Consumenten zouden de keuze zouden moeten hebben om antivirussoftware op hun smartphones te installeren. Smartphonemakers werken daartoe maar mondjesmaat met antivirusbedrijven samen, omdat ze niet de indruk willen geven dat op smartphones malware terecht kan komen. Dat zeggen beveiligingsexperts.
Smartphones moeten beveiligd worden met antivirussoftware. Die software bestaat nu nog nauwelijks, omdat smartphonefabrikanten dan zouden moeten toegeven dat malware net zo goed op smartphones terecht kan komen als op normale computers. Dat zeggen beveiligingsdeskundigen.
Charlie Miller, een beveiligingsexpert die gespecialiseerd is in de beveiliging van het iPhone- en Androïdplatform, en bekendheid verwierf doordat hij in 2008 tijdens hackwedstrijd Pwn2own binnen twee minuten een iPhone hackte: "Voor een computer kun je gewoon software ontwikkelen en die vervolgens installeren, maar dat geldt niet voor de meeste smartphones. Om daar software op te laten draaien, heb je als softwaremaker toestemming nodig van de fabrikant. Dat betekent dat antivirusbedrijven niet zo maar antivirussoftware kunnen ontwikkelen voor smartphones. Ze zullen daarvoor moeten samenwerken met smartphonefabrikanten. Ik heb niet de indruk dat dat veel gebeurt. Apparaatmakers voelen er niet veel voor. Daarmee zouden ze zeggen dat er een probleem is, en dat doen ze liever niet. Ik weet alleen dat F-Secure av-software heeft gemaakt voor Symbian en Windows Mobile."
Volgens beveiligingsadviseur Sergio Alvarez van Recurity Labs, die in maart op CanSecWest sprak over de beveiliging van smartphones, houden smartphone-producenten antivirusbedrijven ook op andere manieren in de tang. Eén daarvan zijn Non Disclosure Agreements (NDA). Alvarez: "Om informatie te krijgen over technische details van bepaalde platformen, moeten antivirusbedrijven vaak Non Disclosure Agreements (NDA) tekenen. Dat betekent dat ze beloven om geen ruchtbaarheid te geven aan problemen die ze ontdekken." Daarnaast raken antivirusbedrijven volgens Alvarez gecorrumpeerd omdat ze partnerschappen hebben met bepaalde hardwareleveranciers. "Die leveren dan standaard een bepaald merk antivirussoftware mee met machines."
Patch Tuesday
Beide onderzoekers vinden het kwalijk dat er nog zo weinig antivirussoftware bestaat voor smartphones. Miller: "Ik denk niet dat er op dit moment een groot probleem bestaat, maar ik vind wel dat consumenten de keuze zouden moeten hebben om antivirussoftware op hun smartphones te installeren. Dat keuze hebben ze nu niet."
Alvarez: "Ik vind het heel erg dat de bedrijven die ons zouden moeten beschermen dat niet doen." De van oorsprong Argentijnse beveiligingsonderzoeker zegt dat "er op dit moment malware in het wild bestaat voor alle belangrijke smartphoneplatformen. Antivirus-bedrijven weten ervan, maar ze kunnen er niets over zeggen. Het gebeurt wel vaker dat beveiligingsproblemen stil worden gehouden. Maar dan worden ze meestal ook in stilte opgelost, via een updateronde. Maar voor smartphones bestaat nog geen Patch Tuesday."
Elk van de mobiele platformen is volgens Alvarez kwetsbaar. "De meest voorkomende aanvalsmethode op alle platformen is via een mail in html-formaat. Die kan bijvoorbeeld foto’s bevatten of andere html-inhoud die misbruik maakt van een kwetsbaarheid om malware uit te voeren of te installeren." Alvarez voorspelt dat er in 2009 meer en ook meer geavanceerde smartphone-malware zal opduiken. Dat zal er toe leiden dat iedereen voor het einde van het jaar antivirussoftware zal moeten installaren op zijn smartphone om zich tegen die bedreigingen te beschermen."
Ook Toralv Dirro, beveiligingsstrateeg bij McAfee voor de regio EMEA, vertelde eerder aan Computable dat smartphones een beveiligingsrisico vormen. Dirro: "Het niveau van beveiliging van mobiele besturingssystemen is erg vlak, vergelijkbaar met bijvoorbeeld Windows 95. Er is geen beveiliging: elke applicatie kan toegang krijgen tot elke andere applicatie. Ze kunnen gewoon elkaars bestanden lezen. Dat probleem geldt voor vrijwel elk mobiel besturingssysteem. Dus als je erin slaagt malware op een smartphone te installeren, bijvoorbeeld via de browser, dan is er volop ruimte voor aanvallen."