El modelo de jardín amurallado de Apple y el modelo de seguridad de iOS son muy buenos para proteger el host, pero las aplicaciones web requieren más que la seguridad del host.
La clasificación iOS de Mac OS X ha brindado la opción de permitir solo aplicaciones firmadas y revisadas desde Appstore y el uso obligatorio de sandboxing a partir de marzo de 2012.
Windows 8 está siguiendo lentamente el mismo modelo al hacer que la versión de la tableta (Windows RT) solo ejecute el código de la Tienda Windows de forma predeterminada. Pero la plataforma aún es joven y frágil .
Seguridad de Apple Appstore:
- tarifa de inscripción de $ 99.
- Verifica su identidad y usa la aplicación de la ley contra el crimen.
- Revisión de contenido y análisis estático.
- El código está firmado y no se puede modificar.
- El costo de explotación es muy alto.
- Muy pocas aplicaciones de malware se deslizan a través de.
Seguridad de Apple iOS:
- Se necesitan 6 meses para escribir un exploit.
- La revisión de la aplicación es un riesgo para los meses de trabajo en un exploit.
- Las explotaciones de iOS están escritas por pocos grupos.
- Apple parches rápido.
- Se emplea la firma de código, las páginas de memoria se firman en tiempo de ejecución y, como DEP, protege contra el código de inyección.
- El cajón de arena del cinturón de seguridad de iOS es muy bueno.
- Charlie Miller inyectó un nuevo código en el tiempo de ejecución al encontrar una vulnerabilidad y se lo prohibió en Appstore; luego, la vulnerabilidad se reparó en 4 días.
- Se han encontrado pocos usos maliciosos de las vulnerabilidades.
Asegurar el host no es suficiente y no puedes confiar en Apple para ayudar al usuario A SER seguro. Un host seguro empuja a los atacantes a atacar los siguientes puntos más débiles, como la comunicación y el usuario donde Apple solo puede empujar al usuario para que esté seguro. Hay otros problemas para el comercio en línea:
- Contraseñas débiles o falta de protección de la cuenta contra el restablecimiento y la intercepción.
- Conciencia de seguridad para cosas como certificados SSL falsos o sitios web de phishing.
- Vulnerabilidades en sitios web comerciales que requieren la interacción del usuario, como XSS, CSRF y Clickjacking.