211service.com
Hoe Android-beveiliging zich opstapelt
De smartphones van vandaag hebben alle snelheid, opslag en netwerkconnectiviteit van desktopcomputers van een paar jaar geleden. Hierdoor zijn ze een schat aan persoonlijke informatie - en waarschijnlijk het volgende slagveld voor computerbeveiliging.

Patroonherkenning: De Android-aangedreven Nexus One gebruikt een ontgrendelingspatroon dat moet worden ingevoerd telkens wanneer het scherm van de telefoon wordt geactiveerd.
Wat smartphones aantrekkelijk maakt - de mogelijkheid om ze aan te passen door applicaties te downloaden - is wat ze gevaarlijk maakt. Apps maken van de mobiele telefoon een echte computer en de App Store van Apple is een sleutelfactor geweest in het succes van de telefoon. Maar apps maken smartphones ook een doelwit voor cybercriminelen.
Apple weet dat er niet meer dan een paar kwaadaardige apps nodig zijn om de reputatie van de iPhone aan te tasten. Daarom is de App Store een ommuurde community. De enige apps die worden vermeld, zijn de apps die zijn goedgekeurd door Apple. Om goedgekeurd te worden, moeten ontwikkelaars een ontwikkelaarsaccount maken en een jaarlijkse vergoeding betalen. Een team bij Apple evalueert en keurt elke versie van elke applicatie die beschikbaar wordt gemaakt goed. Apple wijst naar verluidt ongeveer 10 procent van de applicaties die bij de App Store worden ingediend af omdat ze persoonlijke gegevens zouden stelen, ze ongepaste inhoud bevatten of zijn ontworpen om een gebruiker te helpen de wet te overtreden.
Google heeft een fundamenteel andere benadering gekozen om de beveiliging van smartphones met Android te waarborgen. Net als Apple heeft Android ook een winkel, de Android Marketplace, waar gebruikers applicaties kunnen downloaden. Maar in tegenstelling tot Apple kan elke applicatie worden geüpload naar de Android Marketplace - Google evalueert ze niet eerst. Wat Android-gebruikers beschermt tegen kwaadaardige toepassingen, is een beveiligingsmodel dat is gebaseerd op mogelijkheden.
Elke Android-app moet het besturingssysteem van een telefoon vertellen welke mogelijkheden het nodig heeft. Wanneer u de toepassing installeert, geeft het besturingssysteem een overzicht van de mogelijkheden die de toepassing nodig heeft om uit te voeren. U kunt dan beslissen of die mogelijkheden consistent zijn met wat de toepassing beweert te zullen doen. De TaxCaster Mobile-toepassing van Intuit vereist bijvoorbeeld volledige internettoegang omdat deze uw invoer moet opnemen, deze naar de servers van Intuit moet sturen en u de resultaten moet laten zien. Aan de andere kant vereist de Slacker Radio-applicatie van Slacker Bluetooth, volledige internettoegang, toegang tot uw SD-kaart wijzigen/verwijderen, de mogelijkheid om audio-instellingen te wijzigen, de mogelijkheid om de identiteit van inkomende telefoongesprekken te lezen, de mogelijkheid om Wi -Fi-status en de mogelijkheid om te voorkomen dat uw telefoon slaapt.
Het op mogelijkheden gebaseerde systeem heeft het voordeel dat het wordt afgedwongen door het besturingssysteem. Er is gewoon geen manier voor een toepassing om meer te doen dan het zegt. Het hangt ook niet af van de waakzaamheid van menselijke screeners.
Het probleem met mogelijkheden is dat er geen manier is om er zeker van te zijn dat een toepassing op de juiste manier zal handelen met het gegeven vertrouwen. Bijvoorbeeld in december er is een applicatie voor internetbankieren op de Android Marketplace geplaatst dat bleek voor de First Tech Credit Union te zijn. Het bleek dat de applicatie frauduleus was - gewoon weer een phishing-zwendel. Google heeft de malafide app verwijderd kort nadat deze werd ontdekt, maar het is onduidelijk hoeveel mensen voor de zwendel zijn gevallen.
Mogelijkheden kunnen gebruikers niet beschermen tegen dit soort aanvallen omdat de frauduleuze applicatie om dezelfde privileges vroeg als een legitieme applicatie, namelijk de mogelijkheid om de gebruikersnaam en het wachtwoord van een persoon te accepteren en die informatie via internet te communiceren met een externe server .
Een ander probleem met het op mogelijkheden gebaseerde systeem is dat gebruikers zorgvuldig moeten nadenken over beveiliging. Veel gebruikers kunnen de risico's van de software die ze willen downloaden en uitvoeren niet goed inschatten, zelfs niet als ze vermoeden dat de software schadelijk kan zijn.
Er zijn nog andere belangrijke beveiligingsverschillen tussen de iPhone en Android-telefoons. Beide kunnen worden ingesteld om automatisch te vergrendelen na een periode van inactiviteit en vereisen een toegangscode voordat ze opnieuw kunnen worden gebruikt. Maar de iPhone kan worden ingesteld om alle gegevens te wissen die deze bevat na 10 mislukte toegangscodepogingen. De iPhone ondersteunt ook wissen op afstand. Android van Google heeft geen van deze functies, waardoor het systeem fundamenteel minder veilig is. (Een applicatie van derden genaamd Wave Secure biedt enkele van deze functies, maar ik heb geconstateerd dat ze slecht zijn geïntegreerd met het Android-systeem.)
Een ander belangrijk beveiligingsvoordeel van de iPhone is een door de gebruiker instelbare vertraging voor de vergrendelingscode. Als u een ontgrendelingspatroon instelt met een Android-telefoon, moet u dat patroon elke keer dat u het scherm van de telefoon inschakelt, opgeven. Met de iPhone kun je een vertraging instellen zodat de ontgrendelingscode niet hoeft te worden ingevoerd als de telefoon slechts één minuut, vijf minuten, 15 minuten, één uur of vier uur heeft geslapen. Hoe korter de periode, hoe veiliger uw gegevens natuurlijk. Maar als u de vertraging op vijf minuten of zelfs 15 minuten kunt instellen, is het veel minder belastend om deze functie daadwerkelijk te gebruiken. Met mijn Android-telefoon voer ik constant de ontgrendelingscode in, zelfs aan het einde van een telefoongesprek van één minuut. Het is zo vervelend dat ik serieus overweeg om het uit te zetten.
Ik wou dat de iPhone Android's op capaciteiten gebaseerde beveiligingsarchitectuur had, omdat die extra beschermingslaag belangrijke beveiligingsgaranties biedt. Maar zelfs zonder dit maakt de reeks beveiligingsfuncties van de iPhone het een betere keuze voor mensen die gevoelige informatie op hun telefoon moeten bewaren. Dat gezegd hebbende, heb ik goede hoop dat Google grote verbeteringen zal aanbrengen met de volgende release van het Android-besturingssysteem.