Pergunte a um especialista: “Quais dispositivos móveis são mais seguros: Android ou IOS?”

Comenta-se que os dispositivos móveis Android não são tão seguros quanto os dispositivos móveis IOS. Eric Willians, Gerente Sênior de Vendas, Serviço Crítico de Campo e Tablets da Zebra Technologies explica os fatos sobre esse assunto

Quando os membros da minha equipe voltaram da DistribuTECH 2022, eles me disseram que ficaram surpresos ao descobrir quantos trabalhadores de serviços públicos estão usando dispositivos móveis de uso comum em seus veículos, campo e armazéns. Meus colegas que trabalham com varejistas, operadores de armazéns, fabricantes, prestadores de serviços de saúde e governos dizem que estão vendo a mesma tendência se desenrolar nesses setores. Os trabalhadores estão usando esses dispositivos, embora estes não sejam construídos para o tipo de trabalho que estão realizando.

O que está impulsionando essas decisões?

A desinformação que circula na internet pode ser um dos principais fatores – ou talvez uma má interpretação das informações disponíveis. Não é fácil distinguir quando recomendações, avaliações e classificações são específicas para dispositivos móveis de nível consumidor versus dispositivos de nível empresarial.

Por exemplo, nos últimos meses, ouvi várias pessoas dizerem: “o iOS é mais seguro que o Android”. O interessante é que nossas conversas estavam ocorrendo no contexto de dispositivos móveis para uso comercial – dispositivos que seriam usados ​​por quem trabalha para governos, empresas de energia e concessionárias. São pessoas que gerenciam informações e sistemas confidenciais e devem priorizar a segurança de dados e dispositivos. Por que há uma crença de que os dispositivos iOS – feitos para consumidores – seriam mais seguros do que os dispositivos Android, especialmente aqueles construídos e configurados especificamente para uso em ambientes corporativos onde a segurança é uma prioridade?

Então eu fiz uma pesquisa na internet, perguntando “O Android ou iOS é mais seguro?” Eu tenho uma enorme quantidade de feedback variado. O que eu não entendi é uma compreensão clara de como os dispositivos Android corporativos são diferentes dos dispositivos iOS de consumidor em termos de segurança.

No entanto, os detalhes importam.

Então, pedi a Bruce Willins, um engenheiro aqui da Zebra, para acabar com alguns dos comentários que circulam na comunidade empresarial sobre segurança de dispositivos móveis e sistemas operacionais.

Eric: Bruce, vou direto ao ponto, o Android é mais seguro que o iOS?

Bruce: No início, eu afirmo que o iOS era mais seguro. Mas hoje, o Android é – na minha opinião – igualmente ou mais seguro.

Eric: Por que você acha que o Android é mais seguro?

Bruce: Uma das principais vantagens do Android é a capacidade de fabricantes de dispositivos, como a Zebra, de incorporar recursos de segurança suplementares ao sistema operacional básico. Você não pode fazer isso no iOS. Sem flexibilidade no iOS, você fica preso ao que a Apple oferece, que normalmente é centrado em uma experiência de usuário do consumidor.

Em 2019, o Gartner lançou um relatório de 72 páginas intitulado “Mobile OSs and Device Security: A Comparison of Platforms”. O relatório classificou cada sistema operacional em 32 categorias de segurança. O que os analistas descobriram foi que o iOS ficou acima do Android em uma categoria, e o Android ficou acima do iOS em nove categorias. Embora os resultados estejam abertos à interpretação, eles foram gerados por um terceiro confiável e imparcial.

Eric: Quais são os prós e contras do código aberto Android (AOSP) e da plataforma binária fechada do iOS?

 

Bruce: Com o binário fechado, você confia na “segurança por obscuridade”. Especialistas em segurança geralmente não defendem essa estratégia. Você já se perguntou por que o governo dos EUA publica algoritmos criptográficos? Expor o código ao escrutínio público acaba fortalecendo sua solução.

Muitas vezes, a conversa muda para “atualizações de segurança” no que agora é chamado de “higiene de atualizações”, que é a capacidade de obter atualizações de segurança por um longo período de tempo. Estudos anteriores da Zebra mostraram que 58% dos clientes corporativos procuram uma vida útil de cinco anos ou mais. Os dispositivos da Apple e as atualizações do iOS vêm de uma fonte, a Apple. O Android é oferecido por mais de 1.300 marcas, principalmente porque é o sistema operacional móvel nº 1 com mais de 75% de participação no mercado global, 2,8 bilhões de usuários ativos e 1 bilhão de unidades enviadas anualmente.

Agora, quero destacar que nem todas as marcas operam igualmente em relação à higiene de atualizações. Assim, você pode comparar a regularidade e a duração das atualizações do iOS com um fornecedor menor do Android e dizer que a Apple é melhor. Mas o resultado pode mudar ao comparar com um fornecedor de Android empresarial premium contra a Apple. Por exemplo, a Apple normalmente oferece suporte a atualizações do iOS (incluindo segurança) em um dispositivo por aproximadamente 4 anos. Os dispositivos Zebra Android normalmente têm atualizações de segurança por 6 a 10 anos.

