La battaglia per la supremazia nel mondo degli smartphone è una lotta fra due contendenti: iOS e Android. Sono loro senz’altro i sistemi più popolari, ma quale dei due è più sicuro?
Sicurezza sui cellulari: un aspetto ignorato
Secondo un’inchiesta di Motorola, solamente il 12% degli utenti mette al primo posto la sicurezza come criterio per la scelta del cellulare da acquistare. La gente preferisce concentrarsi maggiormente su cose come la disponibilità di certe applicazioni e l’usabilità del dispositivo. O magari anche ad aspetti molto più superficiali come il colore delle icone o la fluidità delle animazioni.
Così facendo ci dimentichiamo che il telefono non è solo un’agenda: al suo interno salviamo posta, password, foto: lo smartphone è una scatoletta che contiene ormai tutta la nostra vita. E non solo la vita, ma anche il lavoro: ci colleghiamo alla rete aziendale, leggiamo documenti confidenziali e usiamo programmi per il lavoro.
Ma la cosa peggiore è che usiamo i nostri cellulari senza conoscere nemmeno le opzioni di sicurezza più elementari. Una percentuale che va dal 30 al 60% delle persone non usa sistemi di blocco sul proprio telefono, come il PIN di quattro caratteri o la sequenza di sblocco. Opzioni più complesse e efficaci, come la cifratura dei dati, vengono completamente ignorate.
Con lo scandalo NSA il problema della privacy è tornato di nuovo sotto i riflettori e ha obbligato gli sviluppatori di software a curare meglio l’aspetto della sicurezza nelle loro attualizzazioni. La cosa naturalmente ha coinvolto anche i cellulari e i loro sistemi operativi.
Il duello Android 4.3 contro iOS 7
iOS e Android rappresentano l’anima, per così dire, dei cellulari di gamma alta e contengono una gran quantità di dati personali. In ognuna delle loro attualizzazioni, sia Apple (iOS) che Google (Android) si sforzano di migliorare la sicurezza del sistema attraverso nuove opzioni, patch e miglioramenti del sistema.
A volte le cose non vengono bene, come è successo con iOS 7, quando si riusciva a telefonare senza bisogno di sbloccare il telefono. Sono incidenti che mostrano chiaramente quanto sia complicato occuparsi della sicurezza dei cellulari quando si cerca di coniugare la sicurezza con la rapidità d’uso. Si vuole proteggere i dati, ma non a costo dell’usabilità.
Se dovessimo chiedere direttamente a Google e a Apple, magari ci direbbero che il loro sistema è quello più sicuro. E in effetti è quello che sta succedendo. Secondo le dichiarazioni di Eric Schmidt, CEO di Google, “Android è più sicuro”. Dall’altra parte, Tim Cook, il presidente della Apple, ha sottolineato le conseguenze negative della frammentazione di Android, che obbligano a “tappare i buchi”.
Ma allora, al di là delle opinioni e della pubblicità, quale di queste due piattaforme è più sicura per l’utente? Non ci resta che fare un confronto tra le due ultime versioni di entrambi i sistemi operativi, iOS 7.0.2 e Android 4.3. e vedere quello che succede.
I 5 livelli di sicurezza del cellulare
Abbiamo stabilito 5 livelli graduali di sicurezza che vanno dal più semplice, come il blocco dello schermo, fino a quelli più complessi, come la cifratura o il numero delle vulnerabilità.
Per la maggior parte degli utenti il Livello 1 è l’unico conosciuto e l’unico che interessa, mentre il Livello 5 interessa soltanto agli utenti più avanzati o esigenti. Ci sono aspetti dei livelli 2 e 4 che potrebbero interessare tutti gli utenti e che generalmente non richiedono attenzione o funzionano in automatico.
Livello 1: Sistemi di blocco e di identificazione
Il livello di sicurezza minimo per ogni cellulare, dal punto di vista dell’utente finale, ha a che fare con l’acceso al telefono o al tablet. Senza questo livello, un cellulare sta alla mercè di qualsiasi persona malintenzionata.
