Is Android echt onveilig? We vroegen het aan de deskundigen
Android is het meest gebruikte mobiele platform ter wereld. Meer dan 1,4 miljard mensen gebruiken elke dag een Android-smartphone of -tablet, en het feit dat het open source is en gratis te gebruiken door fabrikanten, is een groot deel van die populariteit. Maar openheid is een tweesnijdend zwaard: het heeft geleid tot een situatie waarin veel Android-telefoons niet regelmatig worden bijgewerkt met de nieuwste beveiligingspatches.
Het spook van malware doemt op Android de afgelopen jaren, waarbij onderzoekers zeer opvallende kwetsbaarheden hebben blootgelegd, zoals Plankenkoorts. Het negatieve nieuws komt zo dik en snel dat het moeilijk kan zijn om het in perspectief te plaatsen. Vorige week berichtten we er nog over FalseGuide-malware, wat tot 1,8 miljoen mensen kan hebben getroffen Android gebruikers.
Als je alleen al de krantenkoppen haalt, zou het je vergeven zijn als je er twijfels over hebt Android veiligheid, maar waar ligt de grens tussen hyperbool en echt risico? Is het platform echt onveilig?
Verwant
Wat is UFS 3.0-opslag? We vroegen een expert naar de SSD voor telefoons
“Nee, het is niet onzeker. Ik denk wel dat we een perceptieprobleem hebben, maar dat verschilt heel erg van het daadwerkelijke gebruikersrisico”, zegt Adrian Ludwig, directeur van Android Beveiliging, vertelde Digital Trends in een recent interview. “Het cryptografische werk dat we hebben gedaan, het sandboxen dat we hebben gedaan en veel van het werk om exploitatie moeilijker te maken, komt allemaal mooi samen.”
Er bestaat weinig twijfel over dat de meest recente versies van Android zijn veiliger dan hun voorgangers, maar het probleem is dat er zoveel zijn Android gebruikers voelen nooit het voordeel. Terugkijkend op 2016 in een blogpost, de Android Het beveiligingsteam gaf toe dat ongeveer de helft van de apparaten die eind 2016 in gebruik waren, al minstens twaalf maanden geen update hadden ontvangen.
“Vierentachtig procent van de telefoons is niet geüpgraded, wat betekent dat de meeste mobiele apparaten nog steeds gevaar lopen.”
“Up-to-date versies van Google Android kan als veilig worden beschouwd”, vertelde Maik Morgenstern, CEO van antivirusbeoordelingsorganisatie AV-Test, aan Digital Trends. “Maar vooral bij veel ouderen Android versies komen steeds meer kwetsbaarheden naar boven en veel leveranciers leveren geen updates voor hun apparaten. Momenteel zijn er ruim 800 kwetsbaarheden bekend.”
Als we kijken naar de officiële distributiecijfers voor Android vanaf april vinden we dat slechts 4,9 procent van Android apparaten draaien de nieuwste versies, Nougat 7.0 of 7.1. Dat is een teleurstellend klein deel van het totaal. Verder terugkijkend, Android 6.0 Marshmallow draait op 31,2 procent van de apparaten, Android 5.0 of 5.1, Lollipop, staat op 31 procent van de apparaten, en op een vijfde daarvan Android apparaten zijn nog steeds actief Android 4.4 KitKat. De meeste van deze apparaten draaien op oudere versies van Android Het is onwaarschijnlijk dat deze ooit zullen worden bijgewerkt.
“Vierentachtig procent van de telefoons is niet geüpgraded, wat betekent dat de meeste mobiele apparaten nog steeds gevaar lopen”, aldus Joshua J. Drake, vice-president van Platform Research and Exploitation bij Zimperium, vertelde Digital Trends.
Zimperium is een mobiel beveiligingsbedrijf; Mannetjeseend heeft de Stagefright-kwetsbaarheid ontdekt terug in 2015. Het had het potentieel om hackers controle te geven over een Android apparaat via kwaadaardige code in een audio- of videobestand – en volgens rapporten uit die tijd was tot 95 procent van de apparaten daarvoor kwetsbaar. Drake vertelde ons dat sommige apparaten vandaag de dag nog steeds kwetsbaar zijn.
Hoewel de potentiële schade beangstigend was, is het onduidelijk wat de impact is Android gebruikers waren.
“We zijn nu anderhalf jaar verder, bijna twee jaar geleden sinds we er voor het eerst achter kwamen, en we weten nog steeds niet of er daadwerkelijk iemand door getroffen is,” zei Ludwig.
Maar Drake is het daar niet mee eens.
Maik Morgenstern, CEO en technisch directeur van AV Test
“We weten dat er gerichte aanvallen waren waarbij gebruik werd gemaakt van kwetsbaarheden in libstagefright en mediaserver”, zei hij. “We weten dat het moeilijk is om iets negatiefs in het algemeen te bewijzen, en we respecteren de inspanningen van Google om hun platform beter te beveiligen, maar zonder een sensor op het apparaat kan niemand de risico- of dreigingsstatus van een apparaat kennen, vooral niet mobiele.”
Het probleem is dat het niet eenvoudig is om te bepalen of je met succes bent aangevallen. In de nasleep van de ontdekking van Stagefright richtte het beveiligingsbedrijf het bedrijf op Zimperium handsetalliantie om de communicatie tussen onderzoekers, mobiele netwerkoperators, ontwikkelaars van mobiele applicaties en leveranciers van apparaten te stimuleren.