Alguns anos atrás, a Apple afirmou que era mais seguro por causa da proteção de algoritmos de criptografia e material de chave apoiada por hardware. Este era o “processador de chaves seguro” (SEP), que foi lançado pela primeira vez no iPhone 5S, em setembro de 2013. Um SEP é um ambiente isolado no qual um invasor não pode obter chaves seguras ou comprometer os algoritmos criptográficos, mesmo que o sistema operacional principal (neste caso iOS) esteja comprometido.

Embora o SEP tenha sido o primeiro no mercado, as plataformas Android logo seguiram com suporte para um “Trusted Execution Environment” (TEE). O TEE fornece um ambiente de execução independente isolado do Android “Rich Execution Environment” (REE) em hardware. Ele executa um sistema operacional pequeno e robusto e sua memória é isolada do REE. Assim, hoje descobrimos que ambas as plataformas possuem armazenamentos de chaves protegidos por hardware dedicado.

Eric: A Zebra não adiciona recursos de segurança aos seus lançamentos Android?

Bruce: Sim, temos. Uma lista detalhada está além do escopo de uma postagem de blog, no entanto. Em geral, os aprimoramentos de segurança da Zebra se concentram em defesa em profundidade (DID), princípio de privilégio mínimo (PoLP) e higiene de atualizações. DID é o conceito de fornecer várias camadas de proteção de segurança, portanto, se uma camada for comprometida, você ainda terá proteção. PoLP abraça o conceito de minimalização: desligue e/ou impeça tudo e qualquer coisa que você não precisa. Em muitos casos, esses são controles liga/desliga simples disponibilizados para uma ferramenta de gerenciamento de mobilidade empresarial (EMM) ou de teste. Ao minimizar a funcionalidade, você reduz a “superfície de ataque”, reduzindo possíveis vetores de ataque ou as maneiras pelas quais você pode ser atacado.

Eric: Recentemente, eu e minha equipe ouvimos declarações como “O Android não é seguro”. Você pode comentar?

Bruce: Eu provavelmente concordaria com isso se isso fosse há 10 anos, mas as coisas mudaram tremendamente desde então. Quando o Android foi lançado pela primeira vez em 2008, foi antes de tudo uma resposta ao Apple iOS e focado no mercado consumidor. E, como qualquer sistema operacional (SO) de sucesso, passou por dificuldades crescentes quando se trata de segurança. Muitas vezes, essas primeiras críticas de segurança foram baseadas em aplicativos potencialmente prejudiciais (PHAs). Isso foi agravado pela falta de suporte VPN para proteger dados em movimento (DIM), falta de criptografia de dados armazenados (protegendo dados em repouso – ou DAR), vários pontos de suscetibilidade a ataques em tempo de execução (ou seja, estouro de buffer) e assim por diante. Ninguém discordaria que o Android tinha falhas de segurança.

O lançamento de 2012 do sistema operacional Ice Cream Sandwich do Android foi o ponto de virada. Adições como suporte a senha forte, políticas do Exchange ActiveSync (EAS), suporte a VPN, criptografia completa de dispositivo, armazenamento de chaves criptografadas, SE Linux e randomização de layout de espaço de endereço (ASLR) foram apenas alguns dos recursos de segurança recém-introduzidos. Ao mesmo tempo, a Zebra – em colaboração com o Google – começou a adicionar complementos de segurança proprietários, muitos dos quais vieram de nossa experiência com Blackberry e Microsoft CE/Windows Mobile. Embora proprietários no início, executamos nosso plano original, que era nunca manter recursos proprietários, mas trabalhar com o Google na integração desses recursos no Android padrão.

Desde 2012, o Google vem fortalecendo a segurança do Android, incorporando recursos desenvolvidos organicamente pelo Google e recursos da Zebra.”

Eric: O que especificamente o Google fez ao Android para torná-lo mais seguro na última década?

Bruce: Recentemente, fizemos uma análise dos recursos de segurança adicionados ao Android desde o início. Existem centenas deles, mas vamos ver alguns exemplos representativos de diferentes tipos de aprimoramentos:

  1. Play Store (2012): o Google adiciona verificação e análise de aplicativos para excluir conteúdo malicioso e, posteriormente, apresenta o Google Play Protect, que permite a verificação de dispositivos de todos os aplicativos, mesmo quando off-line.
  2. Suporte VPN (2012): O suporte VPN completo é adicionado com o Android Ice Cream Sandwich (A4.0).
  3. SafetyNet/Verify Apps (2012): agora você pode detectar, relatar e bloquear aplicativos potencialmente nocivos (PHAs) com o Android Jellybean (A4.2).
  4. Inicialização verificada (2013): Adicionado como parte de uma raiz de confiança para garantir a integridade do código no Android Kit Kat (A4.4).
  5. Full Enforced SE Linux (2014): Adicionado no Android Lollipop (A5) para evitar o escalonamento de privilégios e fornecer controles de acesso ao sistema mais controlados.
  6. TEE Hardware Protected Keystore (2015): No Android Marshmallow (A6), a proteção isolada de hardware de chaves criptográficas e operações fica disponível.
  7. Randomização de layout de espaço de endereço (ASLR) (2011-2017): proteção contra ataques em tempo de execução e ASLR de kernel são adicionados no Android Nougat (A7).
  8. Prevenção de reversão (2017): fica mais fácil evitar o comprometimento de vulnerabilidades anteriores conhecidas com o Android Oreo (A8).
  9. Criptografia de disco completo/criptografia baseada em arquivo (2013-2018): entre o Android Kit Kat (4.4) e o Android Pie (A9), o Google aprimorou a criptografia padrão de toda a partição de dados e adicionou criptografia de arquivo independente (AES-256-XTS).
  10. Proprietário do dispositivo (2019): com o Android Q (A10), torna-se obrigatório usar o Proprietário do dispositivo para ajudar a garantir o controle e o gerenciamento seguros da política do dispositivo.
  11. Modo Common Criteria (2020): Há um novo modo operacional destinado a aumentar a segurança (ou seja, certificação Common Criteria).

