訪問控制

為每個應用程序授予一組權限，限制了應用程序對指定設備數據和指定系統的訪問。

有限的硬件訪問

應用程序無法直接訪問底層硬件。應用程序與硬件的交互都完全由許多不同的軟件層來控制，這些軟件在應用程序和設備本身之間充當中間人。

抵制基于Web的攻擊

這兩個系統都內置了一些功能，抵制基于Web的攻擊。

不過

應用程序的分銷方法

安卓有更多的分銷渠道。

就安卓而言，有更多的機會和方法來裝入應用程序。

比如說：安卓設備支持不止一個應用程序商店，還支持大批分銷無線傳輸式應用程序。

iOS應用程序只能通過蘋果的應用程序商店來分銷。 應用程序商店

這兩種設備上都有數據加密功能

有不同的加密級別；其中一些是針對特定設備的。這兩款操作系統為應用程序提供了將加密的私密數據存儲到磁盤上的機制；但是應用程序并不總是充分利用這些功能。比如說，如果你同步到PC上，移動設備上加密的數據可能以明文格式存儲。

應用程序安全測試

各種安卓應用市場與蘋果應用程序商店在應用程序安全方面的驗證級別不一樣。安全和隱私沒有經過全面的測試；未授權訪問敏感數據的情況在蘋果應用程序商店和安卓市場中都已經發生過。

蘋果有時批準應用程序后又禁止

蘋果對于放到iTunes商店的應用程序有一個審批過程。可是，不難找到這樣的例子：某應用程序在被發現行為不端后，從應用程序商店撤下。

安卓

安全功能

#8226;基于權限的訪問控制：

安卓的訪問控制模式有別于iOS的訪問控制模式：在應用程序清單里面，有一份靜態的權限列表，這些權限是安卓應用程序事先請求的。用戶在安裝應用程序時可以看到該列表。

#8226;安裝應用程序：

官方的谷歌市場允許你將應用程序遠程安裝到手機上。它提示手機接受后方可安裝，因而不可能遠程安裝和運行像自動擦除或Find Me這種類型的應用程序。

iOS

安全功能

基于權限的訪問控制：

#8226;應用程序在運行時請求使用iOS中的某項受保護功能（如訪問用戶的當前位置）時，操作系統就會在應用程序的中間彈出一個對話框，詢問用戶是否決定允許應用程序訪問資源。要是用戶選擇“禁止”，許多應用程序就失效。

地理位置：

#8226;手機丟失時，你就能確定其位置。該功能由蘋果提供，是其操作系統和配套在線服務的一項特性。

自動擦除：

#8226;如果你的手機丟失或被偷了，你可以清除掉設備上的敏感數據。萬一手機失而復得，你可以通過臺式機上的備份來恢復信息。啟用了這項功能后，如果通行碼輸錯十次，就會自動清除掉設備上的數據。

安卓

幾個典型的弱點

安卓孤兒設備

成千上萬仍在合約期內的安卓手機無法更新到安卓操作系統的最新版本。

極其混亂的應用程序市場

應用程序市場就算實施了安全機制，也很有限。谷歌而是選擇了讓提交到該市場的幾乎任何應用程序都可以發布，供用戶使用。谷歌在發布到市場之前并不核實應用程序的安全性。

智能手機生產商可以修改手機的用戶界面

谷歌安卓本來就是可以由發布設備的運營商來修改。正因為如此，安卓設備面臨廠商添加軟件和修改用戶界面的情況，而智能手機用戶可能不想要或不需要這些。

iOS

幾個典型的弱點

每個運行4.3.5之前操作系統版本的iOS設備都很容易受到SSL MITM這個漏洞的攻擊，黑客很容易鉆這個漏洞的空子。

由于蘋果不允許某些類別的設備升級到這個新版本，這意味著市面上有成千上萬個一直很容易被人鉆空子的設備。安卓存在類似的問題。

如果iPhone用戶決定破解手機，他就更容易遭到惡意軟件的攻擊。

iPhone破解手法鉆的是安全漏洞的空子，但黑客也可以鉆這些空子。比如iPhone PDF解析器里面就有個漏洞，該漏洞讓文檔可以執行代碼。

你是不是買了只智能手機來慶祝圣誕節？

下面是保護智能手機遠離黑客的十招。

#8226;更改手機密碼和語音郵箱密碼。 #8226;使用移動安全軟件，如Lookout。

#8226;使用別人很難猜中的密碼/PIN碼。 #8226;使用移動設備管理軟件。

#8226;將手機設成閑置5分鐘后受密碼保護。 #8226;備份數據。

#8226;只啟用你所用的無線網絡/連接。如果你不用 #8226;不要在公共無線網絡上查看敏感信息。

藍牙設備，就不要開啟藍牙功能！ #8226; 一旦有了最新的操作系統更新版，就盡快安裝，

#8226;只安裝你信任的廠商提供的應用程序。 確保你智能手機的固件是最新版本。

安裝之前查看應用程序的評論和應用程序來源。

互聯網和設備安全公司賽門鐵克得出結論，盡管iOS和安卓都存在其弱點，但是這兩個移動平臺仍比PC要安全得多。

你已掌握了相關信息，現在可以明智地使用智能手機了。