In het kort: Android is veilig, de gebruikers niet…
Laten we meteen vaststellen dat Android, als besturingssysteem, zeer veilig is. Het beschikt over meerdere beveiligingslagen om malware op afstand te houden en zaken die je gegevens of het systeem zelf in gevaar zouden kunnen brengen zijn alleen uitvoerbaar na je specifieke toestemming.
Maar Android is ook een open systeem en vertrouwt gebruikers en ontwikkelaars dat ze op de juiste manier ermee omgaan. Je kan, als je wilt, een hoop bevoegdheden beheren en zelfs toegang tot het hart van het systeem krijgen, door rooting toe te passen (rooting is toegang verschaffen tot het root-account van het apparaat, iets dat de fabrikant normaal niet toelaat. Bij een iPhone heet dit jailbreaking).
Het Android besturingssysteem probeert je te beschermen tegen jezelf, maar laat je desgewenst zelf bepalen wat je installeert (en waarvandaan, zoals van onbekende bronnen, buiten de beschermende grenzen van Google Play). Het systeem laat jou ook bepalen aan wie de bevoegdheden worden toegestaan.
Alle beveiligingsdeskundigen zullen je vertellen dat dit de deur openzet voor malware, omdat de zwakke link vaak de gebruiker zelf is. In feite, als we het over de veiligheid van Android hebben, het is niet Android dat onveilig is, maar wij als gebruikers maken het onveilig. Android geeft ons veel mogelijkheden om het systeem te beheren en het systeem beheren brengt grote verantwoordelijkheid met zich mee.
Lees ook het uitgebreide verhaal: zo werkt de beveiliging van Android
Het Android Veiligheids- Onderzoeksteam van Google
Voor wat betreft de veiligheid, heeft Android een eigen onderzoeksteam, maar ze rekent ook op gebruikers en onafhankelijke onderzoekers die elke lek rapporteren die ze in Android-producten vinden.
Hiervoor heeft Android dus een incentive programma opgezet om de rapportage van dergelijke lekken te belonen met bedragen die, afhankelijk van de ernst, kunnen oplopen tot 200.000 euro.
Android was wel de laatste van de grote tech bedrijven die zo’n regeling opzette (Microsoft had in 2013 haar eigen incentive programma opgezet voor de rapportage van bugs en werd zelfs vel gekritiseerd omdat ze er zolang mee had gewacht).
De hoogste beloning is 200.000 euro, voor degenen die kwetsbaarheden ontdekken in de componenten van de secure boot firmware (veilige opstart firmware) van Andorid. Voor gebreken die minder kritisch zijn daalt de beloning, via een reeks van steeds kleinere bedragen, naar een minimum bedrag van 25.000 euro.
We kunnen ons voorstellen dat de meeste Android-gebruikers blij zullen zijn te horen dat Google eindelijk een incentive programma heeft gelanceerd om de rapportage op grote schaal aan te moedigen van eventuele kwetsbaarheden.
Door veiligheidsonderzoekers te stimuleren om een mogelijke lek aan Google door te geven en niet aan de hackers (dit kan, triest genoeg, nog steeds lucratiever zijn), maakt Google haar producten veiliger voor iedereen.
Veiligheid is een van de hoekstenen van het Android besturingssysteem.
Zonder een vergelijking te willen maken met andere platformen, zorgt het systeem er goed voor dat processen niet te veel informatie vergaren, of te veel middelen gebruiken zonder toestemming, of toegang krijgen tot het systeem zonder voldoende bevoegdheden. En ook dat de gebruiker, over het algemeen, te allen tijde weet wat er zich achter het scherm afspeelt.
Simpel uitgedrukt, heeft Android meerdere beschermingslagen tegen de invloed van malware. En, sinds Google meer aandacht besteedt aan wat gebruikers op hun apparaten installeren, is het gebleken dat de verschijning van malware zeer beperkt is.
