De beveiliging van mobiele besturingssystemen ligt op het niveau van Windows 95. Geïnstalleerde malware heeft ongehinderd toegang tot applicatiebestanden. Gegevens op geheugenkaarten zijn bovendien meestal niet versleuteld.
Dat steeds meer werknemers mailprogramma's en webbrowsers gaan gebruiken op hun smartphone, kan voor serieuze beveiligingsproblemen gaan zorgen. Dat zegt Toralv Dirro, beveiligingsstrateeg bij McAfee voor de regio Europa, Midden-Oosten en Afrika (EMEA).
Dirro: "Het niveau van beveiliging van mobiele besturingssystemen is erg vlak, vergelijkbaar met bijvoorbeeld Windows 95. Er is geen beveiliging: elke applicatie kan toegang krijgen tot elke andere applicatie. Ze kunnen gewoon elkaars bestanden lezen. Dat probleem geldt voor vrijwel elk mobiel besturingssysteem. Dus als je erin slaagt malware op een smartphone te installeren, bijvoorbeeld via de browser, dan is er volop ruimte voor aanvallen."
Duur servicenummer bellen
Criminelen kunnen op allerlei manieren misbruik maken van deze inherent onveilige situatie. "Als je erin slaagt de telefoon over te nemen, dan kun je rechtstreeks schade toebrengen aan de eigenaar door zijn telefoon bijvoorbeeld jouw extreem dure servicenummer te laten bellen."
De data op geheugenkaarten is bovendien in veel gevallen niet versleuteld. "Dus als je je smartphone verliest, kan een ander gewoon de geheugenkaart eruit halen en die lezen met de kaartlezer van zijn computer. En omdat steeds meer mensen hun mail lezen op hun smartphone, bevinden je bedrijfsgeheimen zich ook op je telefoon."
Symbian
Volgens Dirro zijn alle mobiele platformen – Windows Mobile, iPhone, Android, BlackBerry OS en Symbian – allemaal ongeveer even kwetsbaar. "Voor sommige is het beveiligingsprobleem groter dan andere, maar de beveiliging van elk van die platformen kan gekraakt worden."
"Neem Symbian. De oudste versies van Symbian zijn erg veilig, omdat je er niets op kunt installeren. Andere Symbianplatformen hebben een vlak beveiligingsmodel. Weer andere versies hebben dat probleem minder. Hoe dan ook: het zou niet eerlijk zijn te zeggen dat het probleem alleen bij Symbian ligt."
"Ook voor de iPhone zijn er al heel wat beveiligingsgerelateerde patches uitgebracht. Sommige zijn ook misbruikt, bijvoorbeeld om de simlock te verwijderen. Maar opnieuw: het probleem blijft zeker niet beperkt tot de iPhone."
Internetbankieren
In ontwikkelingslanden spelen volgens de beveiligingsexpert nog grotere problemen. "Smartphones beginnen computers te verdringen in sommige voormalige ontwikkelingslanden, waar geen echte internetinfrastructuur aanwezig is. Zoals bijvoorbeeld Zuid- Afrika: dat is een behoorlijk ontwikkeld land, maar ze hebben geen volledige internetinfrastructuur. Het mobiele telefoonnetwerk is er echter veel uitgebreider dan in Europa. De banken zijn daarom van plan om smartphones in te zetten voor online bankieren."
Mobile devices krijgen steeds meer functionaliteiten, die moeten werken op hardware die niet zoveel verwerkingskracht heeft als bijvoorbeeld een PC. Het resultaat hiervan is dat security het moet afleggen tegen functionaliteit. Ook is het gebruik van deze devices relatief nieuw, waardoor het lastig is om (toekomstige) riscio’s te onderkennen. Ik ben bang dat de beveiliging van deze devices pas verbeterd gaat worden als er op grote schaal security incidenten hebben plaats gevonden, waardoor de consument meer security gaat eisen.
Het klopt niet dat op Android gebaseerde telefoons een vlak beveiligingsmodel heeft.
Elke applicatie die toegang nodig heeft tot bijvoorbeeld het adresboek, de internetverbinding of de ingebouwde camera moet dat expliciet aangeven. Bij het installeren krijgt de gebruiker dan te zien wat een applicatie allemaal met zijn telefoon wil doen. De gebruiker moet dat goedkeuren voordat de applicatie ge?nstalleerd kan worden.
Ik geef toe dat zo’n beveiliging niet waterdicht is, want een applicatie die moet kunnen bellen krijgt daarvoor toestemming van de gebruiker. Als diezelfde applicatie dan ook ongewenst andere nummers gaat bellen kun je dat moeilijk voorkomen.
Wel maakt Android verschil tussen gewone nummers en alarm- en servicenummers. Voor het bellen van speciale nummers moet de applicatie ook extra rechten aanvragen.