Artikel top billede

DK-CERT: Vil du være fri eller sikker?

Klumme: Du kan være sikker med mobilapplikationer til både iPhone og Android, men systemerne stiller forskellige krav.

Sikkerhed er sikkert ikke det første, du tænker på, når du står med en skinnende ny smartphone i hånden.

Men valget af telefontype får betydning for din sikkerhed på langt sigt.

De to dominerende online butikker med applikationer til mobiltelefoner har hver deres tilgang til sikkerhed.

Apples App Store repræsenterer en model, hvor sikkerheden prioriteres højere end friheden. Googles Android Market går den modsatte vej.

Apple skal godkende alt

Før en applikation sættes til salg i App Store, skal den godkendes af Apple. En godkendelse forudsætter blandt andet, at applikationen ikke udgør en sikkerhedsrisiko for brugeren.

På Android Market kan enhver lægge en applikation op, som brugere kan hente og installere.

Det er op til brugerne selv at godkende, hvilke funktioner og data på telefonen, som applikationen skal have adgang til.

Endvidere bygger Android Market på tanken om samarbejde: Når en bruger opdager en skadelig applikation, kan vedkommende slå alarm, så applikationen bliver fjernet.

App Store-model virker

Hvordan virker de to sikkerhedsmodeller så i praksis? Til dato har vi ikke set egentlig skadelig kode spredt via Apples App Store.

Der har været eksempler på programmer, der udnytter sårbarheder i iPhonens operativsystem, men de kan ikke ses som bevis på en svaghed i App Stores godkendelsesprocedure.

Der har også været sager om svindel, men igen ser det ud til, at fejlen ikke ligger hos App Store.

Omvendt er der set adskillige skadelige programmer til Android Market.

De har også vist, at samarbejdsmodellen fungerer: Når brugerne slår alarm, bliver applikationen fjernet - men først efter, at den kan have nået at ramme nogle brugere.

Der er altså en klar sikkerhedsmæssig fordel ved Apples model.

Alligevel vil jeg ikke anbefale, at alle derfor skal købe en iPhone.

Her er ulemperne ved modellen

Der er nemlig også ulemper ved modellen.

Den begrænser udvalget af applikationer, så måske kan man ikke finde den applikation, man har brug for.

Den begrænsning har Android-modellen ikke. Her er der frit spillerum for udviklerne.

Den frihed betyder så blot, at et ansvar bliver flyttet.
I Apple-modellen tager Apple ansvaret for at holde applikationerne sikre. I Android-modellen er det brugernes ansvar.

Forstå tilladelserne

Som ejer af en Android-baseret smartphone skal man derfor sætte sig ind i, hvad de forskellige former for tilladelser betyder.

En applikation kan fx få lov til at tilgå GPS-funktionen, så den kan vide, hvor brugeren befinder sig.

Den kan få adgang til brugerens private data, SMS-beskeder eller adressebog.

Alle disse ting spørger en applikation om, når den installeres. Det er derfor op til brugeren at afgøre, om den har brug for det. Hvis en applikation markedsføres som en musikafspiller, kan man for eksempel undre sig over, at den vil have lov til at tilgå adressebogen.

Her bør alle alarmklokker ringe i brugerens hoved.
Android-modellen stiller altså større krav til brugerens forståelse for, hvordan operativsystemets sikkerhedsmodel fungerer.

Derfor kan man godt være sikker med en Android-baseret mobiltelefon.

Men det kræver mere teknisk indsigt end Apple-modellen.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet. DK-CERT er en tjeneste fra UNI-C, en styrelse under Undervisningsministeriet.

Shehzad Ahmad opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Brother Nordic A/S
Import og engroshandel med kontormaskiner.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere