2019 වනවිට ආරක්ෂාව වැඩිපුර හොඳ Androidවල ද? iOSවල ද?

ලොව ප්‍රධානම දුරකතන මෙහෙයුම් පද්ධති දෙක වශයෙන් Android සහ iOS කරට-කර සිටිනු දකින්නට ලැබෙනවා. මේවායේ ආරක්ෂණ විධි විධාන සහ සැසඳුමක් කර බලමු.

iOSවල ක්‍රමය

ආවෘත පද්ධතියක්

ඇපල් සමාගමේ ස්මාර්ට් දුරකතන මෙහෙයුම් පද්ධතිය වන iOS ආවෘත මූලාශ්‍ර (Closed source) මෘදුකාංගයක්. එනම්, එය Proprietary software හෙවත් එම සමාගම වෙතින්ම පමණක් වෙනස්කම් ලබන, බාහිර තෙවන පාර්ශවයකට කේතය දැකීමට අවස්ථාවක් නොමැති මෘදුකාංගයක්. මේ නිසා එහි ඇති අඩුපාඩු හඳුනාගැනීමට හැකර්වරුන්ට යෙදිය යුතු මහන්සිය ටිකක් වැඩි යි. පද්ධතිය හරහා පිවිසුම් සීමා කර ඇති නිසා විවිධ ආකාරයන්ගෙන් අත්හදා බැලීමෙන් පමණයි අඩුපාඩු හඳුනාගන්නට ප්‍රහාරකයකුට හැකි වෙන්නේ.

අඩුපාඩු සොයාගත්විට මුදල් පිරිනැමීමේ (Bug bounty) වැඩසටහන් හරහා ද ඔවුන් තම නිෂ්පාදනයේ හැකර්වරුන් ලවා පරීක්ෂා කරවා ගැනීම 2016 සිට ඇරඹුවා.

අවුරන ලද මෙහෙයුම් පද්ධති ගොනු

දුරකතනය තුළින් ද එහි මෙහෙයුම් පද්ධති ගොනු දැකීම සීමා කර තිබෙනවා. ඒ නිසාම iOS සඳහා සැකසෙන ප්‍රතිවෛරස Apps ප්‍රමාණය ද අවම වෙනවා පමණක් නොව, කිසිදු වෙනත් App එකකට මෙහෙයුම් පද්ධතියට හානි කිරීමට ද නොහැකි වෙනවා. වෛරස සඳහා පරීක්ෂා කිරීමට දුරකතනයේ මෙහෙයුම් පද්ධති ගොනු දැකීමට ඇති නොහැකියාව නිසා ප්‍රති වෛරස Appsවලින් පූර්ණ සහයෝගයක් නොලැබී යන නමුත් Jailbreak කිරීමෙන් මෙම පිවිසුම විවෘත කරගන්නට පුළුවන්. ඉන් අනතුරුව විවිධ Apps ස්ථාපනය කිරීමේ අවස්ථාව ලැබෙන අතර දුරකත‍නයේ ආරක්ෂා මට්ටම බිඳ වැටෙනවා. ඇපල් සමාගම Jailbreak කළ දුරකතන සඳහා සහාය දීමෙන් වළකින්නේ ද එනිසාම යි.

නිරන්තර යාවත්කාලීන

iOSවල ඇති විශේෂත්වයක් වන්නේ නිරන්තර යාවත්කාලීනයක් ලැබීම සහ පැරණි දුරකතනවලට පවා නව මෙහෙයුම් පද්ධති, ආරක්ෂණ යාවත්කාලීනයන් වැඩි කාලයක් යනතුරු ලැබීම යි. මෙමඟින් අලුතින් බිහිවන ආරක්ෂක ගැටළු සඳහා මෙහෙයුම් පද්ධතිය සූදානම් කරවීමට, තිබෙන ගැටළු පිරියම් කිරීමට ද හැකි වෙනවා. පැරණි උපාංගවලට ද යාවත්කාලීන ලැබීමෙන් ‍ඒවායේ වේගය අඩුවන බවට කතාවක් පැතිරුණ ද එය සිදුවන්නේ දුරකතනයේ බැටරිය පැරණි වීම නිසා ඇතිවන ගැටළු නිසා බවට Apple සමාගම පෙන්වා දුන්නා.

