مقارنة أمنية بين الأندرويد والآيفون

تابعنا في الفترة الماضية عددا كبيرا من الأخبار التي تدور حول أمن نظام الأندرويد، وتزامن ذلك مع صدور عدد من الأوراق والأبحاث في المؤتمرات المختصة بمواضيع الأمن والحماية ك Defcon و Blackhat والتي كشفت عن وجود عدد من التطبيقات التي تستغل ثغرات متواجدة في ذلك النظام. وقد قمنا بنشر دراسة أمنية شاملة عن نظام الأندرويد ورد فيها وصف متعمق عن المشاكل الأمنية التي يواجهها النظام بالفعل والاجراءات المتوجب اتباعها لتعزيز أمن نظام الأندرويد.

أثارت هذه الأحداث ردودا وتفاعلا أوصلها بشكل طبيعي لطرح السؤال التالي: هل نظام الأندرويد أفضل من نظام الآيفون iOS من الناحية الأمنية أم العكس؟ستحاول هذه المقالة الإجابة على هذا التساؤل بشكل موضوعي مستعينة بعدد من المصادر التي سنذكرها في أسفل المقالة.

احتدم النقاش في الفترة الأخيرة حول أمن نظامي الأندرويد والآيفون، فمن جهة الآيفون، لعب ال Jailbreak (الذي يقوم بتفعيل خصائص كانت مغلقة في نظام التشغيل، ما يجعلها عرضة لسوء الاستخدام من بعض التطبيقات) دورا في هذا النقاش، ومن جهة الأندرويد، لعب التطبيق الخاص بلوحات الخلفية Wallpaper والذي اتضح بأنه يتحصل على معلومات سرية (ولكن مطوريه في النهاية أعلنوا بأنهم لم يستخدموا تلك المعلومات بشكل مسيء) دوره في هذا الشأن. ولكن مجلة PCWorld الشهيرة وقفت بجانب الأندرويد وقالت بأنها تؤمن بأن تطبيقات الأندرويد أفضل أمنيا من تطبيقات الآيفون للأسباب التالية: (بحسب المصدر الأول)

أذونات التطبيق Application Permission:

في الأندرويد، كل تطبيق يتم تشغيله في عملية process مستقلة ما يجعله غير قادر بشكل افتراضي من دخول بيانات التطبيقات الأخرى، ويقترن بهذا عدد من الأذونات التي تخبر النظام صراحة بالموارد التي يمكن للتطبيق استخدامها. (للاستزادة حول هذه الآلية، ننصحكم بمراجعة الدراسة الأمنية التي نشرناها في أردرويد). أما في الآيفون فالموضوع مختلف. فالتطبيقات متماثلة ويمكنها استخدام عدد من موارد الجهاز افتراضيا و دون الرجوع للمستخدم أو إخباره. بمعنى أن مستخدمي الآيفون لا يعرفون الموارد وطبيعة المعلومات التي سيستخدمها التطبيق فعليا بعكس الموجود في تطبيقات الأندرويد والتي نعلم ما تريد استخدامه ونمنحها الإذن عند عملية التنصيب.

أسواق التطبيقات App Markets:

كما نعرف فإن سوق الأندرويد يمنح المستخدمين حرية التحكم واختيار التطبيق الذي يريدونه، وتقع عليهم المسؤولية في قراءة تقييمات المستخدمين السابقين ومنح الأذونات التي يطلبها التطبيق عند تنصيبه (وربما رفض منحه اياها). ولكن في سوق الآيفون، نرى أن أبل تمارس دور الوصاية بمنح نفسها حرية التحكم بالتطبيقات المتواجدة في السوق، وهذه العملية قد يبررها البعض بأنها لتعزيز الأمن والحماية، ولكنها في الواقع عملية غامضة وغير واضحة الآلية ما يجعلنا نتساءل عن الجوانب التي تتحقق منها أبل قبل منح تطبيق معين إذن الدخول الى السوق. من المنطقي أن نتساءل أيضا عن مدى إمكانية أبل من التحقق من مئات وآلاف التطبيقات الجديدة التي يتم التقدم بطلب رفعها الى السوق يوميا! ربما في أفضل الحالات، بحسب المجلة، ما تقوم به أبل هو التحقق من هوية المطور وبأن تطبيقه ينفذ ما وعد بتنفيذه. وهذا يجعل من السهولة الشديدة لمطور سيء إضافة كود برمجي خبيث في تطبيقه الذي سيمنح رخصة الدخول الى السوق.