Android 4.3 dispone di cinque sistemi di blocco dello schermo: scorrimento, sblocco facciale, segno/sequenza, PIN e password. Si configurano dal menù Sicurezza > Blocco. Da parte sua iOS dispone di solo due metodi: scorrimento e codice PIN.
Lo scorrimento non offre nessuna sicurezza, e sta lì solo per evitare i tocchi accidentali dello schermo. Il PIN è un codice numerico che se è costituito dai 4 caratteri minimi richiesti, può essere indovinato in meno di 24 ore. Mentre però su iOS gli errori fanno aumentare il tempo di attesa tra i vari tentativi falliti, su Android questo non succede. Anzi, per essere più precisi, su iOS c’è un’opzione aggiuntiva che consente di cancellare tutti i dati presenti sul cellulare dopo dieci tentativi falliti.
Degli altri sistemi di blocco offerti da Android, quello del riconoscimento facciale è quello che lo stesso Google considera il meno sicuro poiché può essere facilmente ingannato con l’ausilio di una foto. Il sistema con il segno (tracciare una linea che unisce più punti) è facile da ricordare e abbastanza efficace, però tutto dipende dalla complessità del segno tracciato, e le impronte delle dita lasciate sullo schermo non aiutano di certo perché potrebbero tradirci.
Il sistema più sicuro è quello delle password alfanumeriche, ma è anche il più scomodo di tutti e che richiede più tempo per essere ben configurato (ricordiamo che alla gente non piace ricordare password complicate). Dall’altra sponda, quella di iOS 7, Apple offre, ma solo nei nuovi dispositivi, il Touch-ID, un sistema di riconoscimento delle impronte digitali molto facile da usare e più efficace di quasi tutte le alternative.
Comodità contro sicurezza
Qual è il più sicuro? Per la quantità di opzioni offerte di sicuro Android, ma se teniamo in conto la comodità dei sistemi di identificazione e il nuovo sistema Touch-ID della Apple, la cosa cambia. Comodità contro sicurezza è il tema più caldo nel campo della sicurezza per i cellulari. Forse questo grafico che abbiamo realizzato ti aiuterà a capire meglio:
Le valutazioni della sicurezza e della comodità sono soggettive. Gli asterischi indicano che la sicurezza dipende dalla complessità della password o del segno. In verde quelli che hanno entrambi
I due sistemi di blocco più sicuri e al contempo più facili da usare sono i segni (Android) e le impronte (iOS). I PIN offrono una sicurezza di basso livello se sono di 4 caratteri, che è la normalità, mentre le password possono risultare molto sicure, ma la loro comodità e praticità diminuisce proporzionalmente all’aumento della loro complessità. La battaglia quindi è fra i segni di Android e il Touch ID di iOS.
Il Touch ID di Apple in azione (foto gentilmente concessa da iPhoneWorld)
Android offre più possibilità di blocco, è ampliabile mediante app di terze parti e il segno da tracciare è un sistema abbastanza facile da usare, però più vulnerabile e un po’ meno comodo delle impronte digitali lette da iOS 7 con il Touch ID.
Vince iOS 7 per il suo equilibrio tra comodità e sicurezza (grazie al Touch-ID); il sistema di rilevamento facciale non ci è sembrato il migliore per semplicità e comodità.
Livello 2: la sicurezza delle applicazioni
Una volta analizzato l’acceso al dispositivo, ora è il turno delle applicazioni, e cioè di come trovarle, come installarle e come si avviano. Gli utenti installano decine di app sui loro dispositivi, ma di solito non danno importanza alla sicurezza. D’altra parte cosa fanno Android e iOS per garantire che le applicazioni che installiamo non abbiano cattive intenzioni e non danneggino il nostro dispositivo?
Innanzitutto sia Android che iOS hanno un’impostazione simile, nel senso che entrambi si appoggiano ai rispettivi store online per far scaricare le loro applicazioni. Prima di essere caricate sugli store, esse vengono testate in maniera sia automatica che manuale per garantire la sicurezza di queste migliaia di applicazioni che vengono messe a disposizione dell’utente. E’ un sistema efficace perché entrambi isolano i processi in esecuzione in una sandbox per evitare che un’applicazione possa prendere il controllo di tutto il sistema.