App Store එක සතු සීමාවන්

iOS සඳහා App එකක් සකසන ‍ක්‍රමලේඛන දැනුමක් තිබුණාම ඕනෑම කෙනෙක්ට කරන්නට පුළුවන්. නමුත් එය App Store එකට දාන්න ගියාම අනේක දුක් විඳින්න සිද්ධ වෙනවා. Developer ගිණුමක් සඳහා $99ක් (රුපියල් 17,000ක් පමණ) ‍වාර්ෂිකව ගෙවිය යුතු යි. අනතුරුව App එක Submit කරද්දී සියළු විස්තර නිවැරදිව තිබීම, Version එකක් පාසා හොඳින් review කිරීම වැනි බාධක රැසක් යොදා තිබෙනවා. එනිසා ද්වේශ සහගත ලෙස විනාශකාරී Apps සැකසීම අවම වන අතර, ඒවා App Store එකට පැමිණීම සම්පූර්ණයෙන්ම පාහේ වළකිනවා.

හෙළි කරන ලද අනෙකුත් ආරක්ෂා මට්ටම්

iPhone X සමග ඇපල් සමාගම ගෙන ආ Face recognition විශේෂාංගය පහසුවෙන් බිඳැලිය හැක්කක් නොවන බව ත්‍රිමාණව මුද්‍රිත මුහුණක් යොදාගෙන කළ පර්යේෂණයකදී හෙළිවුණු බව අප පෙර ලිපියකින් ගෙන ආවා.

වැඩිදුර කියැවීමට: ත්‍රිමාණ මුහුණකට ‍නොරැවටුණු iPhoneX සතු Face Recognition විශේෂාංගය

Black Hat USA 2016 අවස්ථාවට සහභාගී වෙමින් ඇපල් සමාගමේ මධ්‍ය ආරක්ෂාව පිළිබඳ කටයුතු කරන ක්‍රෝෂියානු පරිගණක ආරක්ෂණ ප්‍රවීණයකු වන Ivan Krstić විසින් iOSවල ආරක්ෂාව සඳහා ගෙන ඇති ක්‍රියාමාර්ග දෙකක් JIT හා SEP නමින් හෙළි කළා.

WebKit JIT Mapping මගින් බ්‍රවුසරය තුළ Javascript කේත ක්‍රියාත්මක වන ආකාරය පාලනය කරනවා. එහි JIT යනු Just In Time යන්න යි. කේත execute වීමේදී ඒවා උපාංගයේ මතකයට පිවිසෙනවා. එවිට Write-anywhere පහරදීමකින් මතකයේ ඇති අනෙකුත් දත්ත කොටස්වලට බලපෑම් කරන්නට හැකියාව ලැබෙනවා. මෙය පාලනය කරමින් iOS 10වල සිට උපාංගයේ මතකයට Read සහ Write අවසරයන් ලබා නොදී සිටීම ඔවුන්ගේ එක් ක්‍රියාමාර්ගයක්.

Apple උපාංගවල වැඩසටහන් ධාවනය සඳහා Application Processor (හෙවත් AP) නමින් වෙනම CPU එකක් තිබෙනවා. නූතන උපාංගවල Secure Enclave Processor (හෙවත් SEP) ලෙස හඳුන්වන CPU එකක් අඩංගු කරන ලද අතර උපාංගයට යොදන Passcode එකට අදාල cryptographic master key එකකින් එය ආරක්ෂණය කර තිබෙනවා. Offline පහරදීමකින් ‍හෝ එය බිඳැලිය නොහැකි අතර එය සතු ස්වාධීන ආකේතිත මතකයක් භාවිතා කරනු ලබනවා.

