A batalha pela supremacia móvel tem dois candidatos: iOS e Android. Eles são os sistemas mais populares, mas qual deles é o mais seguro?
Segurança móvel, um fator desconhecido
De acordo com uma pesquisa da Motorola (em inglês), apenas 12% dos compradores têm a segurança em mente como o fator principal quando se compra um telefone. As pessoas preferem olhar para a disponibilidade de aplicativos, usabilidade e aspectos mais superficiais, como o estilo dos ícones ou a fluidez das animações.
Esquecemos que um telefone não é mais apenas uma agenda: dentro dele armazenamos e-mails, senhas e fotos. O smartphone é uma caixa onde mantemos nossa vida. E não apenas as nossas vidas, mas também o nosso trabalho: nos conectamos à redes corporativas, lemos documentos confidenciais e executamos aplicativos do trabalho. Pior: nós usamos nossos telefones ignorando as opções de segurança mais básicas.
Entre 30 e 60% das pessoas não usam sistemas de bloqueio em seu telefone, como o PIN de quatro dígitos ou o desbloqueio padrão. As opções mais complexas e poderosas, como a criptografia de dados, são sistematicamente ignoradas. O escândalo NSA colocou a privacidade dos nossos dados em destaque e pediu aos autores de software para colocar mais ênfase na segurança em cada atualização. Este despertar inclui também os celulares e seus sistemas operacionais.
O duelo Android 4.3 X iOS 7
iOS e Android são o coração de dispositivos caros e que contêm uma grande quantidade de dados pessoais. Em cada uma de suas atualizações, tanto a Apple (iOS) quanto o Google (Android) se esforçam para melhorar a segurança do sistema por meio de novas opções de segurança, correção de vulnerabilidades e melhorias do sistema.
Às vezes as coisas dão errado, como aconteceu com o caso do iOS 7, quando era possível realizar chamadas a partir da tela de bloqueio. São acidentes que mostram como é complexo cuidar da segurança móvel, que procura combinar segurança e velocidade de uso: quer proteger os dados, mas não às custas da usabilidade.
Se fôssemos perguntar ao Google e à Apple, eles, muito provavelmente, diriam que o seu sistema é o mais seguro. E é isso que está acontecendo. Em declarações públicas, Eric Schmidt, Chairman do Google, disse que “o Android é mais seguro.” Por outro lado, Tim Cook, CEO da Apple, enfatizou as consequências negativas da fragmentação do Android, que exigem “tapar buracos”. Mas, além de comentários e anúncios, qual dessas plataformas é mais segura para os usuários? Nesta comparativo, vamos colocar no ringue os sistemas, iOS 7.0.2 e Android 4.3.
Os cinco níveis de segurança móvel
Nós pensamos em cinco níveis de segurança, progressivamente mais complexos, que envolvem aspectos da segurança que vão desde o básico, como o bloqueio da tela, até os mais avançados, como a criptografia ou o número de vulnerabilidades. Para a grande maioria dos usuários, o nível 1 é o único conhecido e a que mais importa, enquanto o nível 5 interessa apenas aos usuários mais avançados e exigentes. Há aspectos dos níveis de 2 a 4 que podem interessar a todos, mas geralmente não requer atenção ou são automáticos.
Nível 1: Sistemas de bloqueio e identificação
O nível de segurança básico de todos os dispositivo móveis, do ponto de vista do usuário final, é o que tem a ver com o acesso ao telefone ou tablet. Sem este nível, um dispositivo está à mercê de qualquer pessoa mal-intencionada. O Android 4.3 tem cinco sistemas de bloqueio de tela: deslizar, desbloqueio com o rosto, padrão, PIN e senha.
São configurados desde o menu “Segurança“ > “Bloqueio”. Por outro lado, o iOS tem apenas dois métodos: deslizar e código PIN. O deslizar não oferece segurança e está lá só para evitar toques acidentais. O PIN é um código numérico que, se for mantido no mínimo (quatro dígitos), pode ser quebrado em menos de um dia. Mas, enquanto os erros no iOS aumentam o tempo entre tentativas, no Android isso não ocorre. Além disso, no iOS há uma opção adicional para apagar todos os dados após dez tentativas falhas.
Entre todos os sistemas de bloqueio oferecidos pelo Android, o reconhecimento facial é o que o Google considera menos seguro, pois ele pode ser facilmente enganado com uma foto. O sistema de padrões (desenhar linhas entre os pontos) é fácil de lembrar e bastante robusto, mas depende da complexidade da sequencia, e as impressões digitais são pistas que minam a sua confiabilidade.
