Comments 24
Да простят меня яблокоманы. Люблю и то и другое))
Ну что тут можно сказать, ведроид стал для мобильного рынка примерно тем же самым чем стала винда для десктопа — помойкой без какой-то конкретной идеологии.
А я уж лучше подожду Ubuntu Phone и его аналогов.
А я уж лучше подожду Ubuntu Phone и его аналогов.
UFO just landed and posted this here
Цена мака с OS X Lion + 299, среда разработки (XCode) бесплатная
Еще Вы можете воспользоваться Adobe Flash (если сложно разобраться с Objective-C) и писать на ActionScript, а затем скомпоновать билд как AIR для IOS. Тогда добавляется цена продукта Adobe.
Еще Вы можете воспользоваться Adobe Flash (если сложно разобраться с Objective-C) и писать на ActionScript, а затем скомпоновать билд как AIR для IOS. Тогда добавляется цена продукта Adobe.
Фактически за $299 вы получите разрешение от Apple на загрузку в iPhone подписанных Вами приложений напрямую через iTunes, не отправляя их на проверку.
Насколько я понял из статьи, iOS с вашей точки зрения более защищенная платформа, из-за более высокого порога вхождения разработчиков. Гугл тут, несомненно, более либерален.
А что если сравнить сами платформы?
www.cvedetails.com/product/15556/Apple-Iphone-Os.html?vendor_id=49
Уязвимости iOs
Execute Code 89
Overflow 70
Denial of Service 94
Memory Corruption 70
Gain Information 24
XSS 10
Bypass Something 14
Gain Privilege 3
54 уязвимости на выполнение кода только 2012 году, из них большая часть имеет высший рейтинг опасности
www.cvedetails.com/vulnerability-list/vendor_id-49/product_id-15556/year-2012/opec-1/Apple-Iphone-Os.html
www.cvedetails.com/product/19997/Google-Android.html?vendor_id=1224
Уязвимости Андроид
Denial of Service 5
Bypass Something 4
Execute Code 3
Memory Corruption 2
Gain Information 3
Gain Privilege 3
Overflow 2
doctorweb, интересно ваше мнение по этому поводу.
А что если сравнить сами платформы?
www.cvedetails.com/product/15556/Apple-Iphone-Os.html?vendor_id=49
Уязвимости iOs
Execute Code 89
Overflow 70
Denial of Service 94
Memory Corruption 70
Gain Information 24
XSS 10
Bypass Something 14
Gain Privilege 3
54 уязвимости на выполнение кода только 2012 году, из них большая часть имеет высший рейтинг опасности
www.cvedetails.com/vulnerability-list/vendor_id-49/product_id-15556/year-2012/opec-1/Apple-Iphone-Os.html
www.cvedetails.com/product/19997/Google-Android.html?vendor_id=1224
Уязвимости Андроид
Denial of Service 5
Bypass Something 4
Execute Code 3
Memory Corruption 2
Gain Information 3
Gain Privilege 3
Overflow 2
doctorweb, интересно ваше мнение по этому поводу.
Если теория не сходится с практикой(а почему то на андроид вирусни больше), то наверно теория не верна?
Насколько я понял из статьи, iOS с вашей точки зрения более защищенная платформа, из-за более высокого порога вхождения разработчиков. Гугл тут, несомненно, более либерален.
Пожалуй, возрожу по поводу высокого порога вхождения для разработчиков. Масса туториалов, гайдов, видео (напр. курсы стенфорда по iOS разработке), детальнейшая документация API, вполне сносная среда разработки (бесплатная) + очень перспективная в плане рефакторингов и прочих вкусностей среда от Jetbrains — AppCode ($100). Если дорого железо, то можно собрать себе хакинтош, он вполне подойдет.
И, на мой взгляд, основными причинами столь высокой безопасности в iOS являются (по мере убывания важности):
1. Единая модерируемая точка распространения
2. Своевременная доступность апдейтов
3. Закрытость
Теперь по приведенным Вами графикам. По моему мнению, нет надобности искать какие-то уязвимости в крепости если главные ворота открыты (это я про Андроид).
Пожалуй, возрожу по поводу высокого порога вхождения для разработчиков. Масса туториалов, гайдов, видео (напр. курсы стенфорда по iOS разработке), детальнейшая документация API, вполне сносная среда разработки (бесплатная) + очень перспективная в плане рефакторингов и прочих вкусностей среда от Jetbrains — AppCode ($100). Если дорого железо, то можно собрать себе хакинтош, он вполне подойдет.
И, на мой взгляд, основными причинами столь высокой безопасности в iOS являются (по мере убывания важности):
1. Единая модерируемая точка распространения
2. Своевременная доступность апдейтов
3. Закрытость
Теперь по приведенным Вами графикам. По моему мнению, нет надобности искать какие-то уязвимости в крепости если главные ворота открыты (это я про Андроид).
Присоединяюсь.
Но есть еще один плюс «реализованного» подхода Apple — модификация политики допуска в AppStore приложений по фидбеку от пользователей: Если будет обнаружено вредоносное приложение — то оно будет исключено из «раздачи», что позволит избежать эпидемий, И (что более важно), после анализа в гласные или негласные правила экспертизы приложений будут внесены ограничения. Вспомните «пукающие» приложения, использующиеся для первых поколений джейлбрейков.