وبحسب المجلة أيضا، أعلنت مؤسسة بحثية في مجال أمن المعلومات وهي Lookout أن احتمالية تمكن تطبيق على نظام الأندرويد من دخول معلومات جهات الاتصال Contact List أو استخدام الجي بي اس لتحديد مكان المستخدم أقل من الاحتمالية الموجودة في تطبيقات الآيفون!

الانفتاح (مفتوح المصدر) Openness:

الأندرويد نظام مفتوح المصدر، ومن ناحية أمنية هذه ميزة جبارة ونرى تأثيراتها من حولنا. فمهما بلغ عدد القائمين على نظام الآيفون “مغلق المصدر” ومهما بلغت كفاءتهم، لن تتغلب خبراتهم على الآلاف والملايين من المطورين الذين يمكنهم قراءة الشفرة المصدرية لنظام الأندرويد وتعديلها.

أثناء إعدادي لهذه المقالة، ولكي أكون موضوعيا، بحثت عن مقالات ترى تفوق الآيفون أمنيا على الأندرويد، فوصلت لإحداها (المصدر الثاني) والتي ترى في تحكم أبل بسوق التطبيقات وما ينشر فيه نقطة تفوق على الأندرويد. وذكر الكاتب بأن فريقا من أبل يقيم التطبيق قبل طرحه في السوق، وبأن ما نسبته ١٠٪ من التطبيقات المقدمة يتم رفضها كونها تحاول الاستيلاء على معلومات شخصية أو احتوائها على محتوى غير ملائم، أو أنها تساعد المستخدم على كسر القانون. ولكن المقالة لم تجب على كيفية عمل هذه الآلية، أي آلية التقييم، ولم تجب على السؤال المنطقي الخاص بكيفية مواكبة فريق أبل لتقييم العدد الهائل من التطبيقات المتقدم بها يوميا.

قامت المقالة أيضا بانتقاد آلية الأذونات Permissions الموجودة في تطبيقات أندرويد وذكرت بأن من عيوبها أن التطبيقات قد تتحصل على أذونات لا يكون المستخدم ملما بخطر منحها، كما أن التطبيق قد يستغل إذنا من صلب عمله لأغراض أخرى (مثلا تطبيق لعبة يتحصل على إذن استخدام الانترنت، ولكنه إضافة الى إرسال معلومات متعلقة باللعبة، يقوم بإرسال معلومات أخرى الى جهات أخرى). بالإضافة الى ذلك، ذكر كاتب المقالة أن المستخدم قد لا يرغب بالتفكير وإجهاد نفسه في المخاطر الأمنية التي قد تنتج بتنصيب تطبيق معين.

نعم هذه المخاطر ممكنة الحصول ولكن لا يمكن اعتبارها نقاط ضعف تمنح الآيفون تفوقا على الأندرويد وذلك لسبب بسيط وهو اعتماد كاتب المقال وثقته المطلقة بفريق أبل، بل يبدو أن الكاتب يمتدح ثقافة تصدير الفكر الى جهات أخرى لتقرر بدلا عنك ما يناسبك ومالا يناسبك، بدلا من مشاركتك بصنع ذلك الخيار ودعوتك للتثقف أمنيا.

تعتبر هذه المقالة أن امكانية مسح محتويات الآيفون تلقائيا بعد عشر محاولات خاطئة لإدخال رمز الدخول (وهي خاصية يمكن تفعيلها في الآيفون) ميزة إيجابية تتغلب على الأندرويد، بالإضافة الى إمكانية اجراء عملية مسح للبيانات عن بعد في الآيفون. وقذ ذكر الكاتب بأن هذه الخواص غير موجودة في نظام الأندرويد بشكل افتراضي، على أن هناك تطبيقات على الأندرويد (كال Wave Secure) توفر هذه الخصائص، ولكن الكاتب ذكر أن هذه التطبيقات لا تتكامل وتندمج جيدا بنظام الأندرويد (ولكنه لم يبين كيفية توصله لهذا الاستنتاج ولا الجوانب التي اعتمدها في تقييمه!!).

خصائص أخرى يتميز بها الآيفون، بحسب المقالة، هي إمكانية تحديد وقت طلب إدخال رمز الحماية\القفل أي بعد دقيقة، ١٥ دقيقة، وغيرها على عكس الأندرويد الذي يطلبها منك كل مرة تشغل بها الشاشة.