Om te worden geïnstalleerd, moet een applicatie eerst door Google Play, of door een waarschuwing die onbekende bronnen meldt (moet wel aan staan op je smartphone) en door de gebruiker die de installatie moet bevestigen.
De applicatie moet bovendien, voordat het geïnstalleerd kan worden (later meer hierover), door “Verify Apps” (verifieer applicaties), een beveiligingsfunctie van Google die de APK (Android Application Package) controleert, aan de hand van hun eigen malware database.
Vervolgens, wordt de applicatie ‘gesandboxed’ en beperkt tot de toegestane bevoegdheden en weer gecontroleerd door de Android beveiliging op het moment dat het programma wordt uitgevoerd.
”Naar schatting, minder dan 0,001 procent van de in Android geïnstalleerde applicaties zijn in staat om de multilagen bescherming van het systeem te ontduiken en schade aan te brengen aan de gebruikers.”
Adrian Ludwig, chef veiligheid bij Android
Verder wordt er gezegd dat, hoewel beveiligingsonderzoekers en zelfs het Department of Homeland Security een kleine herleving hebben gezien van Android malware, alleen Google heeft de tools om de werkelijke installatiegegevens te bekijken. En ze zien gewoon geen grote aanwezigheid van malware.
Patterson zegt verder het volgende: Google wilt het probleem oplossen dat de meeste onafhankelijke veiligheidsonderzoekers geen toegang hebben tot een platform, zoals die van Google, om te kunnen meten hoe vaak een applicatie met malware wordt geïnstalleerd.
Dit is een beetje zoals met onderzoekers van menselijke ziektes die niet beschikken over een CDC (Center for Disease Control and Prevention – Centrum voor ziektebestrijding en preventie) om de uitbraak van ziektes te kunnen meten en tegenmaatregelen te coördineren.
Hoewel beveiligingsonderzoekers zeer goed zijn in het vinden en bestrijden van malware, kan het bedreigingsniveau weleens overdreven worden omdat er geen betrouwbare gegevens aanwezig zijn. Gepubliceerde rapporten zijn vaak overdreven.
Dit wordt door Ludwig benadrukt als hij bekend maakt dat het aantal meest recente ontdekkingen van malware minder dan 1 geval per miljoen installaties betrof.
De gegevens van Google zullen natuurlijk ondersteunen dat ze, in de praktijk, geen malware zien. Google is hierbij nauw betrokken en ze zullen de best mogelijke gegevens kiezen en verzamelen om Android in een goed licht te kunnen plaatsen.
Dat wilt natuurlijk niet zeggen dat ze onjuiste of twijfelachtige gegevens gebruiken, maar we kunnen beter deze gegevens met een korreltje zout nemen. Helaas, is Google de enige die ons dit soort gegevens kan leveren.
Google verzamelt deze gegevens telkens als je een applicatie installeert. Je moet well de optie “Verify and Install” die op je telefoon verschijnt, gebruiken (sommige gebruikers zullen “Verify and Install” zien en andere “Package Installer” , afhankelijk van hun apparaat. De informatie wordt ook verzameld als je direct via Google Play installeert. Als je bovengenoemde opties niet gebruikt, lees verder waarom het verstandig is om het wel te doen.
Apps worden geverifieerd
De nieuwe beveiligingsmechanismen zijn ongeveer een jaar geleden opgetreden, toen nieuwe versies van Android verschenen met Verify Apps . Verify Apps komt in actie wanneer een applicatie wordt gedownload, vergelijkt de applicatie met de uitgebreide malware informatiedatabase, dat door Google wordt verzorgd en waarschuwt de gebruiker als de applicatie potentieel schadelijk kan zijn.
Verify Apps wordt ook aan oudere Android-versies toegevoegd, via een upgrade van de Google Play applicatie die gebruikt wordt om applicaties van de Google Store te downloaden. Controle en eventuele blokkering van applicaties is standaard ingeschakeld en deze beveiliging kan alleen worden omzeild als de gebruiker zelf kiest om deze uit te schakelen.