Но есть еще один плюс «реализованного» подхода Apple — модификация политики допуска в AppStore приложений по фидбеку от пользователей: Если будет обнаружено вредоносное приложение — то оно будет исключено из «раздачи», что позволит избежать эпидемий, И (что более важно), после анализа в гласные или негласные правила экспертизы приложений будут внесены ограничения. Вспомните «пукающие» приложения, использующиеся для первых поколений джейлбрейков.
В основном, первый и третий пункты. По поводу апдейтов все не так однозначно
Под простотой вхождения я подразумевал то, что закинуть потенциально опасное приложение в андроид маркет намного проще, чем в аппстор.
Сложно сказать являются ли строгие ограничения панацеей от вирусов.
Есть много систем, которые вполне себе нормально существуют без подобных ограничений и не страдают проблемой вирусни. Тот же линукс с его менеджером пакетов.
Есть и более гуманные методы ограничений. Например в настройках сделать опцию запрета некоторых прав доступа. Ее активация запретит совсем / будет выводить запрос перед каждой попыткой использования. Тудаже права на доступ к смс и телефонной книге. Т.е. пользователь всегда будет знать, когда какое приложение пытается прочить/отправить смс или телефонную книгу, и сможет принять решение о целесообразности таких действий в данный момент.
А окутывать все колючей проволокой и пропускать по ней ток, это не выход, имхо.
А вот уязвимости на переполнение, это очень опасно, не стоит их недооценивать. Это значит, что вполне себе белое и пушистое приложение, прошедшее все проверки, сможет натворить бед.
Сложно сказать являются ли строгие ограничения панацеей от вирусов.
Есть много систем, которые вполне себе нормально существуют без подобных ограничений и не страдают проблемой вирусни. Тот же линукс с его менеджером пакетов.
Есть и более гуманные методы ограничений. Например в настройках сделать опцию запрета некоторых прав доступа. Ее активация запретит совсем / будет выводить запрос перед каждой попыткой использования. Тудаже права на доступ к смс и телефонной книге. Т.е. пользователь всегда будет знать, когда какое приложение пытается прочить/отправить смс или телефонную книгу, и сможет принять решение о целесообразности таких действий в данный момент.
А окутывать все колючей проволокой и пропускать по ней ток, это не выход, имхо.
А вот уязвимости на переполнение, это очень опасно, не стоит их недооценивать. Это значит, что вполне себе белое и пушистое приложение, прошедшее все проверки, сможет натворить бед.
Уязвимостей под Android возможно и меньше. Но из статьи понятно, что для того чтобы поставить вредоносную программу, эти уязвимости вовсе не обязательно использовать. Достаточно написать программку которая будет делать вид, что помогает связать контакты из адресной книги с контактами во вконтакте (чтобы доступ в интернет и к адресной книге в пермишенах не был подозрительным), а по факту сливающая ваш пароль от вконтакте. И эта программа (пускай и не долгое время) может продаваться в оффициальном сторе.
Тут вы правы. Хотя по функционалу такие «программки» могут различаться.
Из официального стора зараженные приложения достаточно оперативно удаляются. Собственно, как показывает наш опыт общения с Android Security Team — в течение 2-3 часов (если им даешь полную информацию). Однако они там появляются… И живут некоторое время…
Из официального стора зараженные приложения достаточно оперативно удаляются. Собственно, как показывает наш опыт общения с Android Security Team — в течение 2-3 часов (если им даешь полную информацию). Однако они там появляются… И живут некоторое время…
А если написать программу, которая не делает такого вида? Она реально будет работать. Но «заодно», сливать ваш пароль от контакта. Или с каким-то апдейтом обретет такой функционал?
Такой зловред достаточно просто зашифровать под полезный код. Так что это не панацея.
Такой зловред достаточно просто зашифровать под полезный код. Так что это не панацея.
Несмотря на то, что на указанном сайте приведено большее количество уязвимостей для iOS, Apple, имея политику предоставления обновлений почти всем моделям мобильных устройств сразу (в соответствии с оговоренной гарантированной поддержкой этих устройств) может более эффективно выпускать фиксы, в отличие от устройств с Android, где огромное количество моделей, и выпуск обновлений зависит от различных факторов (о них говорилось в тексте: технические проблемы, экономические и т.п.), тем более, их никто не обещает, поэтому уязвимости в Android могут представлять серьезную опасность. К тому же на Android применять уязвимости злоумышленникам более выгодно, т.к. их проще интегрировать во вредоносные программы, распространение которых намного более либерально, чем в iOS.
Кстати, показалось странным, что в списке уязвимостей для Android отсутствуют XSS, хотя это, в основном, должно относиться к движку WebKit…
Кстати, показалось странным, что в списке уязвимостей для Android отсутствуют XSS, хотя это, в основном, должно относиться к движку WebKit…
Sign up to leave a comment.
Android & iOS: концепции распространения приложений и вопросы безопасности