Androidවල ක්‍රමය

විවෘත පද්ධතියක්

නූතනයේ Google සමාගම හිමිකාරීත්වය දරමින් ඔවුන් යටතේ මූලික සංවර්ධනය ලබන Android මෙහෙයුම් පද්ධතිය විවෘත කේත මෘදුකාංගයක්. Pixel දුරකතන සහ Android One ධාවනය වන දුරකතනවල ගූග්ල් සමාගම වෙතින් ලැබෙන පිරිසිදු ඇන්ඩ්‍රොයිඩ් (Pure/Stock Android) අත්දැකීම අඩංගු වෙනවා. කේතය විවෘත බව නිසාම දුරකතන නිෂ්පාදකයන් රැසක්ම ඇන්ඩ්‍රොයිඩ් තම මෙහෙයුම් පද්ධතිය ලෙස තෝරා ගන්නට පෙළඹෙනවා. එවිට ඔවුන්ගේ උපාංගවල ඇති විශේෂාංගවලට ගැලපෙන පරිදි OS එක සකසා නිකුත් කළ හැකි වෙනවා. මේ නිසාම ඇන්ඩ්‍රොයිඩ් ලොව ඉදිරියෙන්ම සිටින මොබයිල් OS එක බවට පත්වුණා.

බොහෝ දෙනෙක් භාවිතා කරන OS එකකට ප්‍රහාරයක් එල්ල කිරීමෙන් එක්වර වැඩි පිරිසකට හානි පමුණුවන්නට හැකර්වරයෙකුට හැකියාව ලැබෙනවා. කේතය විවෘත නිසා පහසුවෙන්ම එහි ඇති අඩුපාඩු දැකගන්නට ද හැකිවන අතර, දුරකතන නිෂ්පාදකයන් විසින් OS එකට කරන වෙනස්කම්වල දී ඔවුන් අතින් සිදුවන අඩුපාඩු නිසා ද ආරක්ෂාව බිඳවැටෙන්නට හැකියාව තිබෙනවා.

අවුරන ලද මෙහෙයුම් පද්ධති ගොනු

Androidවල ද මෙහෙයුම් පද්ධති ගොනු උපාංගය තුළින් වෙනස් කරන්නට නොහැකියි. එනිසා කිසිදු App එකකට OS එකට හානියක් සිදුකර උපාංගයට හානි පැමිණවීමට හැකියාවක් නොමැති අතර එහි අවාසි සහගත අවස්ථාවන් ද තිබෙනවා. විවිධ නිෂ්පාදකයන් මෙහෙයුම් පද්ධතියට එක් කරන Bloatware (උදා: චීන අකුරු ඇති අනවශ්‍ය Apps) සම්පූර්ණයෙන් ඉවත් කරන්නට නොහැකි බව, Ad block කිරීම, CPU Clock වෙනස්කම් සහ Tweak කිරීම් සඳහා අවහිරයන් පැණවෙනවා. මෙය Root කිරීම මගින් විසඳාගත හැකි නමුත් Software warranty අහෝසි වීමත්, උපාංගය වෛරස සඳහා නිරාවරණය වීමට ඇති ඉඩකඩ වැඩි වීමත් සිදු වෙනවා.

නිරන්තර යාවත්කාලීන – හැමෝටම නැත

සාමාන්‍යයෙන් Security updates ආදිය නිරන්තරයෙන් ලබාදීම ගූග්ල් සමාගම වෙතින් සිදුවන නමුත්, දුරකතන නිෂ්පාදකයන් මෙහෙයුම් පද්ධතියට කළ වෙනස්කම් නිසා ඒවා හැම උපාංගයකටම ලැබීමට කල් ගත වෙනවා. මන්ද, ගූග්ල් සමාගමෙන් ආ යාවත්කාලීනය තමන්ගේ උපාංගයට ගැලපෙන පරිදි යළි සකස් කිරීමට නිෂ්පාදකයන්ට සිදුවන නිසා යි. මේ ගැටළුව වළකාලීමට ගූග්ල් සමාගම Android One ව්‍යාපෘතිය ගෙන ආවා. එවිට Android ඇති සැටියෙන්ම උපාංගයේ අඩංගු වීම සහ යාවත්කාලීන වේගවත්ව ලැබීම සිදුවන නිසා දුරකතනයක් තෝරා ගැනීමේ දී ඒ ගැන අවධානය යොමු කිරීම වැදගත්.

