Symantec：iOS安全機制略勝Android一籌

Symantec於本周發表iOS及Android兩大行動平台的安全報告指出，雖然這兩大平台皆在設計作業系統之初就納入安全機制，比即有的桌面平台安全，但仍然無法完全避免傳統的攻擊手法，特別是已逃獄的裝置，以及那些經常與第三方服務進行同步的裝置。

iOS與Android內建的安全機制包括傳統存取控制、必須經過許可的存取控制、應用程式管理、資料加密及程式孤立等。Symantec指出，在應用程式管理上，由於iOS嚴格審核開發人員的身份與應用程式，對傳統惡意程式具有強大的保護能力，至於Google則採用較寬鬆的模式，而且允許開發人員匿名發表程式，這也是導致Android惡意程式愈來愈多的原因之一。

Symantec比較了iOS及Android平台的安全機制，指出迄今安全研究人員在各種iOS平台上發現約200種不同的安全漏洞，其中絕大多數都是不嚴重的，大部份的攻擊得以掌控，像是Safari等單一程序的漏洞，但無法取得裝置的管理員權限，僅有少數允許駭客掌控管理員權限的權限擴張漏洞。蘋果在漏洞現身後，平均12天就會修補完畢。

有趣的是，Symantec發現即使鎖定這些漏洞進行攻擊的可能含有惡意目的，但大部份針對這些漏洞的攻擊程式都是為了要逃獄（jail-breaking）。

Symantec認為iOS的安全機制設計良善，其孤立程式的模式可完全避免針對傳統電腦的病毒或蠕蟲攻擊，美中不足是iOS並沒有提供網釣或詐騙的防護機制。

在Android平台上，自該平台推出以來安全研究人員找出了18種不同的漏洞，同樣地，多數的漏洞也僅能讓駭客掌控單一程序而屬於較不嚴重的等級。但較嚴重的漏洞將允許駭客取得該裝置的最高權限，並允許駭客存取裝置中的所有資料。迄今Google已修補其中14個漏洞，在未修補的漏洞中，有一個為高風險的權限擴張漏洞，事實上Google已於Android 2.3中修補該漏洞，但這代表其他尚未更新到2.3的裝置都處於高度風險中。不過，Google修補漏洞的動作比蘋果快，在發現漏洞後平均8天就可修補完畢。

Symantec指出，雖然Android的安全模式仍然勝過桌面或伺服器作業系統，但它仍有兩項弊病。一是允許開發人員匿名發表程式，二是它的許可存取控制雖然功能強大，但多數使用者不懂得如何操作，而引來社交工程攻擊。此外，Android自3.0才內建資料加密功能，意味著早期版本仍有資料外洩風險，同時Android亦沒有防範網釣與詐騙的安全機制。

從Symantec列出的分析圖表可看出，iOS與Android內建的五大安全機制都有程度不一的防護能力，由iOS略勝一籌，並顯示這兩大行動平台都具有一定的安全功能。應該要特別小心的是那些使用行動裝置存取企業網路，再與第三方雲端服務或家中電腦同步的使用者，以及那些關閉裝置安全功能或逃獄的行動用戶。（編譯/陳曉莉）