Video: Officiële trailer De Beveiligers - een film van Anneloek Sollart (November 2024)
Tenzij u onlangs de telefoon of tablet hebt gekocht, is de kans groot dat uw Android-apparaat een verouderde versie van het besturingssysteem gebruikt, waardoor u wordt blootgesteld aan ernstige beveiligingsrisico's.
Uit de nieuwste gegevens van Google blijkt dat 44 procent van de Android-gebruikers nog steeds 'Gingerbread' gebruikt, of versies 2.3.3 tot 2.3.7, die twee jaar geleden werd uitgebracht. Gingerbread heeft een aantal beveiligingsproblemen die in latere versies zijn opgelost. De uitsplitsingsgegevens van het besturingssysteem zijn gebaseerd op statistieken verzameld van Android-apparaten die verbinding maken met Google Play van 22 februari tot 4 maart.
Volgens Google heeft slechts 16 procent van de Android-apparaten versie 4.1 of 4.2 van het mobiele besturingssysteem. Ook bekend als "Jelly Bean", werd de nieuwste Android-versie zes maanden geleden uitgebracht, maar een meerderheid van Android-gebruikers is niet in staat geweest om te upgraden naar het nieuwe besturingssysteem omdat het proces nauw wordt gecontroleerd door de providers.
"Het probleem met Android is dat de meeste mensen oude versies op hun telefoon hebben, " zei Collin Mulliner, een postdoctoraal onderzoeker bij de SECLAB aan de Northeastern University in Boston, tijdens een discussie over een mobiel beveiligingspanel tijdens de RSA-conferentie van vorige maand.
Tijdens onze SecurityWatch Summit afgelopen herfst merkte Dan Guido, CEO en mede-oprichter van Trail of Bits, op dat de meeste iOS-apparaten binnen enkele weken worden bijgewerkt, niet dagen, nadat Apple het nieuwe besturingssysteem heeft uitgebracht.
Mobiele providers Lag op updates
"Een van de belangrijkste dingen in softwarebeveiliging vandaag is de mogelijkheid om op afstand bij te werken, " zei Mulliner op het paneel. Terwijl gebruikers zelf de update van het besturingssysteem voor iPhones en iPads kunnen initiëren, beheersen mobiele providers het hele proces voor Android-apparaten. Op dit moment is hun collectieve record voor het pushen van updates voor gebruikers absoluut somber.
Het probleem is dat het open platform van Android apparaatfabrikanten en providers in staat stelt om het besturingssysteem aan te passen om extra software te bundelen en bepaalde configuratie-instellingen in te stellen. Telkens wanneer Google een update van het besturingssysteem uitbrengt, moeten zowel de leverancier als de transporteurs de wijzigingen testen met hun zelfgebouwde systemen voordat de nieuwste versie wordt uitgerold. De vervoerders beweren dat dit een langzaam proces is, maar veel beveiligingsexperts geloven dat vervoerders winst boven veiligheid stellen.
Sommige telefoons krijgen gewoon niet de nieuwste Android-update omdat ze worden afgebouwd of oudere modellen zijn, zei Chris Soghoian, een privacyonderzoeker en activist, eerder dit jaar op een ander evenement. Fabrikanten richten hun inspanningen op apparaten die momenteel te koop zijn en op de markt komen, en draadloze providers "geven slechts om de twee jaar om je" wanneer het gebruikerscontract moet worden verlengd, zei Soghoian. Een LG Android-smartphone heeft bijvoorbeeld zijn eerste OS-update 16 maanden lang niet gekregen, en veel telefoons krijgen zelfs die eerste update niet, laat staan een tweede.
Aangezien Google ongeveer om de zes maanden een nieuwe versie heeft uitgegeven, is het gemakkelijk om te zien hoe snel gebruikers verouderd kunnen raken.
Een drive-by aanval, waarbij de gebruiker wordt gecompromitteerd door alleen een kwaadwillende site te bezoeken, is niet de grootste bedreiging voor Android-gebruikers, Charlie Miller, een onderzoeker bekend om zijn werk op iOS- en Android-beveiliging, zei tijdens hetzelfde panel op de RSA-conferentie.
"Mensen denken dat drive-by een grote bedreiging is, maar in het echte leven gebeuren ze gewoon niet, " zei Miller. Als het gaat om Android, is het grootste risico voor gebruikers het feit dat hun apparaten verouderde en niet-gepatchte versies van het besturingssysteem hebben, zei hij. De nieuwste versies van Android hebben beveiligingspatches en verbeterde exploitbeperking.
Cybercriminelen weten dat gebruikers kwetsbare besturingssystemen gebruiken. Het enige dat criminelen hoeven te doen, is een kwaadaardige app vrijgeven die misbruik maakt van een kwetsbaarheid in een oude versie van Android en een aanzienlijk deel van het gebruikersbestand raken.
Zoals Soghoian eerder al zei: "Je hebt geen zero-day nodig om de meeste Android-apparaten aan te vallen als consumenten 13 maanden oude software gebruiken."
Helaas zal deze situatie waarschijnlijk niet veranderen, tenzij providers de beveiliging serieus gaan nemen of Google de controle over het updateproces van de providers wegneemt. Het veiligste Android-apparaat dat er is, is de Nexus 4-smartphone van Google, omdat het bedrijf volledige controle heeft over de updates.
