Gli smartphone sono meno sicuri dei computer "normali" per i dati personali?

Dovrò sfidare con veemenza il commento che "il tuo telefono cellulare è più sicuro contro il malware". Questa è una dichiarazione pericolosa e molto errata dello stato della "sicurezza" del telefono cellulare - e se si basa su qualcosa, si basa sull'interpretazione inappropriata delle statistiche attualmente distorte.

Come appassionato di sicurezza e sviluppatore di piattaforme di telefonia mobile posso dire che i telefoni cellulari non sono più, e probabilmente meno sicuri di altri sistemi, punto.

La ragione per cui le statistiche dei telefoni cellulari potrebbero essere attualmente basse, è più di un problema di "opportunità": a differenza dei computer che possono essere trovati sulle reti, le reti su cui risiedono i telefoni cellulari sono più, ben mobili - quindi ambigue a di destinazione.

Detto questo, c'è una lunga storia che sta costruendo exploit che vengono visti e in crescita attraverso gli attuali single point of failure sia in IOS che in Android - gli appStores, così come gli attacchi basati su browser che stanno crescendo.

I nuovi punti di iniezione di exploit stanno crescendo con le app di aggregazione e crowdsourcing che sono la tendenza su entrambi i generi di dispositivi (lavoro per un'azienda che fornisce esattamente questo tipo di app).

Non pensare che il tuo dispositivo mobile sia sicuro. Non lo è.

Il tuo telefono cellulare è più sicuro contro il malware. Esistono molti dati che indicano che se si seguono le pratiche di sicurezza di base (solo scaricare app da un app store ufficiale, non caricare app di altre origini tenere il telefono aggiornato, conservare i backup), quindi i telefoni sono più sicuri contro il malware di PC desktop. Le app dannose sui mercati ufficiali sono rare; è relativamente raro che le persone infettano il proprio telefono a causa di un'app malevola che esce da un mercato ufficiale, mentre è normale che le persone si infettino il PC desktop a causa del malware.

Il più grande rischio con il telefono è che è più facilmente perso o rubato. Pertanto, se si dispone di dati sensibili, è possibile abilitare un codice di sblocco PIN e abilitare la funzionalità "traccia il mio telefono" e "pulisci il mio telefono" in modo da poterlo utilizzare in caso di smarrimento del telefono.

In secondo luogo, molte app telefoniche fanno molto affidamento sul "cloud" e caricano i dati nel cloud. Se non vuoi che ciò accada, potrebbe essere necessario fare un po 'più attenzione.

Anche secondariamente, una grande sfida per i telefoni Android è che non sempre ricevono aggiornamenti di sicurezza in modo tempestivo - e dopo un certo periodo di tempo, gli aggiornamenti di sicurezza non sono più disponibili. Questo è frustrante e un fattore di rischio definito, in particolare se stai utilizzando un telefono vecchio o se prevedi di mantenere il telefono per diversi anni.

Direi che ci sono dei compromessi. I sistemi operativi mobili applicano policy di sicurezza più rigide rispetto ai PC, ad esempio monitorando attivamente il mercato delle app controllate per malware, dando alle app specifiche autorizzazioni per accedere a determinate informazioni sul telefono, mancanza di file system tradizionale, sandboxing, ecc. il telefono è comunque root / jailbroken.

Il fatto che ti venga richiesto di concedere autorizzazioni per le app potrebbe tuttavia dare un falso senso di sicurezza, poiché spesso ti viene chiesto di dare accesso alle app a cose che sembrano non correlate, il che significa che finisci per accettare tutto senza domande. Per quanto riguarda la privacy, spesso sei anche incoraggiato (se non richiesto) a condividere la tua posizione, il registro delle chiamate, i messaggi, le email, ecc.

C'è anche il rischio di perdere il telefono o di averlo rubato. Un rischio che probabilmente sarà molto più grande che avere il PC rubato da casa. Sì, puoi installare app, localizzatori, ecc., Ma non sono infallibili. Preferirei perdere un laptop crittografato rispetto a uno smartphone non crittografato con funzionalità di cancellazione.

No, non lo sono. Pensieri iniziali:

Motivo 1: La maggior parte dei telefoni intelligenti sono protetti con un pin a 4 cifre. Anche le semplici password di Windows / Linux / Mac sono generalmente migliori.

Motivo 2: Gli smartphone spesso vanno online attraverso i router pubblici senza password. Ciò significa che i dati "in onda" tra il telefono e il router possono essere annusati.

