Du kan være sikker med mobilapplikationer til både iPhone og Android, men systemerne stiller forskellige krav, skriver Shehzad Ahmad i denne klumme fra Computerworld.
Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
Sikkerhed er sikkert ikke det første, du tænker på, når du står med en skinnende ny smartphone i hånden.
Men valget af telefontype får betydning for din sikkerhed på langt sigt.
De to dominerende online butikker med applikationer til mobiltelefoner har hver deres tilgang til sikkerhed.
Apples App Store repræsenterer en model, hvor sikkerheden prioriteres højere end friheden. Googles Android Market går den modsatte vej.
Apple skal godkende alt
Før en applikation sættes til salg i App Store, skal den godkendes af Apple. En godkendelse forudsætter blandt andet, at applikationen ikke udgør en sikkerhedsrisiko for brugeren.
På Android Market kan enhver lægge en applikation op, som brugere kan hente og installere. Det er op til brugerne selv at godkende, hvilke funktioner og data på telefonen, som applikationen skal have adgang til.
Endvidere bygger Android Market på tanken om samarbejde: Når en bruger opdager en skadelig applikation, kan vedkommende slå alarm, så applikationen bliver fjernet.
App Store-model virker
Hvordan virker de to sikkerhedsmodeller så i praksis? Til dato har vi ikke set egentlig skadelig kode spredt via Apples App Store. Der har været eksempler på programmer, der udnytter sårbarheder i iPhonens operativsystem, men de kan ikke ses som bevis på en svaghed i App Stores godkendelsesprocedure.
Der har også været sager om svindel, men igen ser det ud til, at fejlen ikke ligger hos App Store.
Omvendt er der set adskillige skadelige programmer til Android Market.
De har også vist, at samarbejdsmodellen fungerer: Når brugerne slår alarm, bliver applikationen fjernet – men først efter, at den kan have nået at ramme nogle brugere.
Der er altså en klar sikkerhedsmæssig fordel ved Apples model. Alligevel vil jeg ikke anbefale, at alle derfor skal købe en iPhone.
Her er ulemperne ved modellen
Der er nemlig også ulemper ved modellen.
Den begrænser udvalget af applikationer, så måske kan man ikke finde den applikation, man har brug for.
Den begrænsning har Android-modellen ikke. Her er der frit spillerum for udviklerne.
Den frihed betyder så blot, at et ansvar bliver flyttet.
I Apple-modellen tager Apple ansvaret for at holde applikationerne sikre. I Android-modellen er det brugernes ansvar.
Forstå tilladelserne
Som ejer af en Android-baseret smartphone skal man derfor sætte sig ind i, hvad de forskellige former for tilladelser betyder.
En applikation kan fx få lov til at tilgå GPS-funktionen, så den kan vide, hvor brugeren befinder sig. Den kan få adgang til brugerens private data, SMS-beskeder eller adressebog.
Alle disse ting spørger en applikation om, når den installeres. Det er derfor op til brugeren at afgøre, om den har brug for det. Hvis en applikation markedsføres som en musikafspiller, kan man fx undre sig over, at den vil have lov til at tilgå adressebogen. Her bør alle alarmklokker ringe i brugerens hoved.
Android-modellen stiller altså større krav til brugerens forståelse for, hvordan operativsystemets sikkerhedsmodel fungerer.
Derfor kan man godt være sikker med en Android-baseret mobiltelefon.
Men det kræver mere teknisk indsigt end Apple-modellen.
Oprindelig offentliggjort på Computerworld Online fredag den 24. september 2010
LINKS
"Threat Analysis of the Android Market," SMobile Systems, juni 2010
"Apple App Store's security track record unblemished after two years," debatindlæg fra Computerworld US af Kenneth van Wyk
"Spy tool highlights Android app store security issues," artikel fra PC Pro
Denne klumme på Computerworld Online