Modello aperto contro modello chiuso
La sicurezza di entrambi gli ecosistemi o store è molto alta, anche se ci sono stati casi di applicazioni malevole che sono riuscite a infiltrarsi. Infatti, per esempio, i ricercatori della Georgia Tech sono riusciti a introdurre l’applicazione Jekyll nello Store di iOS. Ma anche su Android può infiltrarsi un malware. E così è successo in varie occasioni, con app false che sono rimaste sullo store per molto tempo prima di essere ritirate da Google.
App false su Google Play, una cosa molto comune (fonte)
In entrambi i casi parliamo comunque di situazioni eccezionali. Ma mentre per Android parliamo di un 6% di malware su Google Play, su iTunes Store queste cifre sono praticamente prossime allo zero (in parte, perché Apple non fornisce dati al riguardo). Android, che conta con un 70% del mercato, è diventato l’obiettivo preferito degli hacker: il 92% dei malware per cellulari girano su Android. Questo fa di Android il sistema meno sicuro?
Presupponendo un uso normale di Android e che le applicazioni siano state scaricate esclusivamente dal Play Store o da Amazon, il rischio di scaricare malware è basso quanto quello di iOS. Ma mentre iOS obbliga a rifornirsi di applicazioni dal proprio negozio, Android fin dal principio ha adottato un atteggiamento molto più liberale, lasciando aperta la possibilità di installare non solo applicazioni fuori del suo store, ma di installare anche altri negozi.È questa la porta principale attraverso cui passano i malware.
Android permette di istallare applicazioni anche da fonti sconosciute
Essendo un sistema più aperto, Android favorisce l’istallazione di app di terze parti. La cosa può risultare pericolosa, ma consente anche una flessibilità enorme che gli utenti di iOS si possono solo sognare o tentare di emulare affidandosi al jailbreak dei loro dispositivi. Questa libertà ha senza dubbio un prezzo, ed è la presenza di app malevole mascherate da app innocue. Questi malware hanno così spianato la strada a una fiorente industria di antivirus per Android.
Gestione dei permessi delle applicazioni
Una maniera di controllare quello che fanno le applicazioni sul nostro cellulare, è di passare attraverso un sistema di permessi che ci informi di quali dati e parti del dispositivo ha bisogno una certa applicazione per poter funzionare. Sia Android che iOS dispongono di un sistema di permessi, ma differiscono molto nella maniera in cui forniscono le informazioni all’utente.
iOS chiede l’autorizzazione all’utente solamente in maniera puntuale, quando cioè è necessario consentire l’accesso a una determinata risorsa per far funzionare una certa applicazione. L’utente quindi può accettare o rifiutare di concedere i permessi con l’app già installata e in funzione. Su Android, che invece fornisce fin dal principio e con molti dettagli tutte le informazioni necessarie sui permessi richiesti da una app, la decisione diventa del tipo “o tutto o niente”: se l’utente non accetta le condizioni l’applicazione non può essere istallata.
Su Android 4.3 hanno introdotto un controllo puntuale dei permessi, che però è nascosto; per attivarlo devi usare applicazioni, come ad esempio App Ops Starter, che lo rendono visibile.
Vince iOS per il suo controllo più rigido delle app, per il quale però rinuncia alla libertà di istallare applicazioni non testate.
Livello 3: protezione della privacy
I due primi livelli offrono una sicurezza generale di base importante, pero cosa succede a livello più personale, a livello della privacy? Ci riferiamo cioè alla maniera in cui vengono mostrati i dati sulla schermata di sblocco o dell’invio di dati anonimi o meno a scopo pubblicitario. Sono aspetti che possono disturbare più di un utente.
Notifiche nella schermata di blocco
Per ora, leggere le notifiche direttamente dalla schermata di blocco non è possibile su Android; per poterlo fare devi installare applicazioni di terze parti. Questo può risultare scomodo dato che bisogna sbloccare lo schermo ogni volta che uno vuole vedere cosa è successo, anche se certamente Android è compatibile con le notifiche luminose attraverso il LED (sui cellulari che lo permettono).
iOS, da parte sua, mostra le notifiche direttamente nella schermata di blocco e lo fa di default. E’ possibile quindi leggere i messaggi di posta o WhatsApp senza sbloccare il dispositivo. Le notifiche di questo tipo si possono disattivare dal Centro notifiche che dispone di opzioni personalizzate per ciascuna applicazione che faccia uso delle notifiche.