Wanneer je het zo bekijkt, lijkt alles fijn op de Android front. Hanteer je smartphone zoals gebruikelijk, installeer vanaf betrouwbare bronnen (ook bij sideloading, dus bij overdracht van gegevens tussen twee lokale apparaten en niet via Google Play) en blijf voorzichtig als je nieuwe software installeert. Dan is de kans dat malware op je Android apparaat terechtkomt erg klein.
Toch, is dit beeld niet helemaal volledig.
Als je goed tussen de lijnen leest, zijn er in het artikel, een paar punten die worden uitgelaten, maar die even belangrijk zijn om te weten. Een paar kanttekeningen die niet direct genoemd worden, maar gemakkelijk kunnen worden afgeleid.
Google kan geen malware tellen die hij niet kan zien
Alle gegevens zijn gebaseerd op installaties van software waarvan Google de informatie ontvangt via “Verify Apps”, beschikbaar in Google Play vanaf Android 2.3+. Als je “Verify Apps” niet gebruikt tijdens sideloading, of als je je applicaties van een andere bron krijgt, zoals de Amazon App Store) of je doet sideloading vanuit een derde partij) je wordt niet gecontroleerd en dus niet beschermd. Het is een grote beperking. Eigenlijk, betekent het dat Google niet alle malware ziet die Google zou kunnen zien.
Om het systeem te starten, is er een vrij significant, nog open probleem met “Verify Apps” die invloed heeft op veel smartphones. Google heeft het gerepareerd, maar de reparatie moet naar de gebruikers worden gebracht door providers en fabrikanten.
Dit vormt een heel ander onderdeel van het beveiligingsprobleem en is niet opgelost. Om dit probleem te omzeilen, zijn ze bij Google druk bezig om het Android besturingssysteem modulair te maken en, gelukkig, zien we verbeteringen in Android 4.4 Kit Kat.
Android heeft wel een verdediging, maar om zichzelf te beschermen, niet je gegevens!
Waarschijnlijk is dit het grootste, gapend gat dat niet wordt behandeld in zowel het artikel als in het commentaar dat daarop volgt. Het is zinvol wanneer een applicatie het potentieel heeft om op een of andere manier invloed te hebben op het Android besturingssysteem.
Maar wanneer een applicatie niet geïnteresseerd is in de controle van je apparaat, of is geen rootkit, zal de multilagen bescherming je alleen beschermen tot het punt waar je de malware installeert. Indien de malware ontworpen is om je gegevens, locatie, gebruik, contacten, email adressen of andere gegevens vast te leggen die zich op je apparaat bevinden, wordt daar niets aan gedaan (eerlijk gezegd, ook beveiligingsbedrijven pakken dit niet goed aan. Het is gewoon een zaak van “kijk goed wat je installeert”)
Geen installaties betekent niet per se geen malware
Dat Google geen malware installaties ziet binnen hun eigen bronnen is geweldig nieuws, maar het betekent niet dat er geen malware aanwezig is en ook niet dat er geen bedreiging is. Het betekent dat de mythe van overal geïnfecteerde toestellen zwaar overtrokken is, maar geen gebruiker zou zich op zijn gemak moeten voelen.
Veel bescherming van Android wordt soms snel omzeild door de gebruiker zelf, vaak met een paar taps.
Het eerste wat veel Android-gebruikers doen is de waarschuwing “unauthorized sources” (onbevoegde bronnen) uitschakelen, om software te kunnen sideloaden vanaf een backup op een andere schijf, of installeren vanuit andere websites en andere bronnen.
Wil je de Groovescark applicatie downloaden? Je zet de waarschuwing uit. Ben je van plan om software uit je oude telefoon te installeren, die niet meer beschikbaar is? Je zet de waarschuwing uit. Wil je je smartphone rooten, of een compleet nieuw ROM installeren?
