Kauf von Technology Co., Ltd. Shenzhen-Universal

Qualitativ hochwertiges Produkt, Dienstleistung, wird der Kern-Anbieter in Laserindustrie!

Startseite > News > Inhalt
IOS und Android Sicherheit: Eine Zeitleiste der Highlights und die Lowlights
- Jun 27, 2017 -

Als das moderne mobile Gerät zuerst die Regale traf, war der Smartphone-Markt kein Ziel für die grassierende Malware und den Datendiebstahl, den wir heute sehen.

Lassen Sie uns in unsere eigene Wayback-Maschine hopfen und untersuchen iOS und Android-Sicherheit von Anfang an jetzt zu prüfen, was hat sich mit jeder Plattform und mit Cybersecurity geändert.

Sehen Sie mehr: Warum Frühling Reinigung Ihr Telefon ist wichtig für die Sicherheit


IOS 1

Das Wichtigste über die erste Iteration der Apple Mobile Plattform (freigegeben am 6. März 2008) ist, dass es keine App Store;

Aus diesem Grund gab es keine autorisierten Drittanbieteranwendungen in der Entwicklung.

Es dauerte nur ein paar Monate, bis unautorisierte Drittanbieter-Apps begannen zu erscheinen - diese Apps wurden von Hackern und Tinkerers erstellt, die mehr vom Gerät wollten.


Apple antwortete auf diese kleine Welle von Drittanbieter-Apps durch die Freigabe der ersten.

1 Update auf die Plattform, die das Betriebssystem mit Verschlüsselung und Zertifikat signing gesperrt.

Diese Apps von Drittanbietern waren nicht mehr installierbar.


Android 1.5

Die frühen Tage von Android waren sehr ähnlich, dass von iOS - es war nicht bis zum Cupcake Release (1.5, veröffentlicht 27. April 2009), dass Android seine eigenen App Store entfesselt.

In diesen frühen Tagen gab es wenig bis gar keine Software, aber die Plattform war noch nicht das Ziel der bösartigen Software geworden. Dies kann leicht auf einen Mangel an Publikum (ähnlich wie iOS) zurückzuführen sein.


Obwohl es eine Menge von Buzz um Android gab, hatte es noch genug Traktion zu gewinnen, um die Aufmerksamkeit von Hackern und anderen Arten von Sicherheits-Intrusionen zu sammeln.

Trotzdem verbesserte Google die Sicherheit seiner jungen Plattform mit Verbesserungen, die den Zusatz von ProPolice beinhalten, um Stack-Pufferüberläufe zu verhindern,

Safe_iop, um ganzzahlige Überläufe zu reduzieren, und Chunk-Konsolidierungsangriffe und doppelte Freie () Schwachstellen, um das Hinzufügen von Erweiterungen zu OpenBSD dlmalloc zu verhindern.


IOS 2

Mit iOS 2 (freigegeben am 22. Juli 2008) kommt der iOS App Store endlich an und schüttelt die unbefugten Drittanbieter-Apps gut ab.

Sogar mit dem App Store im Spiel begannen jailbreaking Gemeinden zu steigen, mit dem Ziel, das volle Potenzial des Gerätes zu entfesseln.


Während dies geschieht, stellt Apple sicherheitsrelevante Features auf der Plattform vor:

Unterstützung für Ciscos IPSec VPN-Technologie, WPA2 Enterprise und 802.1x Authentifizierung, Konfigurationsprofile, die Sicherheitsrichtlinien erzwungen haben, und sogar die Remote-Wischfunktion.


Apple entdeckte und feste eine Reihe von sicherheitsspezifischen Bugs, die betroffen waren,

Einschließlich CFNetwork (CVE-ID: CVE-2008-0050), Kernel (CVE-ID: CVE-2008-0177),

Safari (CVE-ID: CVE-2008-1588, CVE-ID: CVE-2008-2303, CVE-ID: CVE-2006-2783,

CVE-ID: CVE-2008-2307, CVE-ID: CVE-2008-2317) und WebKit (CVE-ID: CVE-2008-1590,

CVE-ID: CVE-2008-1025, CVE-ID: CVE-2008-1026).