انتهت المقالة بتمني الكاتب من ان تنتهج أبل آلية الأذونات واقتران الموارد بها للتطبيقات كقيمة مضافة على ما تفعله أصلا من تقييم للتطبيقات قبل نشرها في السوق، ولكن برأينا هذا تمنٍ يصعب تحقيقه والسبب يكمن في عمارة Architecture نظام الآيفون الذي يمنح كل تطبيق صلاحيات يمكن اعتبارها صلاحيات الجذر root بشكل افتراضي بعكس الأندرويد، وتغيير هذه العمارة هو أمر ليس بالسهل.

ما رأيكم؟

(نحن نعرف حساسية هذا النوع من المواضيع، لذلك نطلب منكم النقاش بهدوء)

[المصدر الأول] [المصدر الثاني]

وائل العلواني

وائل العلواني.. مدون سوري ومطور تطبيقات أندرويد.. مهتم بالتقنية وآخر تطوراتها.. يعمل في شركة خاصة في مجال تقصي الأعمال BI وتعدين البيانات Data Mining

التعليقات: 20 ضع تعليقك

islam يقول:

“”ومنح الأذونات التي يطلبها التطبيق عند تنصيبه (وربما رفض منحه اياها)””

ممكن اعرف ازاى ارفض اذن لبرنامج معين ؟

ما قصدته هو أنك عند تنصيب التطبيق سترى الأذونات التي يطلبها، وعندها يمكنك الموافقة عليها أو رفضها (وهذا يعني عدم تنصيب التطبيق). طبعا حاليا لا يمكنك الموافقة على أذونات معينة ورفض الأخرى، إما الموافقة على الكل أو رفض الكل، وهذا فيه حرية في الاختيار أنت كمستخدم تملكها.
تحياتي islam.

islam يقول:

اااااه فهمتك اخوى
اعتقد لو يقدرو يحطو ميزة في الاندرويد تسمح بانى ارفض اذونات معينة واقبل بعض الاخر هايكون احسن بكتير
علي الاقل هاعرف الي طالع والي خارج زى مابيقولو 😀

كلامك صحيح.. وفي الدراسة الأمنية التي نشرناها مترجمة تم التعرض الى هذه الآلية واقتراحها كتحسين وتعزيز أمني لنظام الأندرويد وتطبيقاته.
تحياتي 🙂

Mohammed S.KAYYALI يقول:

RT @ardroid: مقارنة أمنية بين الأندرويد والآيفون # http://bit.ly/a3rfeu

mkayyali يقول:

RT @ardroid: مقارنة أمنية بين الأندرويد والآيفون # http://bit.ly/a3rfeu

شادي يقول:

شكرا أ/ وائل العلواني

دراسة مفيدة .. استفدت الكثير منها ..

الموقع الأول لأخبار اندرويد

Dr.Death يقول:

شكرا اخوي على المقارنه , اثبتت الانظمه المفتوحة المصدر انها الافضل دائما
LINUX LiVE FREE OR DIE

majed يقول:

شكرا اخي وائل على المجهود الطيب
وانا عندي تساؤل بسيط .. خاصة وانني مستخدم حديث لجهاز الاي فون
لو اغفلنا نقطة الجيلبريك
فهل يعتبر تصفح الايفون آمن
وبالمقابل .. هل تصفح نظام الاندرويد آمن
وانا اعني تصفح موقع البنك وادخال الرقم السري
وخاصة .. وانني لم الحظ وجود اي برامج حماية مثل مكافي .. او كاسبر على النظامين.
مع العلم ان جميع مواقع الانترنت متاحة .. الامن والغير امن
وشكرا

العفو أخي ماجد..
بالنسبة لسؤالك، فهذا يعتمد على كون التطبيقات الموجودة على جهازك الآيفون لا تملك صلاحية قراءة أزرار لوحة المفاتيح المدخلة (التي يتم الضغط عليها). أضف الى ذلك مستوى الأمن والحماية في متصفح الآيفون -سفاري- والذي توجد به ثغرات اكتشفت وأخرى لم تكتشف.
المشكلة أن مستخدمي الآيفون مجبورون على وضع ثقتهم بكل ما ترخصه أبل، وهذا يجعل المستخدم الراغب بالإطلاع على الموارد التي يستخدمها التطبيق في حيرة من أمره لأنه لا يستطيع فعل ذلك، على عكس الأندرويد الذي يطلب منك السماح للتطبيق باستخدام الموارد كذا وكذا.

