محققان امنیتی: امنیت اندروید چند سال از iOS اپل عقب‌تر است!

۱۳هرگاه در مورد امنیت اندروید یا iOS صحبتی به میان می‌آید، جنجالی به پا می‌شود. به‌طور قطع این موضوع یکی از بحث‌برانگیزترین عناوینی است که در صنعت تلفن همراه مطرح می‌شود، موضوعی که در نهایت باعث می‌شود که کاربران گوشی‌های مختلف، یک بستر خاص را به عنوان نفوذناپذیرترین بستر ممکن معرفی کنند.
متیو گرین یک رمزنگار و استاد دانشگاه جانز هاپکینز است، پس می‌توانید تصور کنید وقتی پای امنیت، داده و حفاظت از حریم خصوصی میان باشد چقدر گرین پرشور ظاهر می‌شود.
به گفته‌ی وی اندروید همان راه حل‌های رمزگذاری را در پیش گرفته که رایانه‌های شخصی به آن‌ها متکی هستند، هرچند تلفن همراه هیچ ربطی به رایانه‌ی شخصی ندارد و دنیای این دو به کلی متفاوت است. مهم‌ترین تفاوت میان تلفن‌های هوشمند و رایانه‌های شخصی این است که هیچ‌گاه کاربران تلفن‌های هوشمند تشویق نمی‌شوند که دستگاه‌هایشان را خاموش کنند، بنابراین کلیدهای موجود در RAM همیشه به حال خود باقی می‌مانند.
گرین می‌گوید: «از آن‌جایی‌که باتری‌های تلفن همراه برای یک روز یا کمی بیشتر دوام می‌آورند (زمانی که در مقایسه با لپ‌تاپ‌ها بسیار بیشتر است)، به همین خاطر رمزگذاری نمی‌تواند برای حفاظت از شما مقابل نفوذگری که دستش به گوشی‌ شما رسیده چندان مفید می‌باشد.»
از سوی دیگر، اپل روی‌کرد متفاوتی را کشف کرده که به واسطه‌ی آن می‌تواند حفاظت بهتری را ارائه نماید. اپل هم‌زمان با ارائه‌ی iOS ۴ یک قابلیت «حفاظت از داده‌« را تقدیم کاربرانش نموده که همه‌ی اطلاعات موجود در دستگاه را رمزگذاری می‌نماید.
بنابراین، برخلاف اندروید که رمزنگاری تمام‌دیسک استفاده می‌کند، اپل از یک سامانه‌ی رمزگذاری مبتنی بر پرونده برخوردار است که به‌صورت جداگانه هر پرونده‌ی موجود روی دستگاه را رمزگذاری می‌کند.
این قابلیت زمانی میسر شد که اپل یک رابط برنامه‌نویسی کاربردی را ارائه کرد که به توسعه‌دهندگان اجازه می‌داد تا تعیین کنند که برای هر پرونده‌ای بایست از چه کلیدی جهت رمزگذاری استفاده کنند.

کلاس‌های اصلی حفاظت که iOS اپل ارائه می‌دهد عبارتند از: حفاظت کامل، حفاظت تا قبل از نخستین احراز هویت کاربر، و بدون حفاظت. همچنین یک حفاظت نوع چهارم وجود دارد که هنگامی که این کلاس کلید از RAM خارج شود، به ایجاد پرونده‌های رمزگذاری‌شده‌ی جدید احتیاج پیدا می‌نماید.
این کلاس تازه که توسط اپل ایجاد شده از رمزگذاری کلید عمومی برای نوشتن پرونده‌های جدید استفاده می‌کند، شاید به همین خاطر است که عکس گرفتن حتی در مواقعی که دستگاه قفل شده هم بی‌خطر می‌باشد.
گوگل در تلاش است تا یک سامانه‌ی امنیتی مشابه را با معرفی اندروید ۷.۰ نوقا ارائه نماید، اما تاکنون به این موفقیت نائل نشده است. این سامانه‌ی عامل جدید اندرویدی از هیچ کدام از دو مورد کلاس حفاظتی حافظه‌ی رمزگذاری‌شده‌ی اطلاعات محرمانه و حافظه‌ی رمزگذاری‌شده‌ی دستگاه برخوردار نیست.
این دو کلاس حفاظتی بخشی از یک سامانه‌ی جدید به نام Direct Boot هستند که به تلفن‌ها اجازه می‌دهد حتی پیش از آن‌که کاربر رمز عبور را وارد کند به بخشی از اطلاعات دسترسی پیدا کنند.
متأسفانه اندروید دو دسته‌ی امنیتی «حفاظت کامل» را از قلم انداخته است که این موضوع می‌تواند به مشکلات عدیده‌ای برای کاربران ختم شود.
متیو گرین می‌گوید که این مشکل مربوط به حوزه‌ی رمزنگاری نیست، بلکه به این واقعیت برمی‌گردد که گوگل توسعه‌دهندگان خود را به درستی راهنمایی نمی‌کند و به همین خاطر ممکن است اندروید را برای سالیان متمادی وارد چرخه‌ی ناامنی نماید.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter