Podľa portálu CVEDetails.com bolo vlani publikovaných 523 zraniteľností pre operačný systém Android. Na porovnanie, v prípade iOS ich bolo 161, čiže trikrát menej. Ešte v roku 2015 to bolo naopak.

Čo to znamená? Nie je teda iOS taký nepriestrelný, ako o tom píšu médiá, vysvetľujú bezpečnostní experti a tvrdí Apple? Celá vec je, samozrejme, zložitejšie než štatistika.

Ide to aj bez zraniteľností

Po prvé, počet zraniteľností má malý alebo žiadny súvis s výskytom a rozšírením škodlivého kódu (malvéru), tvrdí bezpečnostná firma Symantec. Alebo ešte inak, nie každá zraniteľnosť stojí hackerom za to, aby ju využili pre svoj malvér.

Po druhé, bezpečnosť iPhonu sa znižuje po prelomení systému (jailbreak). Tento úkon umožňuje nahrať do mobilu aj aplikácie mimo oficiálneho App Storu, ktoré Apple predtým nepreveril.

Naopak, do Androidu možno bez problémov stiahnuť aj appky mimo oficiálneho obchodu Google Play. Čím sa zvyšuje hrozba, že sa do mobilu alebo tabletu dostane zákerný kód alebo zariadenie bude zneužité na hackerský útok.

Podiel jailbreaknutých iPhonov sa odhaduje na okolo 10 percent, čo znamená, že prevažná väčšina používateľov týmto spôsobom so svojím jablkom neexperimentuje.

Na druhej strane, už v roku 2015 sa vyskytli útoky ako XcodeGhost a YiSpecter, ktoré dokázali kompromitovať iPhone/iPad aj bez toho, aby využili systémovú zraniteľnosť alebo jailbreak. Používatelia applovských zariadení tak boli vystavení dovtedy bezprecedentnému riziku, uvádza štúdia Symantecu.

Android dlhodobo vedie v malvéroch

Späť k štatistike CVE. Kým počet zraniteľností iOS vlani medziročne klesol (z 387 na 161), v prípade Androidu stúpol, a poriadne – zo 125 na 523. Čo stálo za týmto viac než 300-percentným nárastom?

„Počas niekoľkých rokov tvrdilo viacero bezpečnostných výskumov, že opensourcová povaha Androidu nevyhnutne implikuje vyšší počet nechránených zraniteľností a tým pádom aj zvýšenie frekvencie útokov. Táto teória zatiaľ nebola úplne potvrdená, keďže až rok 2016 je prvým rokom, v ktorom počet zraniteľností Androidu predbehol počet zraniteľností iOS,“ uvádza slovenská bezpečnostná firma Eset.

Podľa prieskumov sa dlhodobo len malá časť malvérov zameriava na iPhony. Report spoločnosti Telefónica napríklad tvrdí, že 99,68 percenta útokov v treťom minuloročnom kvartáli mierilo do prostredia Android. V ňom šarapatil aj najaktívnejší bankový mobilný malvér Trojan-Banker.AndroidOS.Svpeng.

Daň za popularitu

Malvérová dominancia Androidu vychádza z troch hlavných pilierov. Prvým je jeho trhový podiel. Napríklad v treťom minuloročnom kvartáli podiel Androidu na celkových dodávkach mobilných zariadení predstavoval 86,8 percenta, kým iOS mal 12,5 percenta. A kyberútočníci, logicky, útočia viac na väčšiu masu, lebo v nej vidia väčšie šance na úspech. (Podobným spôsobom to svojho času schytával Windows v porovnaní s Linuxom.)

Okrem penetrácie systému sa zvykne „malvérovosť“ Androidu pripisovať aj otvorenému prístupu Googlu k sťahovaniu aplikácií. Nielenže umožňuje nahrávať appky aj mimo oficiálneho obchodu, ale aj v samotnom Google Play má pomerne benevolentný prístup.

Tip: O top hrozbách v oblasti IT bezpečnosti na tento rok v súvislosti s internetom vecí, mobilnou komunikáciu či kritickou infraštruktúrou sa dočítate v najnovšom čísle TREND 7/2017.

Apple každú novú aplikáciu pred zverejnením vo svojom App Store najprv manuálne testuje. Okrem iného skúma, ako môže, chtiac i nechtiac, narušiť bezpečnosť systému. Trvá to v priemere sedem až desať dní. Google umožňuje aplikáciu publikovať v Google Play prakticky okamžite, ale k testovaniu pristupuje zvyčajne až potom, keď je pri aplikácii hlásený nejaký problém.

Problémové aktualizácie

Hlavným problémom Androidu z pohľadu bezpečnostných analytikov však je aktualizácia systému. Kým Apple má updaty iOS plne vo svojich rukách, Google sa pri Androide musí spoliehať na spoluprácu so svojimi partnermi, výrobcami mobilov a mobilnými operátormi.

To znamená, že keď sa objaví zraniteľnosť v iOS, Apple vydá funkčnú záplatu do niekoľkých dní. Tá istá diera v Androide ostáva otvorená aj niekoľko týždňov, lebo záplatu musia partneri Googlu najprv integrovať do svojich upravených Androidov a až potom ju vydať. Mnohé bezpečnostné updaty sa tak k používateľom dostanú s veľkým odstupom, alebo sa k nim nedostanú vôbec. Čo, samozrejme, zvyšuje riziko kompromitácie zariadenia.

Pripočítajte si k tomu ochotu a záujem samotných používateľov aktualizovať systém a dostávate pomerne hrozivé čísla. Len jedna štvrtina zariadení s Androidom má inštalovanú verziu systému, ktorú Google podporuje tým, že pre ne vydáva aktualizácie (Marshmallow alebo Nougat), ostatné bežia na nepodporovaných edíciách. Naproti tomu viac než 90 percent zariadení s iOS má podporovanú verziu systému.

Kvôli nezhodám Googlu s výrobcami, najmä Samsungom, je zrejme najlepším spôsobom, ako získať najnovšie bezpečnostné záplaty, kúpa vlajkového androidového zariadenia Pixel (donedávna známeho ako Nexus).

„Na rok 2017 navrhol Google plán aktualizácií Androidu 7.0 na Nexus zariadeniach tak, že okrem štvrťročných updatov, ktoré obsahujú nové funkcionality a opravené bugy, bude distribuovať aj mesačné bezpečnostné updaty,“ uvádza Eset.

Medzitým sa vlani podľa neho neposunulo takmer nič, čo by viedlo k dohode o rýchlosti vydávania záplat: „Práve naopak, boj o dominanciu na trhu s mobilnými zariadeniami mal za dôsledok vlečúce sa riešenia konfliktov.“