Android 2

Android 2 (Eclair) wurde am 26. Oktober 2009 veröffentlicht. Der Android-Marktanteil war damals noch unter 3%, so dass das Ziel noch auf der Rückseite der mobilen Plattform von Google gemalt werden musste.


Eclair führte eine einzige Schnittstelle für die sichere Verwaltung mehrerer Online-Konten sowie Microsoft Exchange-Unterstützung ein.

Zu der Zeit gab es sehr wenig Diskussion über die Sicherheit der Android-Plattform.

Am 20. Mai 2010 hat Microsoft Exchange Unterstützung in Android hinzugefügt Sicherheitsrichtlinien und Adobe Flash (die seit langem als Sicherheitsproblem an und für sich betrachtet).


Am 6. Dezember 2010 hat Google Unterstützung für Near Field Communication (NFC) für Android hinzugefügt.

Dies ist eine Technologie, die zu Lauschangriffen, Datenkorruption / Manipulation, Abfangangriffen und Diebstahl führen könnte.


Es war nicht bis zum 18. Januar 2011, als Android 2.2 (Froyo) Sicherheitsupdates in die Plattform rollte. Das nächste Sicherheitsupdate würde dem Android 2 bis zum 21. November 2011 nicht hinzugefügt.


IOS 3

IOS 3 rollte am 17. Juni 2009. Die größte Sicherheits-Ergänzung zu der Plattform war die Fähigkeit für Benutzer, $ 100.00 / Jahr zu bezahlen, um die Find My Phone-Funktion zu ermöglichen, die es Benutzern ermöglicht, ihr verlorenes oder gestohlenes Telefon zu finden.

Diese frühe Iteration von Find My Phone war einfach zu umgehen - wenn Location Services deaktiviert wurde oder wenn ein Lock Screen Passcode nicht erstellt wurde, würde das Feature nicht funktionieren.


Die dritte Version von iOS behinderte 46 Sicherheitslücken, darunter CoreGraphics (CVE-ID: CVE-2008-3623), Exchange (CVE-ID: CVE-2009-0958), Image I / O (CVE-ID: CVE-2009- 0040),

Internationale Komponenten für Unicode (CVE-ID: CVE-2009-0153) und IPsec (CVE-ID: CVE-2008-3651, CVE-2008-3652).


Android 3

Android 3 (Honeycomb), veröffentlicht am 22. Februar 2011, war das erste Tablet-Update auf die Android-Plattform.

Diese Version hat zwei sehr wichtige Sicherheitsupdates auf die Plattform hinzugefügt:

Die Fähigkeit, alle Benutzerdaten zu verschlüsseln und das Nichtzulassen von Anwendungen von einem Schreibzugriff auf sekundären Speicher (wie z. B. Speicherkarten) außerhalb des festgelegten Anwendungsspeichers zu ermöglichen.


IOS 4

IOS 4 (veröffentlicht am 21. Juni 2010) kam mit einer Reihe von interessanten Sicherheits-Updates.

Benutzer konnten nun ein langes Passwort anstelle einer vierstelligen PIN für den Gerätesperr-Bildschirm aktivieren.

Apple beinhaltete die Möglichkeit, E-Mail-Anhänge zu verschlüsseln, solange das Gerät durch einen Passcode gesperrt wurde. Die Verschlüsselungsfunktion wurde auf Drittanbieter-Apps für die Datenverschlüsselung erweitert.


IOS 4 hat eine Funktion hinzugefügt, die in den kommenden Jahren eine Grundlinie für Sicherheitsmerkmale wäre:

Benutzer hatten nun die Kontrolle darüber, ob einzelne Apps Zugang zur Standortkontrolle hatten.


Diese Version behoben eine satte 65 Schwachstellen, einschließlich Application Sandbox (CVE-ID: CVE-2010-1751),

CFNetork (CVE-ID: CVE-2010-1752), ImageIO (CVE-ID: CVE-2010-0041), LibSystem (CVE-ID: CVE-2009-0689),

Und libxml (CVE-ID: CVE-2009-2414, CVE-2009-2416).


Android 4

Als Android 4 (Ice Cream Sandwich) veröffentlicht wurde (18. Oktober 2011), wurde es gedacht, dass es einige ziemlich interessante Sicherheitslücken eingeführt hat.