“Onderzoekers moeten worden aangemoedigd om maandelijkse beveiligingsupdates te bekijken en deze kwetsbaarheden te misbruiken, om betere patches en een algeheel veiliger mobiele wereld te bevorderen”, aldus Drake.
Google heeft een aantal belangrijke stappen gezet om de beveiligingsrisico's te verminderen, door maandelijkse patches uit te brengen en elementen ervan op te splitsen Android om het gemakkelijker te maken om updates uit te brengen. Maar oudere versies van Android zijn achtergebleven.
De Android-fragmentatieprobleem is niet eenvoudig op te lossen. Het overtuigen van vervoerders en fabrikanten om hun Android apparaten is voor Google erg moeilijk gebleken. Het heeft de oppositie direct in de kaart gespeeld. Tim Cook van Apple verwees beroemd naar a ZDNet-artikel gerechtigd "Android fragmentatie die apparaten verandert in een giftige hel van kwetsbaarheden” op een dia op WWDC in 2014. Maar is iOS echt zoveel beter? En zo ja, waarom?
“Er bestaat de indruk dat iOS-beveiliging superieur is aan Android veiligheid, maar dat is niet noodzakelijk het geval”, zei Drake.
Omdat Android is open source, het is voor beveiligingsonderzoekers gemakkelijker om fouten te vinden en oplossingen voor te stellen. Het gesloten karakter van iOS maakt het voor onderzoekers moeilijker om te zien wat er aan de hand is, zei hij. Morgenstern is het eens met deze beoordeling, maar wijst op een belangrijk verschil waardoor malware een groter risico vormt Android.
“Totdat elke update alle apparaten bereikt, lopen we nog steeds risico.”
"Voor Android gebruikers is het eenvoudig om apps vanaf elke bron te installeren”, legt Morgenstern uit. “Dit feit maakt het gemakkelijk om kwaadaardige apps op het apparaat te krijgen. De manier waarop andere platforms hiermee omgaan is veel strenger, door alleen installaties van hun gesloten markten toe te staan.”
Android is een groot doelwit. Met zo’n groot gebruikersbestand en open source-code is het een aantrekkelijke prooi voor cybercriminelen. AV-Test registreert tot 30.000 nieuwe Android elke dag malwaremonsters. Dat is een beangstigend aantal, maar zorgelijk Android gebruikers actie kunnen ondernemen dramatisch verminderen de risico’s door vast te houden aan Google Play voor apps, apparaten te updaten zodra er patches beschikbaar komen, en te gebruiken Android-beveiligingsapps van derden.
Zowel Drake als Morgenstern waarschuwen ook voor het verbinden met onbekende netwerken en Wi-Fi-hotspots, tenminste zonder gebruik te maken van fatsoenlijke Android VPN-apps.
“Uit onze gegevens blijkt dat de meeste aanvallen netwerkgebonden zijn en geen onderscheid maken tussen iOS, Android, of iets anders”, legt Drake uit. “Zodra een aanvaller stilletjes je netwerkverkeer heeft onderschept en omgeleid, is elk apparaat gevaarlijk kwetsbaar invasieve surveillance, gepersonaliseerde speervissen, het leveren van platformexploitatie of een aantal andere vervolgaanvallen.
Android de veiligheid verbetert. We kunnen wijzen op snellere updates, apparaatversleuteling, toestemmingsverzoeken en app-sandboxing om te isoleren apps van elkaar, beperkte toegang tot bronnen en automatisch scannen op malware in Play Winkel. Maar er is uiteraard nog werk aan de winkel.
“Vorig jaar betaalden we bijna een miljoen dollar aan onderzoekers”, zei Ludwig van Google, toen hem werd gevraagd naar het belang van onderzoek door derden. Maar ondanks dit onderzoeksprogramma vindt Drake dat er meer nodig is.
"Verbeteren Android Op het gebied van beveiliging in het algemeen is het absoluut noodzakelijk dat Google nauwer samenwerkt met beveiligingsleveranciers”, zei hij. “Apple en andere leveranciers hebben hun samenwerking vergroot, maar Google heeft deze verminderd. De filosofie van Google is dat ze alles zelf kunnen doen, maar dat schaadt alleen hun gebruikers en komt helaas ten goede aan malware-auteurs.”
Uiteindelijk is de vraag van Android beveiliging kan te maken hebben met het apparaat dat u gebruikt. Als je een telefoon van twee of drie jaar oud hebt waarop een oudere versie draait Android en al maanden niet is bijgewerkt, heeft u reden tot bezorgdheid. Eigenaren van Google’s Pixel ontvangen daarentegen tijdig de nieuwste beveiligingsupdates, tenminste voor de komende paar jaar.
Het is moeilijk te zeggen hoe lang het zal duren voordat de meeste Android apparaten gebruiken Nougat, of een latere versie van Android, maar zelfs dan zal het trage tempo van updates van sommige fabrikanten en vervoerders een probleem blijven.
“Totdat elke update alle apparaten bereikt, lopen we nog steeds risico”, aldus Morgenstern.
Hier vindt u nog meer nuttig advies over hoe u veilig kunt blijven op uw computer Android telefoon in onze Android-beveiligingsgids.
Aanbevelingen van de redactie
Is straling van mobiele telefoons eigenlijk gevaarlijk? Wij vroegen het aan enkele deskundigen