Motivo 3: Gli aggiornamenti di sicurezza arrivano molto più lentamente di un normale computer. Questo è particolarmente il caso per i telefoni Android. Sia il produttore del telefono che il tuo fornitore di servizi di telecomunicazione hanno spesso "ottimizzato" il sistema operativo con le proprie estensioni, e devi fare affidamento sul fatto che quelle estensioni siano sicure e che trasmettano aggiornamenti abbastanza velocemente (non lo fanno).

Motivo 4: Il tuo smartphone ha una superficie di attacco molto più ampia perché non comunica solo via Wi-Fi, ma ha anche tecnologia NFT e Bluetooth ed è persino un telefono; -)

I have no idea how apps store the data I punch in, or how to tell whether they use secure/encrypted transmission techniques.

Non puoi. Molte app non hanno, o rivendicano, ma sono state trovate che utilizzano i protocolli in modo non sicuro (non controllando i certificati).

Inoltre non menzioni il tuo browser web mobile. Ci sono stati articoli che suggeriscono che non sono così efficaci nel mettere in evidenza se il sito è sicuro o meno. La dimensione dello schermo è una ovvia limitazione qui.

Le app delle banche del Regno Unito tenteranno generalmente di utilizzare la crittografia sicura. Ci sono stati errori relativi alla non crittografia (che sono stati segnalati come corretti). OTOH il governo del Regno Unito cerca di regolamentare le banche, e tu hai determinati resort se diventi vittima di una frode senza colpa tua.

Allo stesso modo, Amazon è in grado di fare cose sul loro sito web del Regno Unito come consentire l'acquisto con un solo clic senza inserire il solito codice CSC, perché il rivenditore sopporta sempre il rischio di frodi e ha fatto quel compromesso per una maggiore i saldi. Se segnali una frode su una carta di credito, la regola del Regno Unito generale è che le tue perdite saranno corrette. (Anche se le cose cambiano nel tempo, le persone cercano di divincolarsi, e potrebbero esserci alcuni casi speciali a cui prestare attenzione. Cerca di trovare una citazione affidabile per questo, che indichi i limiti).

La regola generale del Regno Unito per i pagamenti online è probabilmente quella di utilizzare una carta di credito (non una carta di debito) e controllare le tue dichiarazioni non appena arrivano per pagamenti imprevisti.

Potresti notare una certa qualifica che viene ripetuta in questa risposta da un residente nel Regno Unito. Sospetto che le leggi dell'UE sembrino abbastanza simili, ma non sono sicuro di quale sia lo scenario generale degli Stati Uniti:).

Questo tipo di protezione è meno utile per le informazioni private. Non puoi rendere la divulgazione di una condizione medica allo stesso modo. E sarebbe più difficile scoprire, provare, contestare e / o fare causa, anche se sei nell'UE.

La massima sicurezza di qualsiasi sistema dipende dalla mentalità, dalla conoscenza e dall'intelligenza dell'utente. La seconda considerazione dopo questa sarebbe la piattaforma di telefonia mobile di cui stiamo discutendo. I dispositivi basati su iOS sono generalmente meno suscettibili al compromesso a causa di un archivio centralizzato sicuro e del minor numero di virus noti nel loro genere. Ma ciò non significa che siano più sicuri.

Ad esempio, un androide aggiornato di Android, che esegue selinux con un firewall, una password corretta senza Bluetooth, tunneling di tutto il traffico attraverso una VPN e pacchetti di applicazioni minimalisti (e anche da una fonte attendibile) può essere a mio parere molto più sicurezza di un normale PC con Windows 7.

Davvero una bella domanda, ma i vettori di attacco qui sono stati lasciati troppo ambigui.

Per i principianti, il codice pin numerico a quattro cifre convenzionale è chiaramente un -1 per la sicurezza mobile contro gli hard-hacks rispetto alla sicurezza desktop. Quindi, ancora una volta utility come konboot dimostrano quanto sia facile interrompere la sicurezza di Windows se si ha un accesso difficile.

Gli anti-virus convenzionali usano s / w il rilevamento dei modelli tra altri metodi per determinare in modo esaustivo se un file è malevolo o meno. Questo approccio non si adatta bene ai dispositivi mobili a causa del più leggero h / w installato su di essi e ancora più importante della durata limitata della batteria.

Quello che sto cercando di implicare qui è che non è logicamente possibile confrontare la sicurezza degli smartphone direttamente con quella dei computer desktop a causa delle differenze di piattaforma, utilizzo, pubblico degli utenti, hardware e oltre.

Riferimento: alcuni studi di base che ho fatto per il mio blog. link