O sistema mais seguro é o de senhas alfanuméricas, mas é o mais desconfortável de todos, e custa mais para se configurar bem (lembre-se que as pessoas não gostam de memorizar senhas complexas). Além disso, desde o iOS 7 e apenas em novos dispositivos, a Apple tem o Touch-ID, um sistema de reconhecimento de impressão digital muito fácil de usar e mais forte do que quase todas as alternativas.
Conveniência vs Segurança
Mas, afinal de contas, qual é o mais seguro? Por número de opções oferecidas é o Android. Mas, quando você considera a conveniência dos sistemas de identificação e o novo sistema Touch-ID da Apple, a situação muda. Conveniência x Segurança é o maior debate quando se trata de segurança móvel. Este gráfico que preparamos pode ajudar você a entender:
Avaliações subjetivas de segurança e conveniência. Os asteriscos indicam que a segurança depende da complexidade da senha ou do padrão. Em verde, as opções disponíveis nos dois sistemas
Os dois sistemas de bloqueio mais seguros e mais fáceis de usar são os padrões (Android) e as impressões digitais (iOS). Os PINs têm baixa segurança se deixados em quatro dígitos, o que é típico, enquanto as senhas podem ser muito seguras, mas sua baixa conveniência aumenta drasticamente conforme a complexidade. A batalha, então, é entre os padrões do Android e o Touch ID do iOS.
O Touch ID da Apple em ação (foto do iPhoneWorld)
O Android oferece mais possibilidades de bloqueio, que são estendidas através de aplicativos de terceiros e o padrão é muito fácil de usar. No entanto, ele é mais vulnerável e menos conveniente que a leitura de impressões digitais do iOS 7 com o Touch ID.
Logo, ganha o iOS 7 pelo seu equilíbrio entre conveniência e segurança (graças ao Touch ID): sua abordagem ao acesso pareceu o melhor pela simplicidade e a conveniência.
Nível 2: Segurança dos aplicativos
Depois de analisar o acesso, é a vez dos aplicativos: como baixar, instalar, obter autorização e executá-los. Os usuários rodam dezenas de aplicativos em seus dispositivos, mas não costumam prestar atenção à segurança. Por outro lado, o que iOS e Android fazem para garantir que os aplicativos maliciosos não causem um desastre?
Inicialmente, ambos, Android e iOS têm uma abordagem semelhante, baseando-se em suas próprias lojas, nas quais a segurança dos milhares de aplicativos disponíveis para o usuário é verificada de forma automática e manual. Os dois sistemas isolam os processos em execução em uma caixa de proteção, o que impede que um aplicativo possa tomar o controle de todo o sistema. E esse procedimento é feito de forma eficaz.
Modelo aberto vs fechado
A segurança de ambos os ecossistemas ou markets é muito alta, embora casos de aplicativos maliciosos que conseguiram se infiltrar tenham ocorrido. Por exemplo, pesquisadores da Georgia Tech conseguiram introduzir o aplicativo Jekyll na loja do iOS. Mas o malware também pode infiltrar-se no Android, e isso já aconteceu em várias ocasiões, com aplicativos falsos que não foram removidos por muito tempo.
Falsos apps no Google Play, algo comum (fonte)
Em ambos os casos, são situações excepcionais. No entanto, enquanto estamos falando de cerca de 6% de malwares no Google Play, na iTunes Store estes números são praticamente nulos (em parte porque a Apple não dá mais detalhes). O Android, que tem uma fatia de mercado de 70%, tornou-se o alvo favorito dos hackers: 92% dos malware móveis pertencem a ele.
Isso torna o Android mais inseguro? Supondo um uso normal do Android e que os aplicativos sejam baixados apenas do Google Play ou do Amazon, o risco de malware é tão baixo quanto o do iOS. Mas, enquanto o iOS obriga a usar os aplicativos da sua loja, o Android adotou desde o início uma postura mais liberal, deixando em aberto a possibilidade de instalar aplicativos de outras lojas. E este é o portão de entrada favorito para os malwares.
O Android permite instalar aplicativos de fontes desconhecidas
Sendo um sistema mais aberto, o Android suporta a instalação de apps de terceiros. É perigoso, mas lhe dá imensa flexibilidade, algo que os usuários do iOS só podem sonhar ou tentar imitar através do jailbreak de seus dispositivos. Esta liberdade, no entanto, tem um preço: a presença de malwares disfarçados de aplicativos legítimos. Esses códigos maliciosos trouxeram, aliás, uma próspera indústria de antivírus para o Android.