Eric: O Android recebeu alguma certificação de segurança?

Bruce: Sim. Certificações e avaliações foram realizadas por fornecedores do Android e pelo próprio Google. Por exemplo, os dispositivos Zebra Android receberam as certificações FIPS 140-2 e Common Criteria. Mais recentemente, o Google contratou o NCC Group para revisar a interface de programação de aplicativos (API) do Android 12 (A12) em relação a um Google STIG derivado do Common Criteria Protection Profile for Mobile Device Fundamentals (PPMDF). Ele revisou aproximadamente 120 controles e não encontrou nenhum problema crítico, alto ou médio. Há mais certificações também, mas eu só queria dar alguns exemplos de por que os clientes devem confiar na segurança do Android.

Eric: Como a segurança do Android se compara a outros sistemas operacionais móveis hoje, então?

 

Bruce: Como o Android e o iOS representam mais de 95% do mercado mundial de computadores móveis portáteis e smartphones, você quer dizer principalmente iOS. Dado que ambos os sistemas operacionais existem há mais de 14 anos, não é surpreendente que tenha havido uma grande convergência de recursos de segurança. E não é a primeira vez que me fazem essa pergunta. É um tópico enorme, e suspeito que teremos uma conversa posterior para aprofundar os detalhes. Mas aqui está o que acho que vale a pena notar agora: de uma perspectiva pura de contagem de vulnerabilidades para 2021, os detalhes do CVE identificaram 365 vulnerabilidades do iOS e 572 no Android.

Eu normalmente não coloco muito peso nesses números. Um número mais alto pode implicar em uma plataforma mais vulnerável ou apenas que uma plataforma é melhor em ocultar vulnerabilidades ou não está sendo bem avaliada. O que eu tiro desses números é que há um número significativo de vulnerabilidades para ambos os sistemas operacionais e que nossos clientes – e realmente todos os profissionais de negócios – devem estar extremamente vigilantes na manutenção, gerenciamento e bloqueio de suas soluções de mobilidade, independentemente de qual sistema operacional eles estejam.

Na verdade, nos últimos 10 anos, a Zebra enviou mais de 10 milhões de dispositivos Android para todas as grandes empresas verticais, desde governo, saúde e finanças até transporte e logística, varejo, manufatura, energia e serviços públicos – e 94 empresas da Fortune 100 usam dispositivos Zebra. E embora o histórico de nossos dispositivos Android fale por si, mantemos um grau saudável de paranoia e humildade em relação à tarefa de segurança em questão.

Eric: Algum conselho para clientes preocupados com a segurança?

Bruce: Sim. Não importa qual sistema operacional você selecione, lembre-se de que a segurança não é gratuita. Um estudo Ponemon de 2014 com 518 profissionais descobriu que 52% dos entrevistados sacrificaram a segurança pela produtividade. Um estudo da Verizon em 2021 descobriu:

– 76% dos entrevistados foram pressionados a sacrificar a segurança pela conveniência.

– 40% consideraram os dispositivos móveis como o maior risco de segurança da empresa.

– 23% estavam cientes de que sua empresa teve um comprometimento de segurança relacionado ao dispositivo nos últimos 12 meses, e mais da metade dos 23% que declararam que o comprometimento teve grandes consequências.

No final das contas, estamos sempre tentando tornar a segurança o mais simples possível e criamos ferramentas abrangentes para proteger nossa plataforma Android. Mas nossos clientes também devem fazer sua parte.

Antes de escolher um sistema operacional, sempre considere:

  1. o que você está tentando proteger (que se correlaciona com o custo de um compromisso)
  2. contra o que você está tentando se proteger (ou seja, sofisticação do invasor)
  3. o que você acha que é a probabilidade de uma entidade mal-intencionada montar um ataque com sucesso (parte de sua avaliação de risco).

Eric: Então, basicamente, faça sua lição de casa antes de decidir entre iOS e Android?

Bruce: Sim. Ouça os dois lados e avalie por si mesmo. Comentários feitos há 10 anos não são mais válidos. O Google fez grandes avanços para tornar o Android a plataforma de sistema operacional mais segura.