Il modello di Apple walled garden e il modello di sicurezza iOS sono ottimi per proteggere l'host, ma le applicazioni Web richiedono molto più della sicurezza dell'host.
L'iOS-ification di Mac OS X ha portato l'opzione di consentire solo app firmate e controllate da Appstore e l'uso obbligatorio di sandboxing da marzo 2012 in poi.
Windows 8 sta seguendo lentamente lo stesso modello facendo in modo che la versione tablet (Windows RT) esegua solo il codice da Windows Store per impostazione predefinita. Ma la piattaforma è ancora giovane e fragile .
Sicurezza Apple Appstore:
- Tassa d'iscrizione di $ 99.
- Controlla la tua identità e utilizza l'applicazione del crimine.
- Revisione del contenuto e analisi statica.
- Il codice è firmato e non può essere modificato.
- Il costo per lo sfruttamento è molto alto.
- Molto alcune applicazioni antimalware sfuggono.
Sicurezza iOS di Apple:
- Ci vogliono 6 mesi per scrivere un exploit.
- La verifica dell'app è un rischio per mesi di lavoro su un exploit.
- Gli exploit di iOS sono scritti da pochi gruppi.
- Le patch di Apple sono veloci.
- Viene utilizzata la firma del codice, le pagine di memoria sono firmate in fase di esecuzione e come DEP che protegge dal codice di iniezione.
- La sandbox Seatbelt per iOS è molto buona.
- Charlie Miller ha iniettato un nuovo codice in fase di esecuzione trovando una vulnerabilità ed è stato bannato dall'Appstore, quindi la vulnerabilità è stata riparata in 4 giorni.
- È stato rilevato pochissimo uso di vulnerabilità.
La protezione dell'host non è sufficiente e non puoi fare affidamento su Apple per aiutare l'utente BE sicuro. Un host sicuro spinge gli aggressori ad attaccare i prossimi punti deboli come la comunicazione e l'utente in cui Apple può solo spingere l'utente verso la sicurezza. Esistono altri problemi per il commercio online:
- Password deboli o prive di protezioni dell'account contro il reset e l'intercettazione.
- Consapevolezza della sicurezza per cose come falsi certificati SSL o siti Web di phishing.
- Vulnerabilità nei siti web commerciali che richiedono l'interazione dell'utente, come XSS, CSRF e Clickjacking.