iOS richiede che venga firmato tutto il codice prima che possa essere eseguito. Questo complica molte cose quando vuoi installare malware persistente su iOS, dato che non devi solo mettere i file nel posto giusto, devi anche aggiustare il kernel in modo che al successivo riavvio non applichi più la firma del codice in modo che possa eseguire il tuo malware.
Ecco un esempio di un simile attacco. Gli hacker avevano un exploit per Safari che permetteva loro di eseguire codice, ma avevano anche bisogno di altri exploit per poter applicare patch al kernel per disabilitare l'applicazione della firma del codice, in modo efficace "jailbreaking" del dispositivo. Senza questi due exploit aggiuntivi il loro malware non sarebbe in grado di persistere.
Android d'altra parte ti consente di scegliere se consentire le app dal Play Store o da fonti non attendibili, tuttavia non sono sicuro che questo controllo venga eseguito solo all'installazione o in fase di esecuzione. A meno che non sia il secondo, il dispositivo è ancora vulnerabile agli exploit che impiantano binari dannosi (senza coinvolgere l'installer) poiché la firma non verrà controllata su quelli.
L'altro problema con Android è che la barra di qualità sul Play Store è molto più bassa della sua controparte iOS. Ci sono stati casi in cui il malware reale è stato pubblicato su Play Store.
Le app iOS vengono eseguite in una sandbox molto più ristretta rispetto ad Android. Questo può essere positivo o negativo in quanto impedisce alle app di fare cose che possono essere utili in alcuni casi, ma d'altra parte previene alcuni attacchi da parte di app dannose. Ad esempio, in iOS, quando premi il tasto home puoi essere sicuro di tornare alla schermata iniziale attendibile del sistema operativo. Su Android nulla impedisce alla precedente app di disegnare su quella schermata o addirittura di simularla completamente, facendoti pensare che stai aprendo un'altra app di cui ti fidi (gestore password?) Mentre in realtà sei ancora nell'app dannosa che sta semplicemente imitando la schermata iniziale e gestione password nel tentativo di acquisire la tua password principale.
Infine, anche se questo non si applica alla tua domanda in quanto hai già scelto un dispositivo fidato, nel mondo iOS è molto più facile acquistare un dispositivo pulito in grado di ricevere aggiornamenti. Puoi acquistarlo da Apple, da un corriere o persino da un'ombreggiata officina telefonica, purché il dispositivo non sia contraffatto riceverà gli ultimi aggiornamenti e il firmware in esecuzione non è stato manomesso. Con Android invece si potrebbe avere lo stesso dispositivo hardware, ma a seconda di dove lo si acquista eseguirà un firmware diverso (a volte con spyware incorporato dal gestore) e avrà programmi di aggiornamento diversi. Non c'è nemmeno un modo semplice per distinguerli (alcuni firmware di carrier sembrano proprio come quelli di serie, oltre al fatto che non si riceveranno mai aggiornamenti e probabilmente ci sono spyware nascosti lì dentro).