Video: Deze chat-apps kunnen jou niet afluisteren (November 2024)
Andrew Hoog, CEO van ViaForensics, wist dat hij een aantal hoofden zou omdraaien met een sessie op RSAC 2014 getiteld "Waarom mobiel zou moeten stoppen met piekeren en leren om van de wortel te houden." Hoewel root een vies woord is op mobiele apparaten, is Hoog van mening dat ons vertrouwen in mobiele telefoons ongegrond is. Als we serieus willen omgaan met mobiele beveiliging, zegt Hoog dat de krachtige root-toegang beter toegankelijk moet zijn.
Race naar root
Een van de belangrijkste argumenten van Hoog is de 'race to root', zo genoemd omdat de bevoegdheden die worden verleend door root-toegang betekenen dat degene die het als eerste heeft wint. Vanuit deze bevoorrechte positie, zei Hoog, kun je alles en iedereen buiten sluiten. "Root, " zei Hoog, "geeft je absoluut alles."
In de praktijk betekent dit de mogelijkheid om het besturingssysteem te wijzigen, software te installeren, uit sandbox-omgevingen te breken, bestandsrechten te negeren, enzovoort. Je kunt zien hoe dit waardevol kan zijn voor een aanvaller die zich op een bepaalde telefoon richt, en dat is precies het scenario dat Hoog aangaat.
Het probleem, zegt hij, is dat de beperkingen van mobiele apparaten een ongelijk slagveld creëren. "De mensen die zich op jou richten, kunnen wortel schieten", zei Hoog. "We hebben alle voordelen voor de tegenstander en we zijn buitengesloten."
De kwestie van verhoogde gebruikersrechten is vooral omstreden op iOS-apparaten omdat Apple actief werkt om te voorkomen dat mensen jailbreaking-telefoons krijgen en meer toegang krijgen. Gebruikers die dergelijke privileges willen hebben, zijn uitgesloten van updates en moeten lang wachten voordat nieuwe roottools beschikbaar zijn. "Als slechteriken wortel schieten, houden ze het", zei Hoog. "Of ze verkopen het voor een half miljoen dollar."
Wie moet vertrouwd worden?
Het smartphonemodel van de consument vereist in de ogen van Hoog weinig vertrouwen. "Omdat we geen root hebben op deze apparaten, moet je ze gewoon vertrouwen, " zei hij. Het idee is dat de mensen die besturingssystemen beheren hun best zullen doen en de ontwikkelaars zullen volgen.
Natuurlijk houdt dit geen rekening met malware, maar Hoog was ondubbelzinnig: "lekkende apps zijn groter dan malware." Volgens viaForensics vertoont 75 procent van alle iPhone-apps en 60 procent van Android-apps een soort risicovol gedrag. Nog verontrustender is dat 25 tot 30 procent van de mobiele apps gebruikersinformatie van de telefoon van gebruikers zuigt en naar elders stuurt - als het ware lekt.
Alleen naar toestemmingen kijken kan dit soort inzichten niet bieden, daarom is viaForensics gecreëerd via Protect. Dit is een gratis applicatie voor iPhone en Android die allerlei app-activiteit op je telefoon kan volgen. U kunt het gebruiken en een webinterface om meer inzicht te krijgen in het netwerkverkeer gegenereerd door apps, waar dat verkeer naartoe gaat en of het beveiligd is. Het zal je waarschijnlijk niet verbazen dat veel hiervan helemaal niet beveiligd is.
Er zijn ook rare anomalieën. Als voorbeeld, Hoog toonde verschillende verbindingen vanaf root-niveau toegang die het apparaat verlaten zonder codering van een standaard Android-telefoon. "Er zijn processen geïnstalleerd door, door Apple en door Google die privileges en toegang hebben tot uw apparaat en ze lekken de hele tijd", zei Hoog.
Geworteld in beveiliging
Door root-toegang op apparaten te openen, zei Hoog dat beveiligingsbedrijven meer konden doen om apparaten te beschermen. In een bedrijfsscenario suggereerde Hoog bijvoorbeeld dat gecontroleerde root-toegang bedrijven in staat zou kunnen stellen hun Android-apparaten beter te bewaken.
Hij zei ook dat Apple telefoons voor ontwikkelaars volledige rechten moet bieden, vergelijkbaar met Google. Hoog zei dat iOS-beveiliging niet alleen is achtergebleven vanwege beperkingen op het apparaat, maar omdat onderzoekers hun tijd moeten besteden aan het vinden van manieren om hun apparaten te rooten. "We moeten dit spel met Apple spelen en dan kunnen we niet ontdekken wat er aan de hand is, " zei hij.
Maar voor individuen is de kwestie moeilijker. Hoog zei dat hij persoonlijk bereid is de risico's van een geroot apparaat te accepteren. "Ik zal mezelf eigenlijk tien keer beter beschermen, omdat ik eigenlijk rechten heb op het apparaat, " zei hij. Maar ik denk niet dat de gemiddelde gebruiker zo slim is. Hoewel root-toegang grotere bevoegdheden aan beveiligings-apps kan verlenen, ken ik er maar één in de Android-app store: Editors 'Choice avast! Mobiele beveiliging en antivirus.
Ik geloof echt dat diensten zoals viaProtect veel waarde hebben, die veel verder gaan dan de bestaande machtigingen op Android en iOS. Hoog stelde voor dat gewapend met meer kennis, gebruikers eenvoudig een andere app uit de app store zouden kunnen downloaden die hun informatie niet lekt.
Dat is geen geweldige oplossing, maar het is veel, veel beter dan apps die in vertrouwde duisternis werken.