Play Store සතුව සීමාවන් නැත

Android සඳහා Apps සැකසීම බොහොම පහසු යි. Java වැනි පුළුල්ව පැතිරුණු භාෂාවන්ගෙන් පමණක් නොව HTML දැනුමකින් පවා Android apps හදන්නට පුළුවන්. එනිසා බොහෝ දෙනෙක් මේ වෙත යොමු වෙනවා. Play Store එකට ඇතුළත් කිරීමට අවශ්‍ය Developer ගිණුමක් සඳහාත් $25ක (රු. 4,300 පමණ) එක් වරක් පමණක් ගෙවිය යුතු මුදලක් පමණක් ඇත්තේ. ඒ වගේම Updates ලබාදීමේ දී Apple තරම් කරදරකාරී නැහැ. මෙම පසුබිම නිසා Android සඳහා සුවිශාල Apps ප්‍රමාණයක් ලැබීම යන වාසිය සමග විනාශකාරී Apps බිහිවීමේ අවදානම ද අවාසිය ද ඇති වෙනවා.

මෙම ගැටළුව මඟ හැරීමට දැන් Play Store Protect සේවාව අරඹා ඇති අතර, ඉන් Play Store එකට ලැබෙන Apps මෙන්ම උපාංගය තුළ ඇති Apps ද පරීක්ෂා කරමින් වෛරස සඳහා පරීක්ෂා කරනවා. ඒ වගේම දත්ත රැස් කිරීම් App එක හරහා සිදුවන බව හඳුනාගනිමින් ඊට සම්බන්ධ Privacy Policy එකක් අඩංගු කරන්නැයි මෘදුකාංග නිෂ්පාදකයන් උපදෙස් ලබා දෙනවා.

පසුවදන – Android සම්පූර්ණ වැරදිකරු ‍නොවේ

මෙම සංසන්දනයෙන් පෙනී යන්නේ Apple සමාගම තමන්ගේ උපාංග නිෂ්පාදනය සහ මෘදුකාංග නිෂ්පාදනය තමා පමණක්ම සිදුකරන නිසා ඒ පිළිබඳව පූර්ණ වගකීමක් දරන්නට ඇති අවස්ථාව වැඩි බව යි. බොහෝ Android දුරකතන Facial Recognition පවා නිසි ආරක්ෂාවක් ලබා නොදෙන අතර මෙම ලිපිය ලියන අවස්ථාව වන විටත් Google Pixel දුරකතනයකින් Facial Recognition බිහිව නොමැති නිසා මෙහෙයුම් පද්ධති හිමිකරු වශයෙන් Google සමාගමට වරද පැටවිය නොහැකියි.

තෙවන පාර්ශවීය සමාගම් තමන්ගේ වෙළඳපොළ තරගය සඳහා විවිධ විශේෂාංග ස්වාධීනව ගෙන එනු ලබනවා. ඒවායෙන් ඇන්ඩ්‍රොයිඩ් වෙත කෙරෙන වෙනස්කම්වලට පොදු මෙහෙයුම් පද්ධතියක් වශයෙන් “ඇන්ඩ්‍රොයිඩ් හොඳ නැහැ” යැයි කියන්නට කිසිසේත් හැකියාවක් නැහැ. මේ නිසා Android ගැන සලකද්දී මූලික මෙහෙයුම් පද්ධති කොටස්, Play Store ආදිය පිළිබඳව පමණක් සලකන්නට සිදු වෙනවා.

Play Store හෝ App Store වෙතින් හැර වෙනත් Apps ස්ථාපනය නොකරනවා නම්, Root හෝ Jailbreak කිරීම් අවබෝධයක් ඇතිව පමණක් කරනවා නම් මේ මෙහෙයුම් පද්ධති දෙකෙහිම ආරක්ෂාව ගැන බිය විය යුතු නැහැ. බොහෝ විට වෙළඳ දැන්වීම් පෙන්වීම සඳහා දත්ත “සොරා” ගැනීම් සිදුවන්නේ Privacy Policyවලට අපේ එකඟතාව ලබාගෙන ම නිසා ඒවාට සොරා ගැනීමකැ යි කියන්නටත් බැහැ. Spam, phishing සහ රැවටීම් OS දෙකටම පොදු, Google හෝ Apple සමාගම්වල පාලනයෙන් බැහැර දේවල් නිසා, අවසර ලබාදෙන්නේ මොනවාටදැ යි කල්පනාවෙන් පාවිච්චි කළ හැකි නම් කිසිදු ආපදාවක් නොමැතිව Android සහ iOS රසවිඳින්නට හැකියාව තිබෙනවා.