Diese "Löcher" kamen über neue Features, die enthalten: Gesichtserkennung freischalten, Android Beam, Screenshots erfassen und per E-Mail kopieren / einfügen.

Seltsamerweise betrachteten einige Reporter diese Merkmale unter denen, die einen hervorragenden Datendiebstahl bringen würden.

Zum Beispiel gab es Bedenken, dass Facial Unlock würde jedermann mit einer ähnlichen Gesichtsstruktur oder sogar ein Foto des Gerätes Besitzer konnte ein Gerät zu entsperren.

Android Beam wurde gedacht, um eine einfache Möglichkeit für unverschlüsselte Informationen zu sein, um Diebstahl ausgesetzt werden.


Es war nicht bis Android 4.2 (Jelly Bean), dass ernsthafte Sicherheitsverbesserungen ihren Weg in Android über Security-Enhanced Linux (SELinux) machen würden.

SELinux (erstellt von der NSA und Red Hat) ist ein Kernel-Sicherheitsmodul, das einen Mechanismus zur Unterstützung von Zugriffskontroll-Sicherheitsrichtlinien bietet.

Diese Ergänzung brachte ein konkurrenzloses Maß an Sicherheit auf die Android-Plattform.

Es war nicht bis Android 4.4 (KitKat), dass SELinux in den Enforcing-Modus geschaltet werden würde. KitKat eingeführt Verified boot, die eine transparente Integritätsprüfung von Blockgeräten bietet.


IOS 5

Apple hat in iOS 5 hinzugefügt (freigegeben am 6. Juni 2011) was es Ungesicherter Anruf mit kleiner Fanfare oder Erklärung genannt hat;

Diese Funktion erwies sich als Warnung, wenn ein Benutzer auf einem unverschlüsselten Mobilfunknetz war.

Wenn Ungesicherte Anrufe angekommen sind, kann der Benutzer einen Anruf ignorieren oder sofort einen Anruf beenden.


Auch mit iOS 5 enthalten war eine neue Funktion namens Find My Friends, die es Benutzern ermöglicht, ihren Standort mit Freunden zu teilen. Dies wurde von vielen Menschen als Sicherheitsproblem betrachtet.


IOS 5 feste 96 Sicherheitslücken, einschließlich CalDAV (CVE-2011-3253),

Kalender (CVE-2011-3254), CFNetwork (CVE-2011-3255), CoreFoundation (CVE-2011-0259) und CoreGraphics (CVE-2011-3256).


Android 5

Android 5 (Lollipop, veröffentlicht am 12. November 2014) wurde als einer der größten Verbesserungen der Plattform bisher angesehen.

Das Ersetzen des Standard-Dalvik-Compilers mit Jit führte zu ernsthaften Leistungssteigerungen.

Allerdings würde sich Lollipop unter einem brillanten Scheinwerfer befinden, der sich auf kritische Sicherheitsbedenken stützt.


In erster Linie war der Accessibility Clickjacking-Angriff, der Fehler in Android-Zugänglichkeit und Draw-over-App-Features ausnutzte.

Mit dieser Anfälligkeit können Angreifer eventuell Geräte entführen.


Die Smart Locking-Funktion ermöglicht es Benutzern, ihr Smartphone mit einem kompatiblen Bluetooth- oder NFC-Gerät zu verbinden,

So dass, wenn das gepaarte Gerät in der Nähe war, würde das Telefon freigeschaltet bleiben.

Viele Leute hielten dies für eine weitere Sicherheitsanfälligkeit.


Lollipop verschoben Gerät Verschlüsselung von einer Option auf die Standardeinstellung, und machte SELinux Enforcing Mode obligatorisch für alle Anwendungen auf dem Gerät.


Darüber hinaus fügte Google die "Kill Switch" -Option hinzu, die es Benutzern ermöglicht, eine Remote-Komplett-Werks-Reset durchzuführen.


IOS 6

Apple hat in iOS 6 (veröffentlicht am 11. Juni 2012) einen neuen Datenschutzbereich hinzugefügt, der Benutzern die Möglichkeit gab, den Zugriff auf Kontakte, Kalender, Erinnerungen, Fotos und Social Media-Konten auf einer pro-App-Basis zu aktivieren oder zu deaktivieren.