ما تستطيع فعله حاليا هو التأكد من كل تطبيق قمت بتنصيبه على جهازك، ومحاولة الاطلاع على آراء المستخدمين ومعرفة اذا ماكانت هنالك مشاكل مقترنة به. بالإضافة الى اجراء التحديثات الأمنية بشكل مستمر ومتابعة اخبارها.

هناك أنظمة حماية على الأندرويد، ولكنها ليست متاحة من شركات كبيرة مثل كاسبر او مكافي (هناك احد الحلول الأمنية الذي تقدمه شركة wavesecure والتي استحوذت عليها مكافي، يعني يمكن اعتبار ان هذا النظام من مكافي الى حد ما). بالنسبة للآيفون معذرة لا أعرف تطبيقات أمنية محددة عليه.

تحية

Dr.Death يقول:

على كلام المطورين في مختبارات kaspersky , لانه سوف يتم طرح نظام كاسبر سكي بنسخه بيتا على نهاية الربع الاخير من 2010

Beta will be released in Q4 2010

http://forum.kaspersky.com/index.php?s=b94d8d9c73bf342821e1156c2fed4d20&showtopic=132581&view=findpost&p=1475753

مشكور أخي Dr.Death على الاضافة 🙂

خليل يقول:

الله يعطيك العافية أخ وائل

محمد يقول:

السلام عليكم
أولاً شكرا عالمقال
ثانياً أود أن أسألك سؤال
هو أني أريد الدخول في مجال برمجة الموبايل ولدي عدة استفسارات حول ذلك
ما هو الأندرويد بشكل سريع وعلى أي أجهزة ممكن أن يعمل
ما الفرق بينه وبين برمجة الآي فون وهل تطبيقاته تعمل على الآي فون
ماذا تنصحني أن أتعلم برمجة الآي فون أم برمجة الأندرويد
ما هي المتطلبات اللازمة للتعلم لغات برمجة ؟أجهزة إلخ؟ مع العلم أنه لدي خبرة في مجال PHP
هلق ممكن أن تدلني من أين أبدأ وكيف؟
شكراً لك

بلال - سوريا يقول:

السلام عليكم:
في البدء اشكرك على هذا المقال ولكن انظمة ابل أكثر ثبات وأمن بسبب القيود التي تفرضها الشركة على المطورين وايضا بسبب التحديث المستمر لنظامios لتفادي الثغرات بينما في الاندرويد تقبل جميع التطبيقات دون فحص مهما كانت جودتها وبالنسبه لنظام تحديث جهاز الاندرويد فهو سيئ فإذا قمت بشراء جهاز أندرويد بعد ستة او سبع اشهر يتوقف تحديثه مثل التحديث الجديد شمل فقط السامسونج غالكسي وجهازين أخرين فقط

حسين بلال يقول:

أنا أؤيد هذه المقالة كلياً. قد اتفق مع فكرة ان تقوم جوجل بايجاد طريقة ما لفلترة البرامج المضافة في متجرها او للموافقة عليها ضمن قيود واضحة وشفافة لكن لا اظن ان هناك ضرر كبير من الوضع الراهن. انا مستخدم لاندرويد واعشقه بحق. استخدمت منذ فترة قصيرة جهاز ايباد لزوجتي واستخدامي هذا زاد من قناعتي باختياري لاندرويد لكن اظن ان لي مأخذ واحد عليه ألا وهو سرعته مقارنةً بالأيباد او الآي فون.غير ذلك فلا مشكلة ولا ملاحظة على الإطلاق.

دمتم بود

امير باخلاقي يقول:

روووعه

محمد يقول:

رائع بارك الله فيك معلومات قيمة اتمنى التوفيق لك وعلى القائمين على هذا الموقع

ههههههههههههههههههههههههههههههههههههههههههههههههههههههههههههههههههههههههههههههههههههههههههههههههههههههههه

خالد يقول:

السلام عليكم
أشكرك أخي على المجهود
بالنسبة لي الأندرويد أكثر أمانا من الايفون ويكفي أنه مفتوح المصدر يطوّره الالاف حول العالم وهو في تطور مستمر من جميع النواحي وليس من الناحيه الأمنية فقط

لكن لمن يهتم بأمن الأندرويد فأنصحه بنسخة سيناجون مود المستقرّه

Leave a Reply

Your email address will not be published. Required fields are marked *