<b>Altijd online? Altijd onveilig
< Veel mensen hebben hun computer goed beveiligd, maar beseffen niet
dat ook hun telefoon gehackt kan worden.Marc Hijink
‘NEE!” ROEPT de erva-
ren Android-hacker uit. “Ik zou zelf mijn
mobiele tele-
foon nooit voor internetbankieren gebruiken.” De hacker – hij wil liever
niet met zijn naam in de krant – ban-
kiert alleen op zijn eigen pc, waar hij de webbrowser extra afschermt te-
gen cybercriminelen. Zulke opties heeft een smartphone niet. De com-
puter thuis is doorgaans beter bevei-
ligd.Het is moeilijk om niet voor de ver-
leidingen van een smartphone te val-
len: de rekenkracht van een volwaar-
dige computer, verpakt in een veder-
lichte gadget. Bijna de helft van de Nederlanders die z’n telefoonabon-
nement verlengt kiest voor zo’n ap-
paraat, met toegang tot talloze pro-
gramma’s (apps) en de mogelijkheid om vrijwel altijd online te zijn.
Maar beveiligingsbedrijf Syman-
tec waarschuwde vorige maand dat alle ingrediënten aanwezig zijn voor
grootschalig misbruik. ‘Er zijn zo-
veel smartphones in omloop dat cy-
bercriminelen hun aandacht op deze toestellen richten. Deapparaten wer-
ken met geavanceerde besturingssys-
temen die onvermijdbare kwetsbaar-
heden hebben.’ In 2010 telde Syman-
tec 163 serieuze lekken in smart-
phones. Het aantal applicaties met kwaadaardige code groeit. Google
verwijderde in maart bijvoorbeeld 52 verdachte Android-apps. Sommige
software was al 50.000 tot 200.000 keer gedownload.
Symantec verbaast zich erover dat cybercriminelen zich nog niet massa-
ler op smartphones storten. Het aan-
tal potentiële slachtoffers is groot: volgens schattingen worden er dit
jaar 375 miljoen smartphones en 50 miljoen tablet pc’s verkocht – meer
dan gewone computers. De twee ty-
pes besturingssystemen die in het oog springen zijn iOS, van de Apple
iPhone en iPad, en Google Android. Van de laatste worden elke dag ruim
350.000 toestellen verkocht. De meeste smartphonegebruikers voelen zich veilig. De eerste generatie slimme telefoons werd immers slechts sporadisch aangevallen door hackers. Het heeft ook een tijd ge-
duurd voordat mensen begrepen dat een computer beveiligd moet wor-
den. De I love you-worm die in 2000 miljoenen computers en servers plat-
legde, maakte dat goed duidelijk. Mensen kregen een mailtje met
‘iloffeffioU’ in het onderwerp; als ze op een link in het bericht klikten, ver-
anderde de worm bestanden op de computer en kopieerde hij zichzelf
naar alle contacten in hun emailpro-
gramma. De economische schade be-
droeg 5,5 miljard dollar. Het kostte Microsoft jaren om zijn software be-
ter te wapenen. Cybercriminelen speuren continu naar kwetsbaarheden in software om toegang te krijgen tot een computer. Na een geslaagde inbraak houden ze zich op de achtergrond. Dan maken ze winst met het stiekem versturen vanspam,het plunderen vanbankre-
keningen en doorverkopen van cre-
ditcardgegevens en persoonlijke da-
ta. De smartphone biedt nog meer ‘verdienmodellen’ dan de pc. Tele-
foons kunnen, zonder dat de gebrui-
ker er erg in heeft, naar dure num-
mers bellen of ongevraagd sms’jes versturen. Ook worden telefoons
vaak gebruikt als identificatiemid-
del, ter verificatie van elektronische betalingen of toegang tot beveiligde
b e d r ij f s n e t w e r k e n . In-app betalingen – geautomati-
seerde aanschaf binnen een pro-
gramma – vormen een ander risico. Eén klik is voldoende om iets te ko-
pen, zodat een cybercrimineel men-
sen simpel tot ongewenste uitgaven kan dwingen. Ook gevoelige gege-
vens worden vaak onveilig be-
