Android или iOS: какая ОС безопаснее

«Огороженный сад» против самоуправства производителей

Пользовательский спор о преимуществах и недостатках двух самых распространенных мобильных ОС — iOS и Android, — тянется около 15 лет, с моментах их первого запуска. Тему обсуждают до сих пор, в том числе и в кругу специалистов: в сентябре 2025 года на Mobile Meetup директор по продукту AppSec.Sting Юрий Шабалин выступил против мифа о безопасности приложений на платформе iOS. «Наш опыт показывает, что при сравнении одного и того же приложения на двух платформах версия для iOS зачастую содержит больше критических и, что важнее, легко эксплуатируемых уязвимостей, чем ее Android-аналог», — заявил тогда Шабалин, как следует из текста презентации.

«Огороженный сад» Apple, включающий закрытый исходный код, жесткий контроль при публикации в AppStore, системные механизмы защиты и затрудненный вход в анализ приложений, отнюдь не является гарантом безопасности, считают в AppSec.Sting.

К ключевым уязвимым местам ОС относят уязвимость KeyChain (связки ключей в iOS), доступ к которой можно получить с помощью джейлбрейка. Устройство взламывается, а затем восстанавливается бэкап и проводится облачная синхронизация — и злоумышленник получает доступ к данным. Более того, даже при удалении приложений данные не исчезают.

Защиту устройств на iOS осложняют распространенные заблуждения. К ним Шабалин отнес следующие:

• «Скомпилированный код — это безопасный код». Но, по факту, все строки можно получить одной командой, а названия у функций нередко «говорящие» — по ним можно понять, за что они отвечают;
• «Файлы надежно защищены песочницей» — отнюдь, они достаются через джейлбрейк и бэкапы;
• «Bundle приложения безопасен» — но он может содержать мок-компоненты, файлы сборки с зависимостями, контакты команды, тестовые ключи, сертификаты и еще много информации, которую забыли убрать из релизной сборки.

Источник: презентация AppSec.Sting 

Уязвимости Android, впрочем, тоже трудно игнорировать. Исследование AppSec Solutions 2024 года показывает: в проанализированных 1675 Android-приложениях российских разработчиков найдено 29,9 тыс. уязвимостей. При этом 88,6% приложений на базе этой ОС имеют уязвимости высокого и критического уровня.

При этом относительно 2023 года число уязвимостей выросло на 33% — речь идет, разумеется, только о выявленных угрозах.

Источник: https://appsec-mobile.cnews.ru/ 

«Гибкость против защищенности» и геополитические нюансы

В AppSec.Sting считаю необходимым фокусировать внимание на безопасности мобильных приложений: полное доверие к операционным системам, будь то iOS или Android, себя не оправдывает.

Перенос фокуса на «второй контур» безопасности, на уровень приложений, действительно может показаться весомым ответом угрозам. Особенно с учетом того, что, как отмечают эксперты из сферы ИБ, однозначного ответа о том, какая из ОС безопасней, — нет.

По мнению директора Kaspersky GReAT Игоря Кузнецова, с точки зрения кибербезопасности обе ОС находятся примерно на одном уровне. Важные функции в iOS изначально не были доступны для сторонних приложений, да и на Android мало что можно сделать без «согласия» пользователя. Закрытость же iOS иногда становится поперек стараний безопасников по защите системы. «Сложность с iOS заключается в том, что в силу архитектурных особенностей платформы на устройствах с этой ОС нельзя установить классическое антивирусное решение, — отмечает Кузнецов. — При этом для iOS существуют вредоносные и скам-приложения».

С Кузнецовым во мнении сходится руководитель разработки PT Maze, Positive Technologies Николай Анисеня, по его словам закрытую систему сложнее исследовать не только злоумышленникам, но и белым хакерам, которые ищут уязвимости. «Глубокое исследование iOS-приложений совершенно точно обходится дороже, чем исследования Android-приложений», — отмечает Анисеня.

Как следствие этого дисбаланса, считает Анисеня, есть риск, что большая часть экспертизы остается на темной стороне. Он отмечает, что в обеих ОС есть свои сложности. «Действительно, Android предоставляет обилие возможностей для разработчиков — что, в свою очередь, увеличивает поверхность атаки, но в iOS уровень качества документации ниже, ниже и уровень экспертизы в application security по этой платформе».

В среднем приложения для iOS получаются безопаснее, чем для Android, однако под обе платформы возможно писать как безопасный, так и абсолютно дырявый код, продолжает Анисеня. «Когда дело доходит до реальных атак с применением уязвимостей (zero click RCE в whatsapp на iOS), какая нам разница, какая платформа в среднем безопаснее, если поломали то, чем мы пользуемся».

