Onze mobieltjes en tablets liggen volop onder vuur van cybercriminelen. Op 24 september geven Samsung, IBM en de AIVD hun visie op de (on)veiligheid van mobiele devices tijdens de "IBM Connect Deep Dives":http://www-05.ibm.com/nl/businessconnect/security.html. Maar wat is er precies aan de hand op dit vlak?
Het kon natuurlijk niet uitblijven: ‘mobile’ is sinds een paar jaar aan een enorme groei bezig. Steeds meer consumenten kijken als eerste op hun mobieltje voor hun e-mail en hun nieuwsvoorziening. Bovendien betalen ze er steeds vaker mee. Het wekt dus geen verbazing dat de cybermisdaad zich ook op mobiele platforms is gaan richten.
Onze research tak, IBM X-Force Research en Development, bestaande uit internationale security experts en analisten die veiligheidskwesties onderzoeken, brengt elk kwartaal verslag uit van nieuwe trends op IT security- gebied. Eerder dit jaar besteedden zij uitgebreid aandacht aan de ontwikkelingen van mobile security.
In de zomer van vorig jaar bleek dat de gevaren tot nu toe schromelijk onderschat werden. Toen bracht een nieuwe opsporingsmethodiek van CERT/CC in één keer duizenden kwetsbare Android-apps aan het licht. Dat was slecht nieuws voor de statistieken van het beveiligingsjaar 2014. Halverwege het jaar stevenden we al af op een nieuw record qua bedreigingen, maar met deze nieuwe ontdekkingen kwam het totaalaantal ontdekte beveiligingsproblemen uit op een veelvoud van het cijfer van 2013. Maar er was nog meer aan de hand.
Zwakke plekken in ontwikkelplatform
Met de veelheid aan besturingssystemen in verschillende versies is het voor ontwikkelaars prettig als ze hun mobiele apps cross-platform kunnen bouwen. Voor Android doen ze dat bijvoorbeeld met Apache Cordova. Het probleem is alleen: als een hacker daarin een lek vindt, bereikt hij meteen een grote groep gebruikers. Cordova is de basis voor zo’n 6 procent van alle Android-apps en voor 12 procent van de apps in gevoelige sectoren zoals de financiële en medische wereld.
In dit geval was IBM X-Force de hackers voor: in juli 2014 maakte het speciale security-onderzoeksteam van IBM bekend dat het een reeks zwakke plekken had gevonden in Apache Cordova. Nader onderzoek wees uit dat 91 procent van alle apps die met Cordova waren gebouwd, kwetsbaar waren. Tegelijk ging IBM de 17 belangrijkste thuisbankier-apps volgen die op Cordova zijn gebaseerd. Drie maanden later hadden 10 van de 17 apps hun gaten nog niet gedicht. Google bracht daarop een officiële waarschuwing uit, maar ook daaraan werd lang niet altijd gehoor gegeven. Een zorgwekkende trend, die grote gevolgen voor deze bedrijven en hun klanten kan hebben. Vaak liggen kosten ten grondslag aan het uitblijven van updates. Het is dan ook aan te bevelen om voor app-ontwikkeling een ontwikkel-framework te creëren waarin eigen app-updates niet afhankelijk zijn van updates aan software van derden.
Meer meldingen van kwetsbaarheden
De nieuwe mobiele wereld was ook verantwoordelijk voor de gigantische stijging in het aantal ontdekte kwetsbare plekken. Los van diverse mobiele platforms werden in 2014 bijna tienduizend nieuwe bedreigingen gedocumenteerd, verdeeld over ruim 2500 softwareleveranciers. Dat op zichzelf was al een toename van 9,8% ten opzichte van 2013. Maar dat aantal verdrievoudigde in één keer toen er een kwetsbare plek aan het licht kwam in de SSL-certificaten van vele duizenden Android-apps. Het enige dat nodig was voor de schrikbarende stijging was een nieuw test-tool van CERT/CC-onderzoeker Will Dormann. Door het tool los te laten in de appstore Google Play schoot het aantal meldingen van 9800 naar meer dan 30.000.
Dit alles roept natuurlijk de vraag op wat je kunt doen om je tegen dit malware geweld te wapenen. Bedenk dat mobile security, zeker voor bedrijfsleven en overheid, een breed sprectrum afdekt dat verder gaat dan enkel het mobiele toestel. Hoe regel je bijvoorbeeld mobiele toegang tot bedrijfsdata in, en hoe worden bedrijfsapps gedistribueerd naar mobiele gebruikers. Wel is het zo dat mobiele veiligheid vaak begint bij de smartphone of tablet. En hier zullen we tijdens IBM Connect Deep Dives uitgebreid op ingaan.
