Een groot aantal organisaties brengt mobiele apps uit voor consumenten, partners of medewerkers. De meeste apps bieden een goede gebruikservaring en zijn tot op zekere hoogte veilig. Hoewel ze slagen voor de controles door de app-stores, blijft de app-veiligheid een uitdaging, zeker als je een eigen app wilt ontwikkelen. Juist omdat veel apps toegang tot gebruikersgegevens vereisen, mag de veiligheid ervan niet verwaarloosd worden.
Applicatiebeveiliging omvat het testen en beoordelen van een applicatie om te zorgen dat mobiele apps, webapplicaties of api’s beveiligd zijn tegen mogelijke aanvallen. Organisaties missen vaak de expertise en capaciteit om applicaties adequaat te monitoren. Daarnaast zijn zij onvoldoende in staat hun beveiligingsprotocol aan te passen om opkomende bedreigingen tegen te gaan. Verder moeten zij strikte richtlijnen volgen om personen te beschermen tegen de gevolgen van onvoldoende beveiliging (vergelijkbaar met wat de AVG).
Applicatiebeveiliging verhoogt de operationele efficiëntie, zorgt dat applicaties aan compliance-eisen voldoen, vermindert risico’s en verbetert het vertrouwen tussen een bedrijf en gebruikers. De reputatie van een onderneming is een kwetsbaar goed. Beveiligingsinbreuken en compliance-overtredingen tasten die reputatie ernstig aan. Ze maken potentiële gebruikers wantrouwig. Effectieve applicatiebeveiliging is een waardevolle investering.
5 beveiligingsrisico’s voor mobiele toestellen
De drastische toename van smartphones op de werkplek en in het dagelijks leven maakt ze tot het voornaamste doelwit voor hackers. Geen enkel computerapparaat is honderd procent veilig. Cybercriminelen blijven zoeken naar nieuwe manieren om kwetsbaarheden op mobiele apparaten uit te buiten. In 2017 is het aantal aanvallen op mobiele applicaties met 63 procent toegenomen. Om mobiele applicaties effectief tegen aanvallen te beschermen, is het interessant eerst de grootste bedreigingen in kaart te brengen.
- Onveilige wifi
Niet geverifieerde servers en onbeveiligde wifi-netwerken in kroegen, winkels en andere openbare ruimtes zijn het walhalla voor hackers. Ze vormen een van de grootste mobiele veiligheidsbedreigingen. Door een toename in het aantal smartphones op de werkplek proberen hackers toegang te krijgen tot bedrijven via mobiele kwetsbaarheden.
Ondanks waarschuwingen voor mogelijk schadelijke en niet geverifieerde servers, blijven gebruikers verbinding maken met onveilige netwerken. Cybercriminelen misbruiken deze onbeschermde netwerken om directe toegang te krijgen tot gevoelige gegevens op telefoons of in apps.
- Apps met schadelijke code
In 2017 hebben smartphone-gebruikers 197 miljard mobiele applicaties gedownload, waarbij aangetekend dat applicaties ook zijn te downloaden op andere plekken dan de Google Play of App Store. Dit wordt vaak door hackers misbruikt om via onbeveiligde apps toegang te krijgen tot data van gebruikers.
Zo werden bijvoorbeeld de toestellen van 1,3 miljoen Android-gebruikers geïnfecteerd door een mobiele-app-malware met de naam Gooligan. Hierdoor konden cybercriminelen gebruikersgegevens stelen. Hackers creëren namaak-apps en plaatsen deze op app-stores van derden. Vervolgens gebruiken ze – net als bij phishing – de schadelijke software om gegevens te stelen.
- Kwetsbaarheden van het besturingssysteem
Smartphonefabrikanten moeten de besturingssoftware continu updaten om in te spelen op technologische verbeteringen, nieuwe functies aan te bieden en de algehele systeemprestaties te verbeteren. Een smartphone-gebruiker krijgt regelmatig het advies om zijn besturingssystem te upgraden.
Softwareontwikkelaars monitoren nieuwe kwetsbaarheden en passen besturingssystemen aan om risico’s tegen te gaan. Gebruikers kunnen er echter voor kiezen om systeemupdates te negeren. Of misschien is hun apparaat niet langer compatibel met de nieuwste update. De beste bescherming tegen opkomende mobiele bedreigingen is om je besturingssysteem zo snel mogelijk te updaten en een nieuw toestel te nemen als het besturingssysteem niet langer compatibel is met nieuwe updates.
- Datalekken
Mobiele apps bewaren gegevens doogaans op externe servers. Vaak downloaden gebruikers apps en vullen ze meteen hun gegevens in om de applicatie te gebruiken, waarbij de machtigingen nauwelijks aandacht krijgen. Adverteerders verzamelen de gegevens om demografische kenmerken van de doelgroep te achterhalen. Maar cybercriminelen kunnen ook toegang krijgen tot servers en vertrouwelijke gegevens. Datalekken ontstaan door caching, onveilige opslag en browser-cookies.
- Cryptografie-problemen
Mobiele cryptografie is cruciaal voor de veiligheid en zorgt ervoor dat gegevens en applicaties veilig werken. iOS-software controleert of de applicatie digitaal ondertekend is vanuit een betrouwbare bron en decodeert vervolgens de app om deze uit te voeren. Android-software controleert simpelweg of de applicatie digitaal ondertekend is en verifieert niet automatisch de betrouwbaarheid van de bron. Dit maakt het extra belangrijk om applicaties van een officiële bron te downloaden.
Gevoelige data op een mobiel apparaat wordt vaak onbedoeld openbaar gemaakt door slechte, of ontbrekende cryptografie. Ontwikkelaars die te maken hebben met krappe deadlines of budgetten, maken soms gebruik van encryptie-algoritmes met al ontdekte kwetsbaarheden. Of ze gebruiken helemaal geen encryptie. Cybercriminelen kunnen deze kwetsbaarheden misbruiken of gegevens van een aangetast mobiel apparaat plunderen.
Apps worden dus van alle kanten aangevallen. Als jouw organisatie van plan is zelf applicaties te ontwikkelen en/of toe te passen, houd dan met al deze aanvalsdreigingen rekening.
In mijn volgende blog over applicatiebeveiliging geef ik tips over hoe je dit aanpakt.
