Mobiele beveiligingsrisico’s vragen om een nieuwe manier van denken
Hoe beslissen smartphonefabrikanten welke beveiligingslekken wanneer in hun apparaten worden gedicht? De Amerikaanse Federal Trade Commission (FTC) en de Federal Communications Commission hebben een aantal fabrikanten van mobiele apparaten om opheldering gevraagd over deze issue. Ook de Nederlandse Consumentenbond eist dat fabrikanten transparanter communiceren over beveiligingsupdates. Onze eigen Test Aankoop gaat nog een stapje verder: men eist dat fabrikanten betere ondersteuning (lees: meer updates) gaan bieden. Hieruit blijkt wel dat updates een belangrijke rol spelen in de beveiliging van mobiele apparaten tegen cybercrime. G Data heeft dit punt ook al meermaals benadrukt.
Jaarlijks nieuwe high-end modellen
Veel smartphonefabrikanten brengen elk jaar een nieuw high-end model uit. Daarnaast verschijnt een grote hoeveelheid aan middelluxe en budget devices. Wanneer een gebruiker een toestel koopt, is niet duidelijk of, en zo ja: hoelang de smartphone of tablet wordt voorzien van belangrijke veiligheidsupdates. Hierbij spelen veel variabelen een rol, waaronder het beleid van de provider ten aanzien van het aanpassen van de update naar hun eigen versie van Android. Hierdoor ontstaan vertragingen bij de levering van updates naar de eindklant.
Google brengt regelmatig updates uit
Google geeft als ontwikkelaar van het Android-besturingssysteem het goede voorbeeld en publiceert maandelijks updates. Deze updates biedt Google aan alle smartphonefabrikanten aan. Deze dienen deze updates aan te passen voor hun eigen versie van Android en vervolgens naar de gebruikers te pushen. Helaas duurt dit proces vaak weken of maanden. Dit veroorzaakt een belangrijk gevaar: miljoenen apparaten blijven draaien met beveiligingslekken die algemeen bekend zijn en volop (kunnen) worden misbruikt door cybercriminelen.
[related_article id=”177605″]Daarnaast zijn er veel (vooral budget-)toestellen in omloop, die veelvuldig worden verkocht. Deze apparaten, waaronder veel goedkope tablets, draaien op een oude versie van Android en kunnen helemaal niet worden geüpdatet, omdat de hardware daar niet geschikt voor is. Hierdoor ontstaat de situatie dat er meer Androidgebruikers zijn die werken met een oude versie van Android, dan gebruikers die gebruik maken van de meest recente versie.Hier staat altijd een duidelijk en up-to-date overzicht van de enorme verscheidenheid aan Androidversies die wereldwijd in gebruik zijn. In mei 2016 worden tien verschillende versies van Android gebruikt. De meest gebruikte versies zijn Lollipop (uitgebracht op 12 november 2014) met een marktaandeel van 35,6% en KitKat (uitgebracht op 31 oktober 2013) met een marktaandeel van 32,5%. De nieuwste versie, Marshmallow, is al sinds 5 oktober 2015 uit en heeft een marktaandeel van slechts 7,5%. Dit toont aan hoe groot het updateprobleem van Androidapparaten is.
Onnodig risico voor gebruikers
Dit gevaar is onnodig en onacceptabel, vooral wanneer je denkt aan alle toepassingen waarvoor mobiele apparaten vandaag de dag dagelijks worden gebruikt, zowel op zakelijk als op privévlak. Een onderzoek van ING-DiBa toonde onlangs aan dat 47% van alle smartphones en tablets worden gebruikt voor bankieren en betalen. Maar ook voor bedrijven is het zeer belangrijk dat de mobiele apparaten die door hun medewerkers worden gebruikt voor zakelijke doeleinden met de laatste patches zijn uitgerust. Een open kwetsbaarheid die door aanvallers kan worden misbruikt kan een enorme economische schade tot gevolg hebben.
Er moet iets veranderen
Het is noodzakelijk dat fabrikanten en de ontwikkelaars van besturingssystemen beter gaan samenwerken. Processen en procedures moeten worden vastgelegd om veiligheidsupdates zo snel mogelijk bij alle gebruikers te krijgen. Cybercriminelen hebben mobiele apparaten al tijden in het vizier en ontwikkelen steeds geavanceerdere malware voor mobiele platformen. De snelle uitrol van beveiligingspatches is in het voordeel van ontwikkelaars, fabrikanten en bovenal, gebruikers.