مقارنة أمنية بين الأندرويد والآيفون
12/08/2010, في دراسات وتحليلات, الكاتب وائل العلواني
تابعنا في الفترة الماضية عددا كبيرا من الأخبار التي تدور حول أمن نظام الأندرويد، وتزامن ذلك مع صدور عدد من الأوراق والأبحاث في المؤتمرات المختصة بمواضيع الأمن والحماية ك Defcon و Blackhat والتي كشفت عن وجود عدد من التطبيقات التي تستغل ثغرات متواجدة في ذلك النظام. وقد قمنا بنشر دراسة أمنية شاملة عن نظام الأندرويد ورد فيها وصف متعمق عن المشاكل الأمنية التي يواجهها النظام بالفعل والاجراءات المتوجب اتباعها لتعزيز أمن نظام الأندرويد.
أثارت هذه الأحداث ردودا وتفاعلا أوصلها بشكل طبيعي لطرح السؤال التالي: هل نظام الأندرويد أفضل من نظام الآيفون iOS من الناحية الأمنية أم العكس؟ستحاول هذه المقالة الإجابة على هذا التساؤل بشكل موضوعي مستعينة بعدد من المصادر التي سنذكرها في أسفل المقالة.
احتدم النقاش في الفترة الأخيرة حول أمن نظامي الأندرويد والآيفون، فمن جهة الآيفون، لعب ال Jailbreak (الذي يقوم بتفعيل خصائص كانت مغلقة في نظام التشغيل، ما يجعلها عرضة لسوء الاستخدام من بعض التطبيقات) دورا في هذا النقاش، ومن جهة الأندرويد، لعب التطبيق الخاص بلوحات الخلفية Wallpaper والذي اتضح بأنه يتحصل على معلومات سرية (ولكن مطوريه في النهاية أعلنوا بأنهم لم يستخدموا تلك المعلومات بشكل مسيء) دوره في هذا الشأن. ولكن مجلة PCWorld الشهيرة وقفت بجانب الأندرويد وقالت بأنها تؤمن بأن تطبيقات الأندرويد أفضل أمنيا من تطبيقات الآيفون للأسباب التالية: (بحسب المصدر الأول)
أذونات التطبيق Application Permission:
في الأندرويد، كل تطبيق يتم تشغيله في عملية process مستقلة ما يجعله غير قادر بشكل افتراضي من دخول بيانات التطبيقات الأخرى، ويقترن بهذا عدد من الأذونات التي تخبر النظام صراحة بالموارد التي يمكن للتطبيق استخدامها. (للاستزادة حول هذه الآلية، ننصحكم بمراجعة الدراسة الأمنية التي نشرناها في أردرويد). أما في الآيفون فالموضوع مختلف. فالتطبيقات متماثلة ويمكنها استخدام عدد من موارد الجهاز افتراضيا و دون الرجوع للمستخدم أو إخباره. بمعنى أن مستخدمي الآيفون لا يعرفون الموارد وطبيعة المعلومات التي سيستخدمها التطبيق فعليا بعكس الموجود في تطبيقات الأندرويد والتي نعلم ما تريد استخدامه ونمنحها الإذن عند عملية التنصيب.
أسواق التطبيقات App Markets:
كما نعرف فإن سوق الأندرويد يمنح المستخدمين حرية التحكم واختيار التطبيق الذي يريدونه، وتقع عليهم المسؤولية في قراءة تقييمات المستخدمين السابقين ومنح الأذونات التي يطلبها التطبيق عند تنصيبه (وربما رفض منحه اياها). ولكن في سوق الآيفون، نرى أن أبل تمارس دور الوصاية بمنح نفسها حرية التحكم بالتطبيقات المتواجدة في السوق، وهذه العملية قد يبررها البعض بأنها لتعزيز الأمن والحماية، ولكنها في الواقع عملية غامضة وغير واضحة الآلية ما يجعلنا نتساءل عن الجوانب التي تتحقق منها أبل قبل منح تطبيق معين إذن الدخول الى السوق. من المنطقي أن نتساءل أيضا عن مدى إمكانية أبل من التحقق من مئات وآلاف التطبيقات الجديدة التي يتم التقدم بطلب رفعها الى السوق يوميا! ربما في أفضل الحالات، بحسب المجلة، ما تقوم به أبل هو التحقق من هوية المطور وبأن تطبيقه ينفذ ما وعد بتنفيذه. وهذا يجعل من السهولة الشديدة لمطور سيء إضافة كود برمجي خبيث في تطبيقه الذي سيمنح رخصة الدخول الى السوق.
وبحسب المجلة أيضا، أعلنت مؤسسة بحثية في مجال أمن المعلومات وهي Lookout أن احتمالية تمكن تطبيق على نظام الأندرويد من دخول معلومات جهات الاتصال Contact List أو استخدام الجي بي اس لتحديد مكان المستخدم أقل من الاحتمالية الموجودة في تطبيقات الآيفون!