Im neuen Privatleben-Fenster enthielt Apple eine Bluetooth-Sharing-Option. Ein weiteres sicherheitsbewusstes Feature war die Fähigkeit, die Anzeigenverfolgung auf einem Gerät zu begrenzen.


IOS 6 hat eine massive 197 Sicherheitslücken, darunter CFNetwork (CVE-2012-3724), zahlreiche Patches zu CoreGraphics, CoreMedia (CVE-2012-3722), DHCP (CVE-2012-3725) und ImageIO (CVE-2011-1167) ).


Android 6

Android 6 (Marshmallow, veröffentlicht am 5. Oktober 2015) war nicht immun gegen die Plattform die zahlreichen Sicherheitsprobleme.

Im August 2016 wurde festgestellt, dass fast 80% der Android-Handys mit Qualcomm-Chips darunter litten, was als Quadrooter-Schwachstellen bezeichnet werden würde (CVE-2016-2503, 2504, 2059, 5340).

Diese Schwachstellen erforderten schädliche Apps, die auf ein Gerät heruntergeladen werden sollten und die Geräte nach dem Tricking von Benutzern zur Eskalation von Berechtigungen für die betreffende App kommandieren können.

Qualcomm hat die Patches über Handset-Hersteller veröffentlicht.


Mit der Veröffentlichung von Android 6 veröffentlichte Google sein erstes Android Security Bulletin, um die Schwachstellen und Patches zu dokumentieren, die der Plattform zugeschrieben wurden.

Google hat das Security Patch Level System eingeführt, das automatisch Sicherheitsupdates auf einem Gerät aktualisiert.

Benutzer können zu Einstellungen gehen Über Telefon und sehen, was Android-Sicherheit Patch-Ebene auf ihrem Gerät war.


IOS 7

IOS 7 (freigegeben am 10. Juni 2013) hatte eine Reihe von Sicherheitsverbesserungen, obwohl es nicht ohne Probleme war.

Eine der größten Schwachstellen auf der iOS-Plattform war bisher das berüchtigte "go to fail" SSL-Problem.

Es wurde vermutet, dass Apple absichtlich die SSL digitale Signaturprüfung umgangen hat, was der US-Regierung eine Hintertür in die Plattform gibt.


Bald nach dieser Entdeckung wurde festgestellt, dass E-Mail-Anhänge nicht verschlüsselt wurden, auch wenn ein Passcode für das Gerät aktiviert wurde.

Das Update für diesen Bug ist nicht raus, bis iOS 7.1.2.


Eine neue Funktion namens Aktivierungssperre wurde hinzugefügt, um mein Telefon zu finden.

Wenn diese Funktion aktiviert ist, müssen die Apple ID-Anmeldeinformationen eines Geräteinhabers eingegeben werden, bevor jemand das Suchen von My Phone deaktivieren, ein Gerät löschen oder ein Gerät wieder aktivieren kann.


Touch-ID wurde eingeführt, um in Verbindung mit dem neu veröffentlichten Fingerabdrucksensor zu arbeiten.

Unglücklicherweise gelang es einer Gruppe, die von Chaos Computer Club geleitet wurde, Touch ID zu einem Tag nach ihrer Veröffentlichung zu umgehen.


IOS 7 behoben 80 Sicherheitsprobleme, einschließlich Certificate Trust Policy, CoreGraphics (CVE-2013-1025), CoreMedia (CVE-2013-1019) und Data Protection (CVE-2013-0957).


Android 7

Android's Sicherheitsprobleme haben begonnen, ein bisschen mit der 7. Iteration der Plattform zu verlaufen (freigegeben am 22. August 2016.

Eine der größten Verbesserungen war, dass eine wachsende Zahl von Benutzern tatsächlich Updates auf ihre Geräte anwendet.

Leider wurde festgestellt, dass weniger als 3% der Android-Handys die neueste Version der Plattform laufen ließen.


