前言
“一年前,我們難以破解 iPhone 手機,但可以破解幾乎所有 Android 手機。現在,我們對大多數 Android 手機都無能無力。”
來自一名為德克薩斯州沃斯堡警察局做數字取證檢查的偵探
美國政府對蘋果施壓,要求他們解鎖嫌疑犯的 iPhone 但被拒絕,這樣的新聞相信大家都看過。長久以來人們普遍認為 iPhone 的安全性遠高於 Android,這也是很多人選擇 iPhone 的主要原因。
不過現在這個常識可能要被顛覆了。
安卓和iPhone誰更安全?
最近很多方面的訊息都表明,至少有兩家公司在向 FBI 等機構出售手機破解工具,這些工具可以突破一些市場上最先進的旗艦機的安全防護。
其中一家工具提供方是來自以色列的 Cellebrite。最近 NIST(美國國家標準技術研究院)對 Cellebrite 的測試表明,儘管仍然存在許多盲點,但還是能夠從 iPhone X 和大多數以前的 iPhone 機型中提取
訊息,GPS 資料,通話記錄,聯絡人甚至Facebook、Twitter 等社交媒體的隱私資訊。
但是該工具在比較新的 Android 旗艦上卻有點水土不服。
結果顯示工具無法從 Google Pixel 2 和 Samsung Galaxy S9 等裝置中提取任何社交媒體檔案、瀏覽器記錄和 GPS 資料,也無法從 Ellipsis 8 和 Galaxy Tab S2 平板電腦中提取訊息和通話記錄。
並且作用在華為 P20 Pro 時則完全沒有任何效果。
而 Cellebrite 的競爭對手 Grayshift 看到訊息後,馬上跳出來說他們的工具(售價 15,000 至 30,000 美元一份)可以破解任何 iPhone,並且一旦破解可以隨意提取任何資料。後來 NIST 也證實了這一點。
這哥倆在比賽誰欺負蘋果更厲害?
當然大家都知道美國政府是什麼樣的,他們說的話通常只能聽個響,萬一這是放出的煙霧彈,想騙人們換 Android 手機好讓他們破解呢?
所以真正實錘還得從其他地方找證據,小編決定看看真實的市場反應。
Zerodium 是一個專門購買和銷售「零日漏洞」的平臺。
Zerodium 上的漏洞都是公開叫賣,因此零日漏洞市場也遵循供需關係,特定產品的漏洞供應增加,意味著該產品的安全級別正在下降,因此找到該產品漏洞的門檻降低,銷售的可用漏洞增多,市場價格就下降了。
從歷史記錄來看,以往 iOS 漏洞稀缺,所以價值更高。例如在 2019 年 1 月,Zerodium 出價 200萬 美元求購可能用於 iOS 越獄且單擊次數為零(無法識別使用者互動)的漏洞。同時期的 Android 漏洞最高只賣50 萬美元。
但是在同年 9 月,Zerodium 意外宣佈將 Android 零日漏洞的賞金提升到最高 250 萬美元。
這是 Android 漏洞的價值第一次超過 iOS。並且 Zerodium 還降低了某些 iOS 漏洞的價格
在過去幾個月我們來自世界各地的安全研究人員發來的 iOS 漏洞,其中大多是 Safari 和 iMessage 的。零日漏洞市場被越來越多的 iOS 擠滿,我們不得不拒購部分 iOS 漏洞。
而多虧了 Google 和三星的安全團隊,Android 每個新發行版的安全性都在提高,因此開發針對 Android 的完整零日漏洞變得非常困難和耗時。
Zerodium 創始人貝克拉爾(Bekrar)
當然也可能是因為駭客們都去淘 iOS 的金了。但短短 8 個月時間價格提升 5 倍,小編認為這足夠說明
Android 系統確實比以往更加安全,漏洞越來越難被發現。
儘管現在的 Andorid 已經比 iPhone 更安全,但大家要需要注意到,
這裡說的安卓是近兩年釋出的旗艦機。
老機型和價效比機型的表現依然很差。
調查顯示只有不到 10% 的 Android 手機更新到最新版本的系統(大多是因為廠商停止升級支援)。換句話說,幾乎所有 Android 使用者都在使用過時的系統,並且幾乎可以肯定這些老舊的系統上存在已被發現的安全漏洞。
而現在的 iPhone 不如 Android 安全的原因,可能是因為像 Cellebrite 這樣的公司更專注於破解 iPhone 手機,因為這是高階犯罪分子比較多的選擇(沒有冒犯的意思)。
相反,每年都會有數百種 Android 新機發售,他們採用不同的安全晶片和加密方案,這使得駭客無法集中破解 Android 手機。
結語
對我們小老百姓來說,與其擔心大洋彼岸的 FBI 破解我們手機裡被 FBI 警告過的影片。不如關心那些個把我們底褲都扒光的流氓應用。iOS 花園的圍牆讓應用們老老實實,而 Android 各大應用商場上還充斥著大量流氓軟體甚至惡意軟體。
WIKI: FBI–Apple encryption dispute
VICE: Government Report Reveals ItsFavorite Way to Hack iPhones, Without Backdoors
WIRED: Why ‘Zero Day’ Android Hacking NowCosts More Than iOS Attacks
Ars Technica: Zeroday exploit prices arehigher than ever, especially for iOS and messaging apps
部分內容參考和圖片來源