Dat zou je waarschijnlijk onzichtbaar kunnen maken voor Google. Het zijn ervaren gebruikers en beginners, die geen aandacht besteden aan bevoegdheden en betrouwbaarheid van de bronnen, die voor een heel andere probleem zorgen, een probleem die in de praktijk ernstige gevolgen kan hebben. In alle gevallen worden vijf beschermingslagen van de zeven, op zo’n manier, direct omzeild.
Sinds Chris Di Bona in 2011 de mobiele antivirus bedrijven opvallend betichte als “charlatans en oplichters” die scareware proberen te verkopen en “op je angst spelen om waardeloze beschermingssoftware aan jou te verkopen”, is er veel veranderd.
Het is nog steeds een feit dat gesprekken over de mobiele beveiliging vaak vervallen in angsten, onzekerheden en twijfels, maar het is nu veel moeilijker dan toen om het probleem te negeren.
Hoe kan je je dan beschermen?
Uiteindelijk de echte reden die het moeilijk maakt om malware op afstand te houden is omdat de gebruiker zelf vertegenwoordigt en altijd heeft gedaan, de zwakke link in de beveiligingsketen.
Hierin is Android niet de enige want elke platform, mobiel of desktop, heeft hetzelfde probleem. Dat je mobiele omgeving afgesloten is of open, maakt geen verschil.
Als iemand op installeer klikt, is het helemaal over. Daarom is het zo belangrijk dat je leert inzien of een Android-applicatie malware is voordat ze geïnstalleerd wordt.
Zet je sensoren op scherp en lees de reviews in de App Stores. De aanwezige beoordelingen geven niet goed aan hoe de kwaliteit van een applicatie is, maar, over het algemeen, heb je gauw in de gaten of een applicatie doet wat ze moet en of er klachten zijn over een vreemd gedrag of dodgy permissions (onbetrouwbare bevoegdheden).
Kijk ook goed naar de bevoegdheden die een applicatie vraagt voor de installatie. Let op en vraag je af of ze enigszins redelijk zijn voor de aangeboden functies. Check ook andere applicaties van dezelfde ontwikkelaar en zoek online naar recensies gepubliceerd door betrouwbare bronnen.
Als je nog een werkende, oude Android telefoon bezit, probeer de applicaties eerst daarop, voordat je het op je huidige apparaat, met al je gegevens, installeert.
Installeer een beveiligingsprogramma op je phone
Tot slot, overweeg serieus de installatie van mobiele beveiligingssoftware. Er is een tijd geweest dat het moeilijk was om er eentje aan te bevelen, maar nu bieden de meeste tools extra functies die de moeite waard zijn.
De beste opties kunnen, naast het actief scannen, ook malware blokkeren uit bronnen van derden en van sideloads (toch een mooie extra laag van bescherming voor degenen onder ons die niet allen via Google Play hun software downloaden).
Ze kunnen bovendien helpen met het lokaliseren en op afstand wissen van een verloren apparaat, automatisch backups maken van je gegevens en nog meer.
Verder, ook een pluspunt, zijn de dagen eindelijk voorbij toen een antivirus op je Android telefoon een sloom apparaat betekende of een snel leeglopende batterij. De betere applicaties zullen de snelheid van je smartphone echt niet vertragen.
Het debat over mobiele beveiliging is nog altijd net zo ver als het debat over de desktop beveiliging. Om heerlijk te zijn, moeten we toegeven dat mobiele bedreigingen overdreven zijn en overmatig gepubliceerd.
Het is eerlijk om te kunnen zeggen dat de overgrote meerderheid van Android-gebruikers die hun applicaties downloaden vanuit goede bekende bronnen en problemen niet opzoeken, zullen nooit met malware te maken hebben.
Net als bij desktopcomputers, je eerste lijn van verdediging moet bestaan uit intelligent gebruik, goede download- en installatiegewoontes en gezond verstand.
Verder adviseren we de aanschaf van een goede beveiligingstool voor Android die voor de rest kan zorgen, zoals scannen voor malware wanneer je dat wenst en je laten profiteren van alle extra functies en bescherming die geboden worden.