Annunci personalizzati
Sia iOS che Android possono inviare dati per personalizzare gli annunci. Per alcune persone questa caratteristica, lontana dall’esser utile, rappresenta un’inaccettabile intrusione nella sfera personale. E’ come avere un coockie unico per tutto il cellulare.
In Android questo aspetto si può impostare solamente dalle impostazioni di Google > Annunci. Su iOS invece, dal menù di di configurazione Privacy > Annunci e dal menù Servizi di Sistema; devi navigare parecchio però per disattivare tutto.
Privacy durante la navigazione
Gran parte del tempo che passiamo sul nostro dispositivo lo passiamo sul browser web. I browser nativi di iOS e Android 4.3, cioè Safari e Chrome, dispongono di parecchie opzioni per la privacy. Safari, il browser di default di iOS 7, dispone della funzionalità Do-Not-Track per disabilitare i cookie traccianti, potenzialmente pericolosi, e del blocco selettivo dei cookie. Chrome, il browser di Android, ha un intero menú dedicato alla privacy, con Do-Not-Track e opzioni per disattivare le notifiche di errore, i suggerimenti e le previsioni delle azioni di rete.
Vince Android per il maggior controllo che offre delle opzioni di privacy del suo browser e per la scelta, a mio giudizio indovinata, di non mostrare le notifiche nella schermata di blocco, anche se molti utenti di Android vorrebbero volentieri a disposizione questa opzione.
Livello 4: sicurezza remota del dispositivo
Il tuo cellulare è sicuro e ben configurato, ma un giorno te lo perdi o te lo rubano. Che cosa fai? Sicuramente vorrai ritrovarlo, individuarlo su una cartina o per lo meno ordinargli di cancellare in automatico tutti i dati se lo ritieni ormai perso.
Con la funzione “Find my iPhone”, iOS è stata la pioniera della localizzazione. Entrando in iCloud, l’utente può localizzare i propri dispositivi e vedere il loro stato (connesso o non connesso), riprodurre un suono e attivare la modalità smarrito, che fa apparire un messaggio sullo schermo. In casi estremi si può attivare la cancellazione dei dati da remoto.
L’interfaccia web di Find my iPhone (immmagine per gentile concessione di Applediario)
Android ha introdotto qualcosa di simile con il suo Amministratore di dispositivi. E’ compatibile con un’ampia gamma di dispositivi Android e consente di localizzare il dispositivo su Google Maps, riprodurre un suono, bloccarlo o cancellare i dati da remoto. Non ha però l’opzione di personalizzare il messaggio da inviare in remoto.
Vince iOS per la quantità di opzioni e dei dati forniti attraverso Find my iPhone. L’Amministratore di dispositivi di Android è più limitato.
Livello 5: sicurezza avanzata del sistema
In quest’ultimo livello parliamo degli aspetti più avanzati relativi alla sicurezza di Android e iOS, come la cifratura dei file o la facilità nell’ottenere i permessi di root, o da superuser, del sistema. Se sei un utente poco esperto, questo punto ti interesserà poco.
Cifratura dei dati dell’utente
Attraverso la cifratura è possibile proteggere la confidenzialità dei dati. Puoi evitare per esempio che un ladro acceda ai tuoi dati bancari salvati sul telefono.
Su iOS la cifratura è attivata di default e realizzata a livello hardware per ridurre al minimo l’impatto sulle performance del cellulare. Si tratta di una cifratura AES a 256 bit molto sicura per la maggior parte delle situazioni. 
Su Android la cifratura è a scelta dell’utente. Come dicevamo più in alto, la varietà dei dispositivi Android ha consentito la cifratura dei dati solo a livello software, limitando così di fatto le performance del dispositivo.