Gerenciamento de permissões dos aplicativos
Uma forma de controlar o que os aplicativos fazem é através de um sistema de permissões, que estabelece a quais dados e partes do aparelho um aplicativo específico pode acessar. Tanto o Android quanto o iOS têm sistemas de licenças, mas o estilo na hora de informar o usuário é muito diferente.
O iOS só avisa o usuário quando é necessário autorizar o acesso a um determinado recurso. O usuário pode então aceitar ou rejeitar cada um como quiser, com o app já instalado e funcionando. No Android, que relata desde o início, e com muitos detalhes, as permissões necessárias para um aplicativo, a decisão é do tipo “tudo ou nada”: se o usuário não aceitar as condições, o aplicativo não será instalado.
No Android 4.3 foi introduzido um controle gradual de permissão, mas ele fica oculto e, para ativá-lo, você tem que usar aplicativos como o App Ops Starter, que o tornam visível.
Ganha o iOS pelo controle mais rígido dos apps, em troca da renúncia à liberdade na hora de instalar aplicativos.
Nível 3: Proteção da privacidade
Os dois primeiros níveis cobrem a segurança essencial, mas o que acontece com os aspectos mais subjetivos, como a privacidade? Estamos falando sobre como as informações são exibidas na tela de bloqueio ou no envio de dados anônimos – ou não – para informação publicitária. Aspectos que podem perturbar alguns usuários.
Notificações na tela de bloqueio
A possibilidade de ler as notificações diretamente da tela de bloqueio é algo que o Android, por enquanto, não permite e, para isso é necessário instalar aplicativos de terceiros. Isso pode ser desconfortável, pois exige desbloquear a tela toda vez que você quer saber o que aconteceu, mas também é verdade que o Android é compatível com as notificações via LED (nos celulares que o permitem).
O iOS, por outro lado, exibe as notificações diretamente na tela de bloqueio e o faz por padrão. Por exemplo, você pode ler e-mails ou mensagens do WhatsApp sem desbloquear o celular. Este tipo de notificação pode ser desativada no “Centro de Notificações”, com opções personalizadas para cada aplicativo que utiliza este recurso.
Anúncios personalizados
Ambos, iOS e Android, podem enviar dados para personalizar anúncios. Para algumas pessoas esse recurso, longe de ser útil, pode ser uma intromissão inaceitável na esfera pessoal. É como ter um único cookie para todo o celular. No Android, isso é controlado em “Configurações do Google” > “Anúncios.” No iOS, a partir do menu “Privacidade” > “Anúncios” e do menu “Serviços do Sistema”: você deve navegar bastante para desativá-lo.
Privacidade da navegação
A maior parte do tempo que passamos com nossos smartphones é no navegador da web. Os browsers nativos do IOS 7 e Android 4.3, Safari e Chrome respectivamente, têm abundantes configurações de privacidade. O Safari, o navegador padrão para iOS 7 tem a opção Do-Not-Track, para desativar os cookies rastreadores potencialmente perigosos para a privacidade e o bloqueio seletivo de cookies. O Chrome, o navegador do Android, tem um menu completo dedicado à privacidade, com o Do-Not-Track e opções para desativar relatórios de bugs, sugestões e previsões de compartilhamentos de rede.
Ganha o Android pelo maior controle que oferece das opções de privacidade do seu navegador e pela escolha de não mostrar as notificações na tela de bloqueio, embora muitos usuários da plataforma do Google vejam isso como uma desvantagem em relação ao iOS.
Nível 4: Segurança remota do dispositivo
Você tem o seu telefone seguro e bem configurado. E se perdê-lo ou for roubado? Você vai querer encontrá-lo, achá-lo no mapa, ou, pelo menos, pedir a exclusão automática de seus dados. Com o recurso “Find my iPhone”, o iOS foi pioneiro na localização. Entrando no iCloud, os usuários podem localizar seus dispositivos e seu status (ligado ou desligado), reproduzir um som e ativar o modo de perda, exibindo uma mensagem na tela. Em casos extremos, você pode ativar o desligamento remoto.
A interface web do Find my iPhone (imagem do Applediario)
O Android introduziu algo semelhante com o Gerenciador de Dispositivos. Ele suporta uma ampla variedade de dispositivos com a plataforma e permite que você localize os dispositivos no Google Maps, assim como reproduzir um som, bloquear o aparelho ou apagar dados remotamente. Infelizmente, não há opções como a mensagem remota personalizável.
Ganha o iOS pela quantidade de opções e dados fornecidos através do Find my iPhone. O gerenciador de dispositivos do Android é mais limitado.
Nivel 5: Segurança avançada do sistema
No último nível, nós tratamos os aspectos de segurança mais avançados do iOS e Android, como a criptografia do sistema de arquivos ou a facilidade para obter privilégios de root no sistema. Se você é um usuário básico, este ponto vai lhe interessar pouco.