الانفتاح (مفتوح المصدر) Openness:
الأندرويد نظام مفتوح المصدر، ومن ناحية أمنية هذه ميزة جبارة ونرى تأثيراتها من حولنا. فمهما بلغ عدد القائمين على نظام الآيفون “مغلق المصدر” ومهما بلغت كفاءتهم، لن تتغلب خبراتهم على الآلاف والملايين من المطورين الذين يمكنهم قراءة الشفرة المصدرية لنظام الأندرويد وتعديلها.
أثناء إعدادي لهذه المقالة، ولكي أكون موضوعيا، بحثت عن مقالات ترى تفوق الآيفون أمنيا على الأندرويد، فوصلت لإحداها (المصدر الثاني) والتي ترى في تحكم أبل بسوق التطبيقات وما ينشر فيه نقطة تفوق على الأندرويد. وذكر الكاتب بأن فريقا من أبل يقيم التطبيق قبل طرحه في السوق، وبأن ما نسبته ١٠٪ من التطبيقات المقدمة يتم رفضها كونها تحاول الاستيلاء على معلومات شخصية أو احتوائها على محتوى غير ملائم، أو أنها تساعد المستخدم على كسر القانون. ولكن المقالة لم تجب على كيفية عمل هذه الآلية، أي آلية التقييم، ولم تجب على السؤال المنطقي الخاص بكيفية مواكبة فريق أبل لتقييم العدد الهائل من التطبيقات المتقدم بها يوميا.
قامت المقالة أيضا بانتقاد آلية الأذونات Permissions الموجودة في تطبيقات أندرويد وذكرت بأن من عيوبها أن التطبيقات قد تتحصل على أذونات لا يكون المستخدم ملما بخطر منحها، كما أن التطبيق قد يستغل إذنا من صلب عمله لأغراض أخرى (مثلا تطبيق لعبة يتحصل على إذن استخدام الانترنت، ولكنه إضافة الى إرسال معلومات متعلقة باللعبة، يقوم بإرسال معلومات أخرى الى جهات أخرى). بالإضافة الى ذلك، ذكر كاتب المقالة أن المستخدم قد لا يرغب بالتفكير وإجهاد نفسه في المخاطر الأمنية التي قد تنتج بتنصيب تطبيق معين.
نعم هذه المخاطر ممكنة الحصول ولكن لا يمكن اعتبارها نقاط ضعف تمنح الآيفون تفوقا على الأندرويد وذلك لسبب بسيط وهو اعتماد كاتب المقال وثقته المطلقة بفريق أبل، بل يبدو أن الكاتب يمتدح ثقافة تصدير الفكر الى جهات أخرى لتقرر بدلا عنك ما يناسبك ومالا يناسبك، بدلا من مشاركتك بصنع ذلك الخيار ودعوتك للتثقف أمنيا.
تعتبر هذه المقالة أن امكانية مسح محتويات الآيفون تلقائيا بعد عشر محاولات خاطئة لإدخال رمز الدخول (وهي خاصية يمكن تفعيلها في الآيفون) ميزة إيجابية تتغلب على الأندرويد، بالإضافة الى إمكانية اجراء عملية مسح للبيانات عن بعد في الآيفون. وقذ ذكر الكاتب بأن هذه الخواص غير موجودة في نظام الأندرويد بشكل افتراضي، على أن هناك تطبيقات على الأندرويد (كال Wave Secure) توفر هذه الخصائص، ولكن الكاتب ذكر أن هذه التطبيقات لا تتكامل وتندمج جيدا بنظام الأندرويد (ولكنه لم يبين كيفية توصله لهذا الاستنتاج ولا الجوانب التي اعتمدها في تقييمه!!).
خصائص أخرى يتميز بها الآيفون، بحسب المقالة، هي إمكانية تحديد وقت طلب إدخال رمز الحماية\القفل أي بعد دقيقة، ١٥ دقيقة، وغيرها على عكس الأندرويد الذي يطلبها منك كل مرة تشغل بها الشاشة.
انتهت المقالة بتمني الكاتب من ان تنتهج أبل آلية الأذونات واقتران الموارد بها للتطبيقات كقيمة مضافة على ما تفعله أصلا من تقييم للتطبيقات قبل نشرها في السوق، ولكن برأينا هذا تمنٍ يصعب تحقيقه والسبب يكمن في عمارة Architecture نظام الآيفون الذي يمنح كل تطبيق صلاحيات يمكن اعتبارها صلاحيات الجذر root بشكل افتراضي بعكس الأندرويد، وتغيير هذه العمارة هو أمر ليس بالسهل.
ما رأيكم؟
(نحن نعرف حساسية هذا النوع من المواضيع، لذلك نطلب منكم النقاش بهدوء)