Smartphones zijn een goed doel voor hackers. Het is niet moeilijker om er malware voor te schrijven dan voor gewone computers. Maar de mogelijkheden zijn groter: het apparaat heeft gps, kan bellen en sms’en. Bovendien heeft de bezitter van zo’n toestel meestal toegang tot belangrijke bedrijfsgegevens. Dat zeggen beveiligingsdeskundigen.
Het is inmiddels rendabel voor criminelen om hun energie te steken in het ontwikkelen van malware voor smartphones: ze zijn niet moeilijker te hacken dan normale computers, worden vaak gebruikt door personen die toegang hebben tot belangrijke gegevens en bieden extra mogelijkheden omdat ze kunnen bellen en sms’en. Als een gebruiker via Wi-Fi contact legt met het bedrijfsnetwerk, kan geïnstalleerde malware via 3G bedrijfsgegevens bovendien ongemerkt wegsluizen. Dat zeggen deskundigen die gespecialiseerd zijn in de beveiliging van smartphones.
Beveiligingsadviseur Sergio Alvarez van Recurity Labs, die in maart op beveiligingsconferentie CanSecWest in Vancouver sprak over de beveiliging van smartphones: "Omdat er tegenwoordig zo veel bedrijven zijn die hun werknemers toegang geven tot bedrijfsmail op hun smartphone, is dat apparaat een heel aantrekkelijk doelwit geworden voor kwaadwillenden. Al helemaal omdat smartphonegebruikers meestal relatief hooggeplaatst zijn en dus toegang hebben tot de belangrijkste gegevens. Daarnaast staan smartphones ook nog vaak vierentwintig uur per dag en zeven dagen in de week aan. Wat wil je nog meer als hacker? Bedrijven realiseren zich niet welk gevaar ze lopen."
Smartphones zijn computers
Charlie Miller, een beveiligingsexpert gespecialiseerd in de beveiliging van het iPhone- en Androidplatform, verwierf bekendheid door tijdens hackwedstrijd Pwn2own 2008 binnen twee minuten een iPhone te hacken. "Vergeleken met computers is de kans dat je malware aantreft op een smartphone op dit moment klein. Maar zodra hackers de smartphone als doelwit ontdekken, is het niet extra moeilijk om er malware voor te schrijven. Smartphones zijn gewoon kleine computers."
Hij vervolgt: "Ze zijn geen van alle perfect, dus kunnen ze in principe gehackt worden. De smartphone is een geweldig doel. Omdat er veel persoonlijke informatie op staat, zelfs meer dan op computers. Omdat ze altijd aan staan en omdat ze extra functies hebben: je kunt er mee bellen en sms’jes sturen. En ze bevatten vaak gps. Dat betekent dat je precies weet waar iemand zich bevindt. Dat is handig als je bijvoorbeeld het telefoonnetwerk zou willen platleggen rond een bepaalde gebruiker."
Malware binnen bedrijfsmuren
Alvarez van Recurity Labs beschrijft een veel beangstigender scenario. "Wanneer malware een smartphone infecteert, heeft die toegang tot alle bronnen van dat apparaat, zoals gps, de versnellingsmeter, microfoon en camera. Door gebruik te maken van de snelheidsmeter, waarmee beweging binnen drie dimensies te volgen is, kan de malware de smartphonegebruiker binnen bedrijfsmuren volgen", aldus Alvarez.
"Wanneer de gebruiker besluit om zijn mail te checken tijdens een vergadering en verbinding maakt met het draadloze netwerk van zijn bedrijf, heeft de malware opeens ook toegang tot dat bedrijfsnetwerk. De malware kan op zoek gaan naar waardevolle informatie en die via het 3G-netwerk doorsturen naar het kwaadwillende brein achter de malware. Dat 3G-netwerk wordt niet in de gaten gehouden. Dus je kunt achteraf niet achterhalen welke gegevens er over gereisd hebben."