waard. Zoals de Android-app van de Amerikaanse bank Wells Fargo: ge-
bruikersnaam, wachtwoord en het bankrekeningnummer werd opge-
slagen in leesbare tekstbestanden opde telefoon. Andere banken hebben
trouwens wel voorzorgsmaatregelen tegen misbruik ingebouwd. De Ra-
bobank-app vraagt voor betalingen naar onbekende rekeningnummers
een wachtwoord dat via een ander ap-
paraat, de random reader, moet wor-
den aangemaakt. Een Android hacken Android is het snelst groeiende mo-
biele besturingssyteem en daarom het meest in trek bij hackers encyber-
criminelen. Het is een bijna volledig open platform gebouwd op een Li-
nux-kern: de code is bekend, en Google stelt de winkel ook open voor
alle ontwikkelaars. Daarom is het niet moeilijk om kwaadwillende
software (‘m a l wa r e ’) te verspreiden:Google controleert apps alleen ach-
teraf. „Third party apps die je downlo-
adt uit de Android Market of zelf in-
stalleert zijn de meest gevoelige plek-
ken”, legt de Android-hacker uit. De malware wordt verpakt als een spel-
letje of een social networking app.De hacker heeft niet de indruk dat Goog-
le grondig controleert: “Het gros van de mailware wordt gesignaleerd
door andere partijen, zoals Android Po l i c e , waarna Google de apps in kwestie verwijdert.”
Veel apps vragen bij het installeren om veel meer rechten dan ze strikt
nodig hebben. Bijvoorbeeld een spel-
letje dat toegang wil tot je adressen-
boek. Gebruikers geven vaak klakke-
loos toestemming, met het risico dat ze hun persoonlijke data prijsgeven
aan mensen die erkwaad mee willen. De Android-hacker: “Daar werkt de
beste beveiliging niet tegen.”
Hoewel de eigenaar van een An-
droid-toestel normaal gesproken in-
logt op het zogeheten userniveau met beperkte rechten, kiezen som-
migen ervoor om administratierech-
ten te verkrijgen (in Linux-termen:inloggen als root, ook wel jailbreaking
genoemd). Dat stelt ze in staat om zelf alternatieve software op hun
smartphone te installeren. Met de bijbehorende risico’s: het illegale cir-
cuit bevat veel malware. Aande ande-
re kant kun je met root-toegang ook meteen de veiligheidsupdates ge-
bruiken zodra Google die via inter-
net beschikbaar stelt. Andere gebrui-
kers moeten wachten tot hun tele-
comprovider de update doorstuurt. Voor Android zijn al wel antivirus-
systemen op de markt. Kaspersky Mobility Security 9 bijvoorbeeld
(6,71 euro in de Android Market) dat bescherming belooft tegen malware
en ongewenste telefoontjes en sms’jes. Antivirussoftware biedt wei-
nig bescherming de allernieuwste lekken, de zogeheten zero day exploits
. Wel kun je gegevens met Kas-
persky versleutelen, prettig als de te-
lefoon in handen komt van een cri-
mineel. In dat soort gevallen is de te-
lefoon op afstand te wissen (remote wipe), op dezelfde manier zoals dat bij een iPhone of een BlackBerry kan. Als de ‘vinder’ van het toestel echter met-
een de simkaart verwijdert, werkt zo’n remote wipe niet.
De iPhone misbruiken Voor iOS, het besturingssysteem van
de iPhone en iPad, is amper veilig-
heidssoftware in omloop. iOS is een mobiele variant van OS X, het bestu-
ringssysteem van Apple en de com-
putermaker profileert zich graag als een veilig alternatief ten opzichte
van de concurrenten. In tegenstel-
ling tot bij Android moet de software in de App Store van Apple eerst goed-
gekeurd worden door Apple. Maar dat wil niet zeggen dat de iPhone on-
kwetsbaar is. Met name de webbrow-
ser, gebaseerd op dezelfde Webkit-
technologie die in de Android-brow-
ser zit, is gevoelig.
Abonneren op:
Posts (Atom)