Beveiligings-kwetsbaarheden in software zijn aan de orde van de dag. Microsoft patcht ze maandelijks, Oracle elk kwartaal en ook Apple ontkomt er niet om de software zo nu en dan van een pleister te voorzien. Waar het de pc betreft zijn software leveranciers redelijk op beveiligingsupdates ingespeeld. Waar het onze telefoon betreft, hebben sommige leveranciers echter nog een lange weg te gaan.
Vorige week werd bekend dat de hackertool Metasploit een functie heeft toegevoegd om automatisch misbruik te maken van een kwetsbaarheid in Android telefoons. Via de functie kan een gebruiker van de Metasploit tool automatisch gegevens van een telefoon kopieren. Hiervoor hoeft hij de gebruiker van de telefoon enkel over te halen om zijn website te bezoeken. Een kwetsbaarheid als deze is op zichzelf verre van schokkend. De kwetsbaarheid werd in november ontdekt, netjes gemeld en door Google voorzien van een update in Android 2.3. Om gebruikers te beschermen werden de details achtergehouden tot medio vorige week.
Wat echter wel schokkend is, is dat de overgrote meerderheid van de Android gebruikers zich met geen mogelijkheid tegen de kwetsbaarheid kan beschermen, doordat de oplossing nog niet voor alle telefoons beschikbaar is.
Android is niet Android
Hoewel we omkomen in de grote hoeveelheid Android telefoons en telecomproviders zelfs pleiten voor meer diversiteit, is geen Android telefoon functioneel hetzelfde. Bijna elke fabrikant voorziet Android van een eigen grafische schil en eigen apps of modules. Doordat elke fabrikant Android een klein beetje aanpast, moet ook elke fabrikant moeite doen om updates van Google te verwerken in hun eigen Android versie. Niet elke fabrikant is hier even happig op, wat er toe leidt dat wij als eindgebruikers blijven zitten met een telefoon die door hackers eenvoudig misbruikt kan worden.
Mogelijke gevolgen
We zetten onze telefoon steeds breder in. Niet alleen bevatten smartphones steeds vaker vertrouwelijke informatie, met misbruik van de telefoon zelf kan ook veel geld verdiend worden. Met een botnet aan telefoons kan een internet crimineel natuurlijk traditionele internetaanvallen uitvoeren. Maar het is wellicht nog wel interessanter om de telefoons te laten bellen of sms’en naar dure betaalnummers. Of om met de telefoon een TAN-code aan te vragen om mee te internetbankieren. Of indien de telefoon een functie als digitale portemonnee krijgt, misbruik te maken van de betaalfunctie. 'Gelukkig' beperkt deze 'cross-zone' kwetsbaarheid tot het stelen van gevoelige informatie van een Android telefoon, maar net als met Windows, Linux en Mac is het natuurlijk slechts een kwestie van tijd tot er een zeer ernstige kwetsbaarheid wordt onthuld waarop de leveranciers geen (men besluit een telefoon niet langer te onderhouden) of een heel laat antwoord hebben.
Eindgebruiker niet serieus genomen
Het lijkt er op dat de telefoonfabrikanten de eindgebruiker vooralsnog niet erg serieus nemen. Google neemt weliswaar haar verantwoordelijkheid om de kwetsbaarheden weg te nemen uit de Android 'core', maar na Google dienen ook de fabrikanten en telecom operators mee te werken. En die lijken vooralsnog niet te staan springen om hun klanten te beschermen. De updates voorzien de klanten vaak ook van nieuwe features. En die nieuwe features zijn nou juist vaak de trigger tot het kopen van een nieuwe telefoon. Daarnaast is het verwerken van de updates voor alle modellen gewoon erg prijzig. Men moet in dat licht wellicht nog wennen aan het feit dat men door de keuze Android-maatwerk te leveren ook de verantwoordelijkheden van een volwaardige software leverancier heeft gekregen.
Daarnaast bevatten nieuwe Android versies nieuwe functionaliteit. En nieuwe functies zijn nou juist het best business model om consumenten over te halen tot het kopen van een nieuwe telefoon.
Op een verzoek voor een update voor een HTC desire, reageerde de fabrikant als volgt: 'We kunnen op dit moment geen verdere informatie verschaffen over de mogelijkheid van deze update. Mocht hierover verdere informatie beschikbaar komen, dan kan u deze vinden op onze website, (htc.com) en onze Facebook en Twitter pagina’s. Gelieve deze kanalen in het oog te houden voor verder informatie.' Voor een eindgebruiker is een dergelijke reactie uiteraard uitzichtloos.
Op welke support hebben we eigenlijk recht?
Microsoft onderhoudt een oude Windows versie als XP ruim 12 jaar nadat het is uitgebracht. Apparatuur waarop de software is geleverd is daardoor gedurende een lange tijd bruikbaar. Maar hoe zit dit eigenlijk met onze telefoon? Hoe snel dwingen telefoonfabrikanten ons straks tot vervanging doordat onze apparatuur niet meer van beveiligingsupdates wordt voorzien?
Door de uitzichtloze situatie waarmee fabrikanten als Samsung, Motorola en HTC ons confronteren, reist de vraag waar we als eindgebruikers eigenlijk recht op hebben. Als een toestel als de HTC Desire, dat nog volop in de verkoop is, al zo slecht wordt onderhouden… hoe zal de support dan zijn op het moment dat er een nieuwe versie op de markt is gekomen?
Wat nu?
Om een smartphone zo goed mogelijk te kunnen onderhouden is het verstandig om gebruik te maken van een toestel dat zo dicht mogelijk op de eigenlijke softwareontwikkelaar zit. Wil je een zo veilig mogelijke telefoon? Overweeg dan om in plaats van een HTC, Motorola of Samsung Android telefoon een Google Nexus, Apple iPhone, Nokia Symbian of een Blackberry aan te schaffen. In dat geval beschik je als gebruiker direct over de updates die in reactie op beveiligingskwetsbaarheden zijn uitgebracht.
Ondertussen doen fabrikanten en telecom providers er goed aan om de basis van een Android telefoon los te koppelen van de modules en grafische schil die ze zelf mee willen leveren. Gelet op telefoon-specifieke hardware zal dit niet altijd eenvoudig zijn. Maar alleen indien gebruikers belangrijke Android (Beveiligings)updates direct van Google kunnen krijgen, zullen Google, de leveranciers en de telecom operators in staat zijn om hun gebruikers snel en passend te beschermen. Slagen ze hier niet in, dan zijn hun eindgebruikers vogelvrij op het moment dat op mobieltjes gerichte virussen en aanvallen echt vorm beginnen te krijgen.
Maarten Hartsuijker is beveiligingsconsultant bij Classity en bereikbaar via @classityinfosec.