Criptografia dos dados do usuário
Através de criptografia é possível proteger a confidencialidade dos dados. Por exemplo, você pode impedir que um ladrão acesse seus dados bancários armazenados no telefone. No iOS, a criptografia vem ativada de fábrica e é realizada através de um hardware dedicado, o que minimiza o impacto sobre o desempenho. Trata-se de uma criptografia AES de 256 bits muito segura na maioria das situações.
No Android, a criptografia é uma escolha do usuário. Como mencionado acima, a variedade de dispositivos Android fez com que esta funcionalidade seja realizada por software, o que cria problemas de desempenho inevitáveis.
Permissões de root (root e jailbreak)
Em qualquer sistema operacional, os privilégios de root são essenciais para ter o controle completo do sistema. Nos telefones celulares eles permitem instalar aplicativos não oficiais, desinstalar aplicativos de fábrica ou a personalização do sistema. O Android escolheu ser totalmente transparente a este respeito. Seus dispositivos podem ser “rooteados” sem muito esforço, mas ele não é necessário para instalar aplicativos que estão fora do Google Play. O risco na hora de rootear é mínimo e é uma operação legal e aceita por muitos fabricantes.
No iOS, a obtenção de privilégios de root é parte do processo de jailbreaking, uma operação que é realizada para obter a liberdade de personalização que falta no sistema, por escolha e por filosofia de design. Isso é legal em muitos países, mas expõe a plataforma a um grande número de riscos e instabilidades.
Vulnerabilidades e atualizações
As vulnerabilidades são brechas do software que podem ser exploradas por hackers/crackers ou malwares para assumir o controle do sistema, danificar ou obter informações. De acordo com o CVEDetails, o número de vulnerabilidades no IOS é muito maior que no Android (independente das vulnerabilidades do browser). Isso pode ser visto no gráfico:
Número de vulnerabilidades descobertas no Android e iOS por ano (fonte: CVEDetails)
Este dado não indica muito: apesar do grande número de vulnerabilidades do iOS, a quantidade de aplicativos que podem explorá-las é mínimo, devido ao rígido controle que a Apple exerce sobre esse mercado (controle que é cancelado com o jailbreak, daí o nervosismo pela manobra no iOS).
Não que o iOS seja menos seguro, mas nele não há tanta pressa para superar essas vulnerabilidades. Uma urgência que, por outro lado, o Android tem. E há outro fator a considerar quando se trata de vulnerabilidades, que são os patches. Ao controlar os dispositivos, a Apple pode corrigir as vulnerabilidades imediatamente através de uma nova atualização, que chegará ao dispositivos de qualquer jeito. Para o Android, esse processo só acontece com a gama Nexus: outros fabricantes oferecem as novas versões quando acharem melhor, obrigando muitos usuários a mudar a ROM do seu dispositivo. Felizmente, o Android já está resolvendo esse tipo de problema, pulando a barreira dos fabricantes com as atualizações através do Google Play.
Ganha o iOS graças ao maior controle que exerce sobre os dispositivos, o que permite enviar atualizações rapidamente a todos os usuários e criptografar os dados sem esforço.
Veredito: o iOS vence, mas com menos liberdade
Em geral, tanto o Android quanto o iOS são sistemas operacionais extremamente seguros. Ambos apostam pela segurança habilitada por padrão e por não sobrecarregar os usuários e os desenvolvedores com decisões ambíguas . No entanto, a abordagem difere em alguns pontos, especialmente no controle das funções. A Apple declara no guia iOS Security que o iOS tem uma segurança transparente para o usuário, mas alguns recursos, como a criptografia de dados, não podem ser configurados.
É uma estratégia à prova de falhas, compatível com sua estratégia voltada ao usuário – simplicidade – e para o hardware – otimização. O Android, por outro lado, oferece um maior nível de controle, não somente por razões ideológicas, mas também devido à fragmentação existente no mercado em relação aos dispositivos: ativar a criptografia, por exemplo, tem um impacto negativo no desempenho, por ser executado no software, o oposto do que a Apple faz, já que este recurso é ativado via hardware.
O iOS é mais seguro para todos os usuários, em troca dos mesmos abrirem mão de algumas liberdades que podem ser importantes, como a possibilidade de transferir facilmente os dados ou instalar aplicativos não oficiais. Em compensação, você pensa menos em segurança. Já como Android, é preciso ficar muito mais atento ao que está sendo feito.
Qual é o mais seguro para você, Android ou iOS?
Nota: O autor deste comparativo tem um Nexus 4 e um iPad 3