Руководитель управления анализа защищенности компании BI.ZONE Михаил Сидорук тоже не дает однозначного ответа о том, какая из ОС безопасней. В случае с iOS система безопасности задается самой Apple, а в Android рекомендации выпускает Google, а их исполнение зависит не только от разработчиков приложений, но и от производителей устройств, говорит эксперт. «Часть производителей значительно модифицирует операционную систему. Из-за этого уровень безопасности в экосистеме не одинаков и требуется больше контроля», — считает Сидорук.

Но наиболее распространенным вектором заражения устройств остается загрузка приложений из сторонних источников. Это направление обходит усилия и Google, и Apple по обеспечению безопасности пользователей. Кузнецов приводит в пример троянец SparkKitty, который распространялся на поддельных ресурсах, мимикрирующих под AppStore. Зловред шел «в комплекте» с модификацией TikTok и приложений с азартными играми.

Впрочем, как отмечает Сидорук, установка даже из официального магазина не является полной гарантией безопасности. Однако она значительно снижает риск заражения по сравнению с пиратскими и сторонними источниками. По мнению эксперта BI.ZONE, Google делает серьезный шаг к тому, чтобы обезопасить пользователя — с марта 2026 года на сертифицированных Android-устройствах Google анонсировал дополнительные меры верификации приложений и разработчиков. Устанавливать можно будет только ПО от проверенных источников. «В итоге риск зависит не столько от самой платформы, сколько от поведения пользователя», — подчеркивает эксперт.

По мнению Николая Анисени, возможность устанавливать приложения через apk-файлы в Android — это «про гибкость против защищенности». Возможность устанавливать стороннее ПО без оглядки — будь то на Google или Apple, — в целом, благо. В то же время любая дополнительная «фича» — это увеличение поверхности атаки. «Пример негативных последствий такого вендор-лока — это невозможность поставить приложения подсанкционных банков на iPhone, используя нормальные механизмы», — отмечает Анисеня.

Спринтер-iOS и марафонец-Android

Работать с рисками взлома приходится не только специализированным ИБ-компаниям, но и крупным отечественным фирмам, являющимся операторами мобильных приложений.

Ситуация складывается непросто: как отмечает CISO Wildberries & Russ Андрей Иванов, есть общемировой тренд на увеличение количества и сложности атак, в том числе на мобильные приложения, — поскольку многие фирмы используют мобильные приложения для привлечения и удержания клиентов. Атаки идут как по пользовательским устройствам, так и по инфраструктуре. Увеличение числа атак оказывается продолжением тотальной цифровизации бизнеса. «При этом однозначно сказать, с обеспечением безопасности какой ОС «проще» справляться, нельзя, так как в связи с разной спецификой ОС угрозы носят разную природу, а мы должны дать возможность каждому клиенту безопасно совершить заказ и донести до каждого клиента информацию о том, как безопасно пользоваться нашими сервисами», — подчеркивает Иванов.

Причем и со стороны пользователей осведомленность об угрозах растет, считает Иванов. Речь, в частности, идет о рисках, связанных с использованием альтернативных источников приложений, установки приложений из непроверенных источников, а также несвоевременного обновления устройств.

Упор на осведомленность клиента делают и в «М.Видео-Эльдорадо». Как отмечает руководитель отдела мониторинга и защиты информационной безопасности компании Владимир Садовский, особой разницы по стоимости обеспечения безопасности между iOS и Android в компании не видят. «Большой разницы нет, но есть ограничения, связанные с тестированием приложения, так как нельзя использовать виртуализацию для проведения тестов безопасности, в случае с iOS требуются физические устройства», — отмечает Садовский.

Между тем в VK считают, что работать с iOS все-таки проще: количество возможных ошибок при разработке куда меньше и, как следствие, поверхность атаки меньше. В открытом доступе не так много информации, описывающей риски и примеры атак на iOS-приложения. В пресс-службе компании отмечают, что по результатам тестов MASTG: «Determining Whether Sensitive Stored Data Has Been Exposed via IPC Mechanisms» для Android и iOS можно прийти к выводу, что iOS чуть безопаснее и проще для рядовых пользователей. «С другой стороны, обнаружить вредоносное ПО на iOS, как это было в истории с Pegasus (израильское шпионское ПО), — дорогостоящее дело, поскольку такая разработка требует больших ресурсов», — следует из ответа компании.

Android же более требователен ко времени: исходя из статистики отчетов Bug Bounty, репорты по Android публикуются куда чаще. С iOS, считают в VK, тоже нужно немало времени, но на подготовительном этапе — нужно разобраться, как тестировать и что искать, найти физический девайс для тестирования. «Поэтому можно сказать, что iOS требует больших стартовых вложений, но при дальнейшей поддержке Android обходится дороже», — отмечают в VK.