Permessi da superuser (root e jailbreak)
In qualsiasi sistema operativo, i permessi da superuser sono essenziali per avere un controllo completo del sistema. Sui cellulari ci permettono di istallare applicazioni non ufficiali, disinstallare applicazioni di fabbrica o personalizzare il sistema. Android ha scelto di essere totalmente trasparente in questo senso. I suoi dispositivi possono essere rootati senza grandi problemi, anche se non è necessario per istallare applicazioni che stanno fuori del Google Play. Il rischio nel fare il root è minimo, e si stratta di un’operazione legale e accettata da molti fabbricanti.
Su iOS ottenere i permessi di superuser rientra nel processo di jailbreaking, un’operazione per ottenere quella libertà di personalizzazione che manca su iOS per scelta propria della Apple dovuta alla loro filosofia di design. E’ legale in molti paesi, però espone iOS a un gran numero di pericoli e instabilità.
Vulnerabilità e attualizzazioni
Le vulnerabilità sono errori del software che possono essere sfruttati da malware o attaccanti per prendere il controllo del sistema, per danneggiarlo o ottenere informazioni sensibili. Secondo i dati di CVEDetails, il numero delle vulnerabilità di iOS è molto più alto di quello di Android (senza contare le vulnerabilità dei browser). Possiamo vederlo in questo grafico:
Numero delle vulnerabilità scoperte su Android e iOS divise per anno (fonte: CVEDetails)
Il dato però non è molto indicativo: nonostante il gran numero di vulnerabilità di iOS, la quantità di applicazioni che possono sfruttarle è minimo dovuto al ferreo controllo che Apple esercita sul mercato delle applicazioni (controllo che viene meno con il jailbreak, e che spiega il nervosismo di Apple verso questa pratica). Quindi non è che iOS sia meno sicuro, è che non ha l’urgenza di correggere queste vulnerabilità. Cosa che invece ha Android. Quando parliamo di vulnerabilità non dobbiamo dimenticare le patch che vengono realizzate per eliminarle. Mentre Apple può correggere le vulnerabilità in maniera immediata attraverso una nuova attualizzazione che arriverà, volenti o nolenti, sui dispositivi, su Android questo non è possibile eccetto che per la gamma Nexus: gli altri fabbricanti rilasciano le nuove versioni quando sembra loro più opportuno. Fortunatamente Android sta già risolvendo molti di questi problemi superando la barriera dei fabbricanti con attualizzazioni attraverso il Google Play.
Vince iOS grazie al maggior controllo che esercita sui dispositivi e che consente di inviare velocemente le attualizzazioni a tutti gli utenti e di cifrare i dati senza alcuno sforzo.
Verdetto: vince iOS, però con limitazioni nella libertà
In generale, sia Android che iOS sono sistemi operativi eccezionalmente sicuri. Entrambi puntano su misure di sicurezza attivate di default per non far pesare sugli utenti e sugli sviluppatori delle decisioni difficili da prendere. In ogni caso esistono delle differenze su alcuni punti, soprattutto nel controllo delle funzioni.
Apple dichiara nella sua guida iOS Security che iOS offre un sistema di sicurezza trasparente per l’utente; è vero però che alcune caratteristiche, come la cifratura dei dati, non può essere configurata. E’ una strategia a prova di errori compatibile con i principi generali della loro strategia: semplicità per l’utente e ottimizzazione del hardware.
Android, da parte sua, offre all’utente maggiori possibilità di controllo, e non solo per questioni ideologiche, ma anche per la frammentazione esistente tra i dispositivi. Attivare la cifratura, per esempio, comporta un impatto negativo sul rendimento del cellulare in quanto viene fatto a livello software. Apple fa tutto il contrario, cifra i dati a livello hardware.
iOS risulta essere il sistema più sicuro per qualsiasi tipo di utente perché in nome della sicurezza rinuncia ad alcune libertà che l’utente finale potrebbe invece apprezzare molto come la possibilità di spostare facilmente i dati o di installare applicazioni che non sono ufficiali. Con iOS rinunci ad una maggiore libertà in cambio di dover pensare meno alla sicurezza; con Android sei invece obbligato a pensarci e a valutare con attenzione quello che stai facendo.
Secondo te quale sistema è più sicuro, Android o iOS?
Nota: l’autore di questo articolo possiede un Nexus 4 e un iPad 3
[Adattamento di un articolo originale di Fabrizio Ferri-Benedetti su Softonic ES ]
