Advertentie

Artikel

iOS 7 vs Android 4.3: welk OS is veiliger?

Arthur van Vliet

Arthur van Vliet

  • Bijgewerkt:

Twee besturingssystemen strijden om de gunst van de mobiele telefoongebruiker: iOS en Android. Er is veel in te brengen voor beide systemen, maar welke is veiliger?

Mobiele veiligheid: een genegeerde factor

Volgens een enquête van Motorola laat slechts 12% van alle kopers van mobiele telefoons en tablets zich beïnvloeden door de veiligheidsfactor. Mensen kijken in eerste instantie meer naar de hoeveelheid beschikbare apps, gebruiksvriendelijkheid en natuurlijk het uiterlijk van zowel telefoon als besturingssysteem.

We vergeten echter snel dat onze smartphone meer is dan slechts een telefoon. Het apparaat huisvest je e-mails, wachtwoorden en foto's; kortom, je leven. Maar niet alleen dat. Ook je werk neem je mee in je broekzak, dankzij je connecties met professionele netwerken, de vertrouwelijke documenten op je telefoon en de digitale cv die ongetwijfeld ergens op je telefoon te vinden is.

Erger nog: we negeren grotendeels de meest fundamentele beveiligingsopties. Zo'n 30% tot 60% van alle mensen maakt geen gebruik van een ontgrendelcode of -patroon. Complexere en nog krachtigere opties zoals data-encryptie worden nog veel minder toegepast.

Dankzij het recente NSA-schandaal is er echter enige bewustwording voor de privacy van onze data. Software-ontwikkelaars worden daardoor gedwongen meer de nadruk te leggen op de veiligheid van hun technologie. Dit geldt ook voor de twee belangrijkste mobiele besturingssystemen.

De strijd tussen Android 4.3 en iOS 7

iOS en Android zijn het kloppend hart van de mobiele apparaten waar je al je persoonsgegevens aan toevertrouwt. Beide besturingssystemen krijgen regelmatig updates om nieuwe beveiligingsopties toe te voegen en gaten te dichten.

Zo verhielp update 7.0.2 voor iOS nog een probleem waarbij je vanuit het vergrendelscherm nog gewoon toegang tot de telefoon zou krijgen. Voorvallen als deze komen vaker voor en tonen een interessant spanningsveld tussen het tegelijkertijd streven naar veiligheid en gebruiksgemak.

Zouden we Google en Apple de vraag stellen, dan zouden beide bedrijven uiteraard zeggen dat zij het veiligste OS maken. Google-CEO Eric Schmidt bijvoorbeeld gaf recent nog aan dat 'Android veiliger is'. Andersom benadrukte Apple-CEO Tim Cook de gaten in de beveiliging van Android.

Los van deze marketing-praat vinden wij het tijd om zelf te bekijken welke van de twee platformen veiliger is. Dat doen we aan de hand van de twee meest recente updates van beide systemen: iOS 7.0.2 en Android 4.3.

5 niveaus van mobiele veiligheid

We meten de veiligheid op basis van vijf niveaus van telkens complexere mobiele beveiliging, variërend van iets simpels als de lock screen tot geavanceerde encryptie. Veel gebruikers zijn alleen bekend met het eerste niveau, terwijl niveau 5 vooral van belang is voor veeleisende gebruiker. De niveaus er tussenin zijn voor iedereen van belang, maar worden vaak over het hoofd gezien.

Niveau 1: telefoon vergrendelen en identificatie

De basisbeveiliging van je mobiele telefoon is van toepassing op de toegang tot het apparaat. Zonder deze beveiliging kan iedere persoon zomaar je telefoon of tablet ontgrendelen.

Android 4.3 heeft vijf verschillende vergrendelopties: over het scherm vegen, gezichtsherkenning, patroon, cijfercode en wachtwoord. Deze selecteer je via [INSTELLINGEN > SLOT – NL?]. Daartegenover zet iOS (op oudere apparaten dan de iPhone 5S) slechts twee opties: vegen en een cijfercode.

'Slide to unlock', zoals het in het Engels heet, biedt geen bescherming. Cijfercodes bestaan slechts uit vier getallen en zijn binnen een dag te raden. Met elke gefaalde poging de code in te toetsen geeft iOS echter een verplichte wachttijd voor een volgende poging, wat bij Android niet het geval is. Ook geeft iOS je de optie om al je data te wissen na tien mislukte pogingen.