Es hat dazu beigetragen, dass Google eine Reihe wichtiger Sicherheitsmerkmale für Android in der 7. Iteration eingeführt hat, darunter:

Direct Boot, der Daten in zwei Gruppen aufteilt: Device Encrypted Storage und Credential Encrypted Storage; Stärkere, dateibasierte Verschlüsselung; Große Verbesserungen auf dem MediaServer,

Das ist das System, das den berüchtigten Stagefright-Angriff ermöglichte; Feste schwache Freigabeberechtigungen zwischen Apps; Immer-auf VPN;

Und ein Arbeitsmodus-Symbol auf Android für Work-Geräte, die es Benutzern ermöglicht, alle arbeitsbezogenen Apps zu deaktivieren, sobald sie sich außerhalb der Uhr befinden.

Die neue nahtlose Update-Funktion ist ein langer Weg, um die Sicherheit zu verbessern, da die Benutzer das aktuellste Plattform-Update herunterladen und es bis zum nächsten Boot abhalten können.


IOS 8

IOS 8 (freigegeben am 2. Juni 2014) kam mit einer interessanten neuen Funktion, die eine zufällig gefälschte MAC-Adresse anstelle der tatsächlichen Hardwareadresse des Geräts verwendet, wenn sie auf einem drahtlosen Netzwerk für nahe gelegene Geräte scannt.

Diese Funktion verhindert, dass Einzelhandelsgeschäfte von einem Kunden verfolgen, wenn sie einkaufen, ohne um die Benutzerberechtigung zu bitten.


IOS 8 hat DuckDuckGo als legitimen Suchanbieter hinzugefügt, so dass Benutzer das Internet zuverlässig durchsuchen können, ohne verfolgt zu werden.


Diese Version behoben 56 Sicherheitsfragen, darunter 802.1X (CVE-2014-4364), Konten (CVE-2014-4423), Zugänglichkeit (CVE-2014-4368) und Kontenrahmen (CVE-2014-4357).


IOS 9

In iOS 9 (veröffentlicht am 8. Juni 2015), fügte Apple eine ziemlich umstrittene Funktion namens Content Blockers (aka Ad Blocker),

Die verwendet werden können, um Webseitenkomponenten wie Cookies, Bilder, Ressourcen und Pop-ups zu verbergen oder zu blockieren.


Der Standard-Passcode zum Entsperren eines Geräts wurde von den voreingestellten vier Zeichen zu einer sichereren sechs Zeichen migriert.

Wenn ein Benutzer mit OS X El Capitan arbeitet, kann sie die Zwei-Faktor-Authentifizierung für ihre Apple ID aktivieren.


Apple hat App Transport Security (ATS) eingeführt, um zu helfen, Entwickler zu ermutigen, sich für HTTPS über Standard HTTP und TLS 1.2 zu entscheiden.


Eine weitere sehr wichtige Sicherheitsfunktion ist Kernel Patch Protection (KPP), eine Low-Level-Funktion, die regelmäßig die Integrität des Betriebssystemkerns überprüft.


IOS 9 feste 105 Sicherheitsprobleme, einschließlich Apple Pay (CVE-2015-5916), AppleKeyStore (CVE-2015-5850), Application Store (CVE-2015-5856) und Audio (CVE-2015-5862).


IOS 10

IOS 10 (freigegeben am 13. Juni 2016) wird von vielen Leuten als das bedeutendste Update betrachtet, um auf die Plattform in Jahren zu kommen.

Eine der wichtigsten Verbesserungen war, die KPP gegen bekannte Exploits zu patchen. Damit ist die Plattform immer schwieriger zu knacken.


Apple hat Änderungen vorgenommen, die die Art und Weise beeinflussen, wie Entwickler mit dem App Store interagieren.

Ab iOS 10 erfordert Apple jetzt alle Apps, die von Zertifikaten signiert werden sollen, die von den eigenen Servern von Apple entfernt werden.

Mit diesem neuen System kann Apple schnell ein Zertifikat bekannter bösartiger Apps widerrufen.


IOS 10 macht für die Benutzer etwas sehr Wichtiges: Wenn sich ein Benutzer in ein drahtloses Netzwerk anmeldet, das kein Passwort benötigt,

Wird ihnen eine Warnung gegeben, dass das betreffende Netzwerk keine Sicherheit bietet und die Daten eines Nutzers dem Netzwerkverkehr aussetzen können.