На это влияет целый каскад нюансов, связанных с обеспечением безопасности на Android, продолжает представитель VK. Открытый исходник ОС, большее количество устройств, доступ к приложениям из сторонних источников, легче доступ к рутированию (получение прав суперпользователя) и другие. Так что, по итогу, нет ничего удивительного в том, что Android статистически ломается чаще, чем iOS. Но и ОС от Apple отнюдь не панацея: «Какими бы ни были безопасными ОС, несоблюдение базовых правил кибергигиены может привести к компрометации устройства, краже данных или денежных средств», — подчеркивают в VK.

Что касается российских ОС, по словам Иванова их доля остается небольшой на рынке, поэтому приоритетной мишенью для массовых атак они не становятся. «Так как они используют платформу Android, сильной разницы не вижу», — отмечает Владимир Садовский из «М.Видео-Эльдорадо».

Взлом ОС — «это очень жирная, и при этом очень простая история»

О росте числа атак говорят как ИБ-вендоры, так и крупные компании, использующие мобильные приложения. Меняется и характер атак: злоумышленники стремятся бить по деньгам. «Поддельные приложения, кража учетных данных и сессий, приоритет — получение финансовой выгоды», — отмечает Михаил Сидорук из BI.ZONE.

Это подтверждается и цифрами: директор Kaspersky GReAT Игорь Кузнецов отмечает, что по данным компании, за январь–август этого года самым массовым зловредом для Android оказался мобильный банковский троянец Mamont. Количество атакованных им пользователей увеличилось в 36 раз по сравнению с аналогичным периодом в 2024 году. «Троянец запрашивает доступ к СМС и push-уведомлениям на зараженном смартфоне, после чего использует их для кражи средств людей через СМС-банкинг», — поясняет Кузнецов.

При этом все опрошенные SecPost специалисты из сектора ИБ отмечают, что угрозы постоянно эволюционируют. По словам Кузнецова, злоумышленники используют новые приемы и легенды, пытаются использовать возможности ИИ — чтобы выманить данные и деньги владельцев смартфонов.

Как говорит руководитель разработки PT Maze, Positive Technologies Николай Анисеня, злоумышленники осваивают новые технологии, например, NFC для мошеннических целей — NFCGate.

Но и Сидорук, и Анисеня сходятся во мнении, что коренных предпосылок для серьезных изменений ландшафта пока нет. «Как и 10 лет назад, все так же популярны трояны, использующие accessibility services (службы для инвалидов, дающие приложению доступ к информации на экране), приложения для удаленного доступа, вредоносные клоны, перепаковка с удалением или подменой рекламы, разблокировка платных функций и читы», — говорит Анисеня.

Анисеня также с сожалением отмечает, что индустрия не торопится с внедрением протекторов мобильных приложений, которые существенно снижают риски большинства подобных атак. Занимаются этим, пожалуй, только крупные мировые компании — хотя технологии уже стали доступными.

«Пользователям важно продолжать повышать уровень цифровой грамотности и использовать защитные решения, разработанные специально под мобильные платформы», — резюмирует Кузнецов.

Юрий Шабалин из SecApp отмечает: интерес злоумышленников к мобильным устройствам и мобильным приложениям будет продолжать расти. По его мнению, это связано с тем, что все больше ценных для злоумышленников приватных данных пользователей хранится на смартфонах — даже больше, чем на ПК. И взломщики будут все чаще интересоваться изучением ОС. «Это очень и очень жирная, и при этом очень простая история, — говорит Шабалин. — Взломав систему один раз — можно получить очень многое».

Как и Анисеня, Шабалин отмечает: о безопасности мобильных приложений заботятся в основном большие игроки — либо те, кто уже обжегся на инцидентах. Есть, впрочем, и те операторы мобильных приложений, которые попадают под требования регуляторов — так что им тоже приходится оглядываться на безопасность.

«Но в подавляющем большинстве пока еще либо не сталкивались никогда с проблемами, либо просто не знают о них, либо недостаточно ресурсов для того, чтобы охватить все, либо они просто не понимают особенности мобильных приложений, особенности доставки, использования — и не оценивают риски от мобильных приложений», — подчеркивает Шабалин.

Есть несколько вариантов, что могло бы изменить ситуацию, но все они упираются в регуляцию. Уменьшить риски атаки устройств пользователей могло бы управляющее воздействие со стороны магазинов приложений. «Например, те же самые Google Play, RuStore, если они введут какие-то требования, не только защищающие их интересы, как магазина, но и нацеленные на качество приложений, да, это будет очень хорошим фактором и сподвигнет людей уделять внимание защищенности мобильных приложений», — подчеркивает Шабалин.