web-dev-qa-db-ja.com

オンラインバンキングは、デスクトップコンピューターよりもiOSの方が安全ですか?

AppleのiOSは、オンラインコマース(バンキングまたはショッピング)に対して、WindowsまたはMac OS Xよりも安全な環境を提供していますか? iOSで実行できる唯一のソフトウェアはAppleによって検証される必要があるため、デバイスでマルウェアが実行される可能性ははるかに低くなります。また、マルウェアがデバイスで実行されている場合でも、キーロギングなどのデスクトップマルウェアと同じ機能はないと思います。

さらに、iOS Safariは、ブラウザー内での攻撃を可能にするプラグインをサポートしていません。これは、Java、Flash、Adobe Readerなどの一般的なベクターを介したドライブバイマルウェアのインストールが不可能であることを意味します。これは、接続が安全であるかどうかを明確に示すユーザーインターフェースを提供し、そのユーザーインターフェースは表示されているサイトによって上書きできません。

仮定

  • iPhoneは脱獄されていません。
  • パスワードは画面キーボードで入力します。

追加クレジット

  • パスワードマネージャー(1Passwordなど)を使用すると、セキュリティが向上または低下しますか?
tlsweb-browsermalwareoperating-systems
9
Nic

IOSモバイルデバイスを使用している場合、デバイスは次のような多くの攻撃を受ける可能性があります。

  • ジュースジャッキング
  • HTTPSステータスを明確に表示しないWebブラウザー(iPhone)
  • URLを表示しないWebブラウザー...フィッシングを有効にする(iPhone)
  • Convergenceなどの追加のSSL/TLS検証ソフトウェアをサポートしないWebブラウザー

モバイルデバイスを使用する必要がある場合は、 この投稿が示すように、専用のアプリケーションを使用することをお勧めします 。さらに、アプリケーション自体がかもしれない HTTPS証明書キーを検証する(MITM攻撃を防ぐ)か、さらには 相互認証TLS を使用することもできます

(以下は@Roryの回答に似ています:)

理想的なソリューションは、PCを再フォーマットして、ゲームやテストなどに 仮想OSをインストール することです。次に、すべての銀行のニーズに対応する標準のPCを使用します。 VMはPCにアクセスできないので(できれば設定したように))、フィッシングやその他の攻撃から安全です。*

* 例外

7
goodguys_activate

AppleウォールドガーデンモデルとiOSセキュリティモデルはホストの保護に非常に適していますが、Webアプリケーションにはホストのセキュリティ以上のものが必要です。

Mac OS XのiOS化により、Appstoreからの署名済みおよび検査済みのアプリのみを許可するオプションと、2012年3月以降のサンドボックスの必須使用が可能になりました。

タブレットバージョン(Windows RT)がデフォルトでWindowsストアからのコードのみを実行するようにすることで、Windows 8はゆっくりと同じモデルに従っています。しかし、プラットフォームはまだ若く、 脆弱 です。

Apple Appstoreのセキュリティ:

  • 99ドルの参加料。
  • あなたの身元を確認し、犯罪執行を使用します。
  • コンテンツのレビューと静的分析。
  • コードは署名されており、変更できません。
  • 悪用するためのコストは非常に高いです。
  • 非常に 少数 マルウェアアプリケーションが侵入する。

Apple iOSセキュリティ:

  • エクスプロイトを作成するには6か月かかります。
  • アプリのレビューは、エクスプロイトに関する数か月にわたる作業のリスクです。
  • iOSエクスプロイトはいくつかのグループによって書かれています。
  • Appleは素早くパッチを当てます。
  • コード署名が採用され、メモリページは実行時に署名され、DEPと同様にコードの挿入から保護されます。
  • iOS Seatbeltサンドボックスは非常に優れています。
  • Charlie Millerは実行時に脆弱性を見つけて新しいコードを挿入し、Appstoreから禁止されたため、脆弱性は4日でパッチされました。
  • 脆弱性の悪意のある使用はほとんど見つかりませんでした。

ホストを保護するだけでは不十分であり、Appleを信頼してユーザーを支援することはできません[〜#〜] be [〜#〜]安全です。安全なホストは、通信やユーザーなどの次に弱い場所を攻撃するように攻撃者をプッシュしますAppleは、ユーザーを安全に導くだけです。他の問題があります。オンラインコマース:

  • 脆弱なパスワードまたはリセットと傍受に対するアカウント保護の欠如。
  • 偽のSSL証明書やフィッシングWebサイトなどのセキュリティ認識。
  • XSS、CSRF、クリックジャックなど、ユーザーの操作を必要とする商用Webサイトの脆弱性。
6
Cristian Dobre

他の回答でまだ触れられていない側面の1つは、モバイルセキュリティがまだ比較的若いことであり、成熟したオペレーティングシステムと比較すると、実装されているセキュリティ機能を保証することは困難です。

したがって、現在のところ、デスクトップOSの方がより安全である方が簡単です。ツールはよく知られており、攻撃タイプはよく知られており、セキュリティ層の実装はエンドユーザーにとってはるかに簡単です。

私はまだiosやAndroidオンラインバンキング用のアプリを使用しませんが、自分のデスクトップマシンでVMを使用して制御できます。使用後。

3
Rory Alsop

番号

  1. iOS自体は、脱獄バージョンよりも必ずしも安全ではありません。ただし、脱獄が発生する可能性があるため、iOSには本質的に少なくとも1つのセキュリティエクスプロイトが必要です
  2. インストールされると、多くのセキュリティエクスプロイトがジェイルブレイク開発者によって修正されることがよくあります。ただし、脱獄自体、またはエクスプロイトの修正を約束するパッチを確認および/または理解できない場合があります。したがって、脱獄をまったく信頼できない可能性があります。
  3. 画面上でパスワードを入力すると、各キーはネイティブiOSキーボードによってタッチ時に「拡大」または拡大されます。誰か、または何か(防犯カメラなど)がパスワードを盗むために肩越しに見ている可能性があります。
  4. 適切なセキュリティは、クライアントを保護するだけでなく、通信チェーン全体とそれに関連付けられているすべてのデバイスを保護することです。たとえば、HTTPS経由で通信していない場合、送信中に情報が盗まれる可能性があります。パスワードが安全に保存されていない場合(プレーンテキストでパスワードを保存する悪質な開発者など)、データベースが侵害された場合にもパスワードが漏洩する可能性があります。

パスワードの選択自体について:オンラインで多くの議論があり、ここ security.stackexchange.com で利用できます。私はこれを見つけました(そして大好きです): XKCD#936:短い複雑なパスワード、または長い辞書のパスフレーズ?

0
F. Hauri