Is het al lastig om de ouderwetse pc regelmatig te patchen, mobiele apparaten zijn nog lastiger, omdat het vaak niet zo maar kan. Veel mensen patchen hun mobiele apparatuur zelfs nooit. Toch is mobiel patch management heel belangrijk, zeggen de Computable-experts.
Mobiele apparaten zijn veel online en kennen dezelfde kwetsbaarheden als alle andere ict-apparatuur en software. ‘Ze hebben dezelfde mogelijkheden, rekenkracht en netwerkverbindingen als volwaardige computers. Hierdoor wordt mobiele apparatuur steeds meer voor diverse taken tegelijkertijd gebruikt en vrijwel altijd zowel voor privé als zakelijke doeleinden’, zegt security consultant Erwin van der Zwan van QDMsecurity. Bovendien bevatten mobiele devices volgens Van der Zwan vaak een schat aan informatie, waaronder opgeslagen pin-codes en wachtwoorden of worden ze gebruikt als toegangs-token voor mobiel bankieren en telewerken. ‘Terwijl niemand ze beheert, patcht of in de gaten houdt of ze goed werken. Een zegen dus voor cybercriminelen’, zegt hij.
Beveiligingslek
Volgens security evangelist voor G Data Security Labs Eddy Willems creëert het gebrek aan een goede patchmanagement-strategie van Google en zijn partners zelfs grote kansen voor malware-schrijvers. ‘Zodra Google een patch beschikbaar stelt, zijn alle malwareschrijvers geïnformeerd over het bijbehorende beveiligingslek. Omdat hardwarefabrikanten en verschillende telecomaanbieders erop staan om het Android-besturingssysteem naar hun eigen smaak te personaliseren, hebben zij vaak veel tijd nodig om de patches geschikt te maken voor hun eigen systemen, waardoor de eindgebruiker pas na maanden de gelegenheid heeft om de patch te installeren. In deze periode, hebben malwareschrijvers ruim de tijd om malware te ontwikkelen om het inmiddels bekende lek uit te buiten’, legt hij uit.
Fabrikanten kunnen volgens Willems de personificatie van Android dus beter achterwege laten, of in ieder geval zodanig versoberen, zodat de officiële patches van Google één op één kunnen worden doorgegeven aan de eindgebruiker. ‘Er zouden afspraken moeten worden gemaakt over de maximale tijdspanne die er tussen de release vanuit Google is en die van de fabrikanten naar de eindgebruiker. Verder zouden fabrikanten hun klanten met een ouder en niet meer te updaten toestel moeten informeren over beveiligingsrisico’s die zij lopen. Ook kunnen zij een beveiligingssuite aanbevelen die de smartphone op een andere manier kan beschermen tegen aanvallen’, zegt hij.
Impact
Want slecht patchmanagement betekent volgens managing director Steven Dondorp van Northwave een continuïteitsbedreiging voor een onderneming. ‘Patches dichten de actuele kwetsbaarheden in de beveiliging en corrigeren fouten om verstoring van processen te voorkomen. Daarnaast brengen patches de business en mobiele gebruikers nieuwe functies. Ongepatchte systemen maken netwerken kwetsbaar voor onder andere aanvallen en lekken van data. Maar het management is zich niet altijd bewust van de impact op de business, de verantwoordelijkheid en aansprakelijkheid als een belangrijk element voor de naleving van regelgeving en compliance’, zegt hij.
Het groeiende aantal mobiele gebruikers maken handhaving van de veiligheid en de kritische toegang tot ict-diensten op afstand volgens Dondorp complexer. ‘De apparatuur van deze gebruikers kan letterlijk de zwakste schakel vormen als deze niet voldoet aan het bijbehorende patchniveau. Want de verhouding tussen houderschap en eigenaarschap vormt bij mobiele apparatuur een lastige scheidslijn’, zegt hij. ‘Daarnaast hebben mobiele gebruikers vaak geen boodschap aan vertraagde verbindingen of patches die op de achtergrond worden geladen en een reboot vereisen. Prioritering en een manier definiëren van de wijze van patchen voor de mobiele devices is dus een belangrijk aspect binnen mobility.’
Beste is om een niet aangepast Android systeem te hebben zodat updates and upgrades direct bij beschikbaarkomen geinstalleerd kunnen worden.
Naast kwetsbaarheden speelt ook dat allerlei apps permissies kennen. Vele van deze permissies zijn van discutabele aard. Een app om je permissies te kunnen beheren bestaan niet voor niet-gerote android systemen. Er zijn alleen viewers waarin je kunt zien wat je aan privacy hebt opgegeven. De meeste gebruikers hebben hier totaal geen weet van.
Feitelijk onacceptabel dat Google dit laat gebeuren.
Bij de meeste leveranciers zit er een schil om Android heen die ze zelf doen, doorlooptijd voor een upgrade als die al komt van 3 maanden en veel meer…
Is dit artikel niet een pleidooi tegen BYOD ?
Waarmee ik overigens Android tablets en aanverwante speeltjes niet uit het bedrijfsleven wil weren, maar deze gewoon door de werkgever laten aanbieden en onderhouden, hetgeen dus inhoud dat de werknemer het ding niet van eigen toepassingen kan/mag voorzien.
Zou al een hoop uitmaken lijkt me.
Ik ben zelf overigens altijd als de dood dat ik mijn inmiddels acht jaar oude laptop kwijtraak.
Ik laat het ding nooit in de auto liggen en laat ehm nergens zo maar achter.
Het apparaat is vervangbaar maar alle aantekeningen, code voorbeeldjes, ssl-keys en dat soort gereutel moet niet zo maar in handen van een vreemde vallen.
Ik kijk uit naar de aanschaf van een nieuw apparaat.. dit maal welicht de boel encrypten 😉
En nóg een reden om Android niet te gebruiken, maar om voor een iOS-device te kiezen.
@Ruud Ravenhorst: Reden? Let op: geen eigen securitysignatuur mogelijk, sleutels op de Apple omgeving, (waar wonen die ook alweer?) valt niet goed te keuren door NBV…. Net zomin overigens als de nieuwe Windows8 Phone, deze ontbeert zelfs de mogelijkheid van VPN cliënt……
BlackBerry 10? Goedgekeurd door BSI maar….toekomst RIM????
Dus toch maar Androïd en een hardwarebased (MicroSDcard) oplossing bouwen zodat je Voice en data veilig kunt gebruiken? (Wordt in NL hard aan gewerkt)
Dan nog een tip voor ALLE smartphonegebruikers: Laat je smartphone niet beslissen wanneer hij verbinding maakt met een vertrouwd netwerk, maakt je zeer kwetsbaar voor Man-in-the-middle attacks zonder dat je er ook maar iets van merkt. Beetje vreemd als je op een terrasje op het Plein in Den Haag zit en je telefoon besluit een relatie aan te gaan met je WiFi thuisnetwerk terwijl je in Helmond woont……