Trong bản báo cáo “Một góc nhìn về bảo mật di động” dài 23 trang của mình, Symantec đánh giá cách thức 2 hệ điều hành phổ biến này chống lại tấn công từ môi trường web và tấn công từ hệ thống, tấn công từ các hiểm họa xã hội, tấn công khi tham gia giao tiếp với các thiết bị khác và các phần mềm độc hại. Mặc dù cả Apple và Google đều rất chú trọng đến vấn đề bảo mật khi thiết kế và xây dựng hệ điều hành của mình, song việc đứng vững trước các nguy cơ tấn công ngày càng nhiều và tinh vi hơn trong môi trường ngày nay là rất khó.
Theo nghiên cứu của Symantec, người dùng của cả hai hệ điều hành này thường xuyên đồng bộ điện thoại thông minh và máy tính bảng của mình với các dịch vụ điện toán đám mây cũng như với máy tính tại gia. Hành vi này là mối nguy tiềm tàng cho việc làm lộ các thông tin doanh nghiệp ngoài ý muốn mà doanh nghiệp khó có thể kiểm soát.
Symantec cũng nói rằng, cơ chế xác thực ứng dụng chặt chẽ của Apple bảo vệ người dùng tương đối tốt trong việc chống lại các phần mềm độc hại truyền thống. Ngược lại, cơ chế thoáng trong việc cấp phép của Google làm cho số lượng các ứng dụng tiềm ẩn phần mềm độc hại xuất hiện nhiều. Đầu tháng 6/2011, Google đã phải gỡ bỏ các phần mềm dạng này khỏi Android Market.
Hệ điều hành Android dễ tiếp cận hơn.
Ben Wood, giám đốc nghiên cứu của CCS Insight nói cách tiếp cận cởi mở hơn của Google là một trong những lý do thành công trong việc phổ biến hệ điều hành này và giúp số lượng ứng dụng tăng chóng mặt nhưng sẽ khó kiểm soát. Tuy rằng chưa có ứng dụng nào gây ảnh hưởng nghiêm trọng đến người dùng, nhưng nếu vài lần bị “dính” bẫy phần mềm độc hại, thái độ của người sử dụng sẽ thay đổi rất nhanh.
Như các các chuyên gia bảo mật đã chỉ ra trước đây, nhược điểm của Android là phụ thuộc vào “hiểu biết về bảo mật” của người sử dụng trong khi phần lớn họ không có kiến thức trong lĩnh vực này. Còn nền tảng iOS của Apple, theo Symantec, chỉ đơn giản là từ chối truy cập trong mọi trường hợp đối với các tác vụ và thiết bị tiềm ẩn rủi ro. Với hệ điều hành Android, các ứng dụng độc hại chỉ cần núp dưới việc đưa ra các yêu cầu cho phép thiết lập những phần cài đặt cơ bản của chương trình là hầu hết được đều được người dùng chấp thuận. Thêm vào đó, Goolge lại yêu cầu các nhà phát triển phải trả phí và đăng ký với công ty để có thể phân phối ứng dụng của mình qua “chợ” phần mềm Android Marketplace chứ không theo cơ chế ăn chia doanh thu như của App Store của Apple.
Symantec cảnh báo điểm yếu tiềm ẩn của hệ điều hành iOS nằm ở khâu mã hóa dữ liệu. Phần lớn các dữ liệu được mã hóa theo cách có thể giải mã được mà không cần đến mật mã bảo vệ mà người dùng thiết lập. Có nghĩa là kẻ tấn công có thể đọc được hầu hết các thông tin trong máy bằng các thủ thuật thủ công (tấn công vật lý) mà không cần đến mật mã của người dùng. Hồi tháng 2/2011, các nhà nghiên cứu ở Đức cho thấy họ có thể làm điều này trong sáu phút trên một chiếc iPhone chạy hệ điều hành iOS phiên bản 4.2.1.
Ngoài ra, các cuộc tấn công nhằm cụ thể vào một ứng dụng cài đặt trong máy (ví dụ như trình duyệt Web của hệ điều hành iOS) sẽ làm hư hại thiết bị nghiêm trọng.
Với phiên bản mới nhất Android 3.0, Google đã bắt đầu thiết lập mã hóa dữ liệu trong khi các thiết bị cài đặt các phiên bản trước không có tính năng này.
Các lỗ hổng của iOS ít nghiêm trọng hơn
Cho đến nay, các nhà nghiên cứu bảo mật đã phát hiện khoảng 200 lỗ hổng trong các phiên bản khác nhau của hệ điều hành iOS. Nhưng hầu hết những mối nguy hại do các lỗ hổng này gây ra nằm ở mức độ thấp.
Còn Google mới chỉ tiến hành vá có 4 trong số 18 lỗ hổng được phát hiện trong phiên bản Android 2.3, còn các lỗ hổng thuộc về các phiên bản ra mắt trước đó vẫn chưa được vá. Theo Symantec, các chương trình như Android.Rootcager mới tung ra gần đây (còn được gọi là Android.DroidDream) và Android.Bgserv đều có thể lợi dụng các lỗ hổng này để chiếm quyền diều khiển thiết bị ở cấp cao nhất.
Symantec cũng cảnh báo những người sử dụng điện thoại thông minh đã jailbreak (bẻ khóa), rằng chúng cũng dễ bị xâm nhập như các máy tính truyền thống.
Symantec kết luận iOS cung cấp việc kiểm soát truy cập tốt hơn, nguồn gốc và mã hóa ứng dụng rõ ràng. Android cung cấp các ứng dụng độc lập tốt hơn. Còn việc cấp phép dựa trên kiểm soát truy cập là như nhau. Apple bảo vệ thiết bị tốt hơn khi chống lại các cuộc tấn công của phần mềm độc hại, tấn công dịch vụ, ăn cắp và làm tổn hại dữ liệu. Cả hai hệ điều hành đều miễn nhiễm với tấn công từ web, nhưng cũng đều chưa trang bị bất kỳ một công nghệ nào để chống lại phishing hay spam.
Wood nói rằng vấn đề bảo mật trên điện thoại thông minh là một thách thức nghiêm túc cho các nhà cung cấp dịch vụ bảo mật. Các cuộc tấn công quy mô lớn có thể sẽ được tiến hành và gây hậu quả nghiêm trọng khi mà điện thoại thông minh ngày càng trở nên phổ biến.