Van alle andere Android-ontgrendelsystemen wordt gezichtsherkenning gezien als de minst veilige, omdat het misleidt kan worden met een foto. Het patroonsysteem (teken een lijn tussen verschillende punten) is gemakkelijk te gebruiken en redelijk robuust, zij het afhankelijk van hoe complex het patroon is. Ook kan de sequentie worden verraden voor vingerafdrukken op het scherm.

Alfanumerieke wachtwoorden zijn het veiligst, maar ook gebruiksonvriendelijk. Het kost tijd om zo'n wachtwoord telkens in te voeren en hoe complexer het wachtwoord, hoe moeilijker het te onthouden is. iOS heeft deze optie niet, maar introduceert wél Touch ID, een vingerafdrukscanner die veiliger is dan alle alternatieven bij elkaar.

Gemak vs veiligheid

Welk systeem is veiliger? Qua hoeveelheid opties wint Android, maar kijk je naar het gemak van de iOS-functies en de toevoeging van Touch ID dan ligt de zaak anders. De balans tussen gebruiksgemak en veiligheid is misschien wel de belangrijkste discussie als we het hebben over mobiele veiligheid. We hebben deze grafiek gemaakt om dat spanningsveld duidelijk te maken:

Subjectieve cijfers gegeven aan veiligheid en gemak. Een sterretje geeft aan dat de veiligheid afhankelijk is van het gekozen woord, patroon of cijferreeks. Groengekleurde opties zijn beschikbaar voor beide systemen.

De twee veiligste en gebruiksvriendelijkste opties zijn het patroon (Android) en de vingerafdruk (iOS). PIN-codes zijn door de limiet van vier cijfers relatief onveilig, terwijl wachtwoorden juist heel veilig, maar vervelend zijn. De strijd gaat dus tussen Touch ID en patronen tekenen.

Touch ID in actie (foto via iPhoneWorld)

De patronen van Android zijn ook toepasbaar op specifieke apps en zijn makkelijk te gebruiken, maar net wat minder veilig en gebruiksvriendelijk dan de vingerafdrukscanner.

iOS 7 wint daarom op dit niveau, dankzij de balans tussen gebruiksgemak en veiligheid. Met als opmerking uiteraard dat Touch ID alleen beschikbaar is voor de iPhone 5S en niet voor oudere modellen.

Niveau 2: app-veiligheid

Nu is het tijd om te kijken naar de apps, hoe je ze vindt, downloadt, toegang tot je data geeft en uiteindelijk gebruikt. Telefoonbezitters installeren massaal applicaties op hun apparaten, maar letten doorgaans niet op het veiligheidsaspect. Hoe voorkomen iOS en Android een privacy-ramp van kwaadwillende apps?

Oorspronkelijk hadden Android en iOS een gelijkwaardige benadering, waarbij de eigen app-winkels een applicatie automatisch en handmatig beoordeelden op veiligheid. Beide systemen lieten de app 'geïsoleerd' zijn werk doen, zodat deze geen schade aan het systeem kon aanrichten.

Open vs gesloten model

Beide app-winkels (Google Play en de App Store) hebben een veilig ecosysteem, al zijn er altijd uitzonderingen waarbij kwaadwillende apps langs de veiliging weten te sluipen. Onderzoekers van de Georgia Tech-universiteit bijvoorbeeld wisten zogenaamde Jekyll-applicaties ongemerkt te uploaden op de App Store. Ook sluipt er nog wel eens een stukje malware naar Android, bijvoorbeeld in de vorm van nepapplicaties die niet verwijderd worden.

Nep-apps op Google Play, een bekend fenomeen (bron)

In beide gevallen hebben we het over uitzonderlijke situaties, maar waar het gaat om 6% malware in Google Play is dat getal in de App Store om en nabij nul (mede omdat Apple hier geen cijfers over deelt). Android heeft een marktaandeel van 70% en is mede daarom een doelwit voor hackers, getuige de 92% van alle mobiele malware voor het platform. Maakt dat Android minder veilig?

Gaan we uit van normaal Android-gebruik waarbij je apps downloadt uit Google Play of van Amazon, dan is het malware-risico even laag als op iOS. Maar waar je op iOS apps alleen maar uit de gecontroleerde App Store kan downloaden, is die verplichting er niet bij Android. Je downloadt bijvoorbeeld even gemakkelijk een Android-app via een externe website, waar Google geen controle heeft over de veiligheid.

Android staat ook apps van buiten Google Play toe

Door deze open grenzen staat Android open voor apps van onbekende partijen. Dat is gevaarlijk, maar geeft het systeem ook een flexibiliteit die binnen iOS alleen mogelijk is via een jailbreak. Deze vrijheid heeft dus een prijs, in de vorm van als gewone apps vermomde malware. Malware die weer leidde tot het opbloeien van de antivirusmarkt voor Android.

