Názor k článku Postřehy z bezpečnosti: další a další zranitelnosti produktů Ivanti od Filip Jirsák - Pokud může nějaký kód nahradit (na počítači) uživatelův...

Pokud může nějaký kód nahradit (na počítači) uživatelův prohlížeč, je pozdě řešit nějaké zabezpečení. Tohle totiž (bez administrátorského přístupu) prostě nemá být možné.
To je hezké, že to nemá být možné, ale na desktopových systémech to možné je.

A rozhodně to není možné bez spolupráce toho uživatele.
Uživatel si spustí aplikaci, ve které je chyba. To nepovažuju za spolupráci uživatele. To už byste taky mohl označit za viníka uživatele, protože zapnul počítač.

Jenže: na mobilu je obvyklé nebýt administrátor, ale pokud se vám podaří přesvědčit uživatele, aby aplikaci upgradoval na malware...
Jenže nic takového na mobilu udělat nejde. Na mobilu můžete přesvědčit uživatele, aby nainstaloval jinou aplikaci. Která ovšem pořád nebude mít přístup k datům té původní správné aplikace.

Jestliže oné falešné aplikaci uživatel dovolí ovládat jiné aplikace (na pozadí),
Který mobilní OS něco takového povoluje?

Tedy: na dobře zabezpečeném počítači a s příčetným uživatelem je podvržení aplikace obdobně těžké, jako na zabezpečeném mobilu, na nezabezpečeném mobilu v rukách hazardéra je to obdobně snadné, jako na nezabezpečeném počítači.
Nikoli. Jak jsem psal, na počítači k tomu stačí chyba v jediné aplikaci, kterou uživatel používá. Protože všechny aplikace na (běžném) desktopu sdílí stejný bezpečnostní prostor. Naproti tomu na (běžném) mobilu s iOS nebo Androidem má každá aplikace svůj bezpečnostní prostor oddělený od ostatních, takže jedna děravá aplikace nemůže ovlivnit ostatní aplikace, pokud není chyba navíc i v OS. Nebo-li uživatelé mají normálně bezpečný mobil (rozhodně podstatně bezpečnější, než počítač) a nebezpečný počítač.

Je nemoudré podceňovat bezpečnot na počítači, stejně, jako přeceňovat bezpečnost na mobilních zařízeních.
Stejně tak je nemoudré přeceňovat bezpečnost na počítači a podceňovat bezpečnost na mobilu. Například tvrzením, že bezpečnost obou je stejná, když je tam ve skutečnosti rozdíl celé jedné úrovně zabezpečení.