Een golf van verontwaardiging overspoelde recentelijk het internet. De App Store van Apple moest worden opgeruimd toen onderzoekers van Palo Alto Networks ontdekten dat tientallen apps een frauduleuze code (Xcodeghost) bevatten. Die code zorgt ervoor dat iPhones en iPads een deel worden van een botnet dat gevoelige data steelt. De geïnfecteerde apps kunnen informatie over het toestel van een gebruiker doorsturen, of een nepalert verzenden dat wachtwoorden van iCloud kan stelen. Hoewel er geen gevoelige informatie zou verloren zijn gegaan, is de verspreiding van deze malware veelbetekenend, aangezien miljoenen gebruikers mogelijk geïmpacteerd zijn.
Apples App Store heeft een sterke reputatie op het vlak van beveiliging, dankzij de strenge controleprocessen. Maar hier schuilt het gevaar: de beveiligingsstrategie van Apple wordt beschouwd als zeer effectief, waardoor een vals gevoel van veiligheid het grootste dreigende gevaar vormt voor zowel de ontwikkelaars als voor het enorme aantal iPhone-gebruikers.
Dit onterechte gevoel van veiligheid is niet enkel kenmerkend voor het Apple-publiek. Het leeuwendeel van de mobiele gebruikers is zich onvoldoende bewust van de mobiele bedreigingen en is bijgevolg een reëel slachtoffer. Hackers zijn immers meedogenloos in het najagen van geld, wachtwoorden of andere gevoelige informatie die ze kunnen gebruiken voor malafide doeleinden.
Mobiele toestellen doorstonden nog steeds niet de hackingtests die desktopcomputers al moesten trotseren, maar toch blijft de gebruiker ook een zwak punt. Enkele cijfers bewijzen dat mobiele gebruikers ten prooi vallen aan een onterecht gevoel van veiligheid: 32 procent van de gebruikers geeft toe dat ze logininformatie opslaan op hun toestel, 58 procent van de werknemers bewaart gevoelige bedrijfsinformatie op hun mobiel en 60 procent van de mobiele malware mikt specifiek op financiële informatie die opgeslagen staat op een mobiele telefoon.
Heel kwetsbaar
Het mobiele platform biedt veel mogelijkheden, maar het is nog heel kwetsbaar. Sommige bedreigingen houden verband met de gebruiker, zoals authorisatie en authenticatie, terwijl andere mikken op de veiligheid van de applicatie zelf en de kwetsbaarheden in de beveiliging van de interface of het platform zoeken.
Het incident met de malware in de App Store brengt Apple misschien een beetje in verlegenheid, maar voor ons is het een aanmaning dat we samen verder moeten denken dan de twintig-jaar oude wachtwoordentechnologie. We moeten moderne authenticatie- en beveiligingstechnieken omarmen. Die zijn veel veiliger en trouwens ook veel gemakkelijker in gebruik dan traditionele wachtwoorden.
Intelligente beveilingsmechanismen zoals tweefactorauthenticatie en op risico gebaseerde fraudedetectiesystemen zijn twee belangrijke wapens om hackers te bestrijden. De keuze voor de juiste authenticatiemethode zal niet enkel afhangen van de waarde van de data, maar ook van een positieve gebruikservaring.
Als onze mobiele applicaties beter beveiligd zijn, lonen aanvallen als die van onlangs veel minder de moeite voor hackers.
Jan Valcke, president en coo bij Vasco Data Security
Er loopt nu een onderzoeksproject SERIOUS met funding vanuit het NWO met partners als Universiteit Twente, WODC, TNO en Centric om te kijken hoe we beschreven probleem zouden kunnen tegengaan. Het is inderdaad niet alleen maar techniek, ook het gedrag is belangrijk.
Zie: http://scs.ewi.utwente.nl/research/r_cybersecurity/SERIOUS/
Nog geen reacties van de apple-fans?
Je moet nooit overdreven vertrouwen hebben, en het is een interessante ‘attack vector’, maar er ontbreekt iets in het verhaal wat wel relevant is.
De gepatchte versie van XCode is verspreid in China en de apps die er mee gebouwd zijn zijn ook vooral Chinees en de miljoenen slachtoffers zijn dat ook. Ik heb geen idee waarom Chinese ontwikkelaars niet direct van Apple hun XCode downloaden (houdt de Chinese overheid dat wellicht tegen? dan hebben we het daaraan te danken) maar alle ontwikkelaars die gewoon van Apple hun XCode downloaden kunnen niet op deze wijze worden gehackt.