App-bevoegdheden beheren

Een manier om controle uit te oefenen over wat apps wel en niet mogen is via het toekennen van bevoegdheden. Zowel Android als iOS hebben een dergelijk systeem, zij het met de nodige onderlinge verschillen.

iOS bijvoorbeeld vraagt je per app of deze toegang mag tot specifieke onderdelen, zoals je foto's, contacten of locatiegegevens. Jij geeft vervolgens wel of geen toestemming. Android gaat een stapje terug en installeert de gehele app niet als jij geen toegang verleent aan bepaalde diensten.

 

Android 4.3 introduceerde een verborgen App Ops-lijst à la iOS, maar er zijn externe apps nodig om deze lijst te openen zoals AppOps Launcher.

 Ook op niveau 2 wint iOS, vanwege de strikte app-controle via de App Store en toegankelijke opties voor het beheren van bevoegdheden.

Niveau 3: Privacy

De eerste twee niveaus behandelden twee basisaspecten van beveiliging, maar hoe zit het met je privacy? Waar komen jouw gegevens allemaal terecht?

Notificaties op het beginscherm

Android ontbeert de mogelijkheid om notificaties direct op het scherm te tonen als je telefoon vergrendeld is, tenzij je daar een specifieke third party app voor hebt geïnstalleerd. Dat is wat onhandig, omdat je het apparaat telkens moet ontgrendelen om te zien wat voor notificatie je krijgt.

iOS daarentegen toont, als jij dat wilt, alle notificatie op je lock screen. Zo lees je WhatsApp-berichten en de titel van een mail, zonder de telefoon te hoeven ontgrendelen. Welke en hoeveel notificaties je precies te zien krijgt, pas je aan in het Instellingen-menu van iOS, met opties voor élke app die je maar notificaties wil sturen.

Persoonlijke reclame

Zowel iOS als Android kan persoonlijke data verzenden om advertenties te personaliseren. Zie het als cookies voor je mobiele telefoon. Voor sommigen is dit handig, voor anderen een onnodige inbraak op je privacy.

In Android schakel je deze optie in of uit via [INSTELLINGEN > ADS – NL?]. In iOS doet je dit via het Privacy-menu in de Instellingen, onder het kopje Reclame.

Privacy tijdens het surfen

We brengen veel tijd door in de browser van onze telefoon. De eigen browsers van iOS 7 en Android 4.3 hebben gelukkig een scala aan privacy-instellingen.

Safari, de standaardbrowser van iOS 7 heeft een Do Not Track-optie en de mogelijkheid om cookies in verschillende gradaties uit te schakelen.

Chrome, de browser van Android, heeft een volledig aan privacy gewijd menu, met ook Do Not Track en opties om foutrapportages, zoeksuggesties uit te schakelen.

Android wint, want het geeft je meer controle over welke gegevens je deelt via bijvoorbeeld je browser. Het feit dat Android standaard geen notificaties toont op het ontgrendelscherm is misschien onhandig, maar wel een privacypluspunt.

Niveau 4: Beveiliging op afstand

Wat als je telefoon wordt gestolen? Vind je 'm dan terug via een handige app? Kun je op afstand alle data van het apparaat wissen?

Met Zoek mijn iPhone was iOS een pionier op dit gebied. Is je telefoon kwijt gestolen, dan kn je 'm op een kaart terugvinden via iCloud, laat je 'm geluid maken, toon je een verloren-bericht op het scherm of wis je alle gegevens van het apparaat.

De web-interface van Zoek mijn iPhone (afbeelding via Applediario )

Android introduceerde het soortgelijke Android Apparaatbeheer. Deze dienst ondersteunt een groot scala aan Android-apparaten, toont de locatie van je telefoon of tablet via Google Maps, laat een geluid afspelen, blokkeert het apparaat of wist alle data. Er ontbreekt de optie voor een persoonlijk bericht op afstand.

iOS wint op dit niveau, gewoonweg door de grotere hoeveelheid opties in Zoek mijn iPhone ten opzichte van het Android Apparaatbeheer.

Niveau 5: Geavanceerde beveiliging

Het laatste beveiliginsniveau slaat op meer geavanceerde aspectenm van iOS en Android, zoals data-encryptie en root-mogelijkheden. Ben je een basisgebruiker dan is dit wellicht minder interessant; voor de veeleisende smartphone-bezitter is het een absolute must.

Persoonlijke gegevens versleutelen

Via encryptie versleutel je jouw persoonlijke data, bijvoorbeeld ter beveiliging tegen een dief die achter jouw bankgegevens probeert te komen.

Bij iOS zit zogenaamde 256-bit AES-encryptie ingebakken, die over het algemeen wordt beoordeeld als zeer veilig en wordt afgehandeld door daarop gerichte hardware, zodat je er tijdens gebruik niets van merkt.

In Android is zulke encryptie een keuze. De grote verschillen tussen Android-apparaten betekenen dat Google niet zomaar één standaard kan toepassen op elke smartphone of tablet, met als gevolg onvermijdelijke problemen qua systeemprestaties.

Superusers (root en jailbreak)

Elk besturingssysteem heeft een modus voor superusers om complete controle over het apparaat te krijgen. Voor mobiele telefoons betekent dit de mogelijkheid om onofficiële apps te installeren, standaardapps te deïnstalleren en het gehele systeem naar wens aan te passen.

Google heeft er met Android voor gekozen volledig transparant te zijn op dit gebied. Android-apparaten kunnen worden ge-root zonder al te veel moeite, al is dit niet nodig om apps van buiten Google Play te installeren. Het risico van de root-operatie is klein en het proces grotendeels legaal.

In iOS valt het verkrijgen van zulke root-privileges onder het zogenaamde jailbreaken, een proces om die volledige controle over het besturingssysteem te krijgen. Jailbreaken is op veel plekken illegaal en in strijd met de garantie van je toestel. Ook komen er een paar gevaren bij kijken.

Kwetsbaarheden en updates

Kwetsbaarheden zijn kleine foutjes in de software, die worden uitgebuit door malware of hackers om controle over je systeem te krijgen, het systeem te beschadigen of bepaalde informatie te achterhalen.

Volgens gegevens van CVEDetails is de hoeveelheid van zulke kwetsbaarheden veel groter in iOS dan in Android. Zie onderstaande grafiek.

Hoeveelheid ontdekte kwetsbaarheden in Android en iOS (bron: CVEDetails)

Die gegevens zeggen overigens niet zoveel: ondanks het grotere aanwezigheid van kwetsbaarheden is de hoeveelheid applicaties die hier gebruik van kunnen maken minimaal, dankzij het strikte beleid in de App Store. Dat beleid valt overigens weg in een jailbreak, dus rooten is volledig op eigen risico.

iOS is dus niet per se minder veilig, en Apple brengt regelmatig updates uit om grote problemen te verhelpen. Google heeft de macht om soortgelijke updates uit te brengen alleen voor de eigen Nexus-apparaten. Andere fabrikanten gebruiken vaak een eigen versie van het Android-systeem. Gelukkig probeert Google dit probleem te omzeilen via updates in Google Play.

iOS wint op niveau 5, dankzij de strakke controle die Apple over het systeem behoudt, de snelle updates die het bedrijf kan uitbrengen en de manier waarop het ongemerkt data versleutelt.

Oordeel: iOS wint, ten koste van je vrijheid

Over het algemeen zijn zowel Android als iOS buitengewoon veilig. Beide systemen hebben oog voor je privacy en de beveiliging van je apparaat. De nadruk ligt per systeem echter anders.

Apple geeft in zijn iOS Security guide aan dat de iOS-beveiliging transparant is voor de gebruiker, maar op technieken als data-encryptie heb jij geen enkele invloed. Dat komt de gebruiksvriendelijkheid én de veiligheid van de Apple-apparaten echter wel ten goede.

Android geeft jou aan de andere kant veel meer controle over je systeem; niet alleen om ideologische redenen, maar ook vanwege de sterke fragmentatie onder Android-apparaten. Encryptie inschakelen heeft bijvoorbeeldeen negatieve impact op de systeemprestaties, waar dit bij Apple ongemerkt door de hardware wordt opgepikt.

iOS is daarom een veiliger systeem voor alle gebruikers, mits je bereid bent de controle uit handen te geven. Eenvoudig data versturen of onofficiële applicaties van buiten de App Store installeren is er bijvoorbeeld niet bij. Met iOS krijg je dus een veilig systeem, bij Android ligt de verantwoordelijkheid van de beveiliging meer bij de gebruiker.

Wat gebruik jij: Android of iOS?

Oorspronkelijke artikel door Fabrizio Ferri-Benedetti.

Arthur van Vliet

Arthur van Vliet

Het nieuwste van Arthur van Vliet

Editorial Richtlijnen