Mozilla's mobiele Firefox-besturingssysteem roept beveiligingsvragen op

Mozilla's nieuwe Firefox-besturingssysteem voor low-end smartphones - in eerste instantie gericht op Oost-Europese en Zuid-Amerikaanse markten - zal worden geconfronteerd met uitdagingen om gebruikers te beschermen tegen de kwaadaardige mobiele apps die een groeiend probleem over de hele wereld vormen.





Alcatel-Lucent One Touch-smartphone

Webgebaseerd: Alcatel's One Touch Fire, een van de twee aangekondigde modellen die Firefox OS zullen draaien, toont een scherm met apps.

Het is bekend dat schadelijke apps de app-winkels van Apple en Google binnensluipen, zelfs als ze worden gecontroleerd. Meer problematisch zijn niet-officiële Android-marktplaatsen, waar namaak van populaire apps een van de kwaadaardige versies is die opduiken (zie Attacks on Android Devices Intensify). Als reactie daarop groeit een industrie rond mobiele beveiligingsbedrijven zoals Lookout (zie Hoe apps te detecteren die uw gegevens lekken).

In het geval van Mozilla is het probleem dat het niet alleen apps beschikbaar zal stellen via zijn traditionele app store, de Firefox Marketplace. Daarnaast zal het bedrijf ontwikkelaars aanmoedigen om apps te maken die van het web kunnen worden gedownload of vanaf een website kunnen worden uitgevoerd. (Hoewel het mogelijk is om Android-apps te downloaden die onafhankelijk worden gehost, is dit niet erg gebruikelijk.) Het besturingssysteem is gebaseerd op een taal genaamd HTML5, waardoor webapplicaties in wezen net zo goed werken als desktopsoftware. Hiermee kunnen websites die op mobiele apparaten worden bekeken, zich gedragen als apps die zijn gedownload. Onderzoekers zeggen al lang dat dit veiligheidsproblemen oproept (zie Nieuwe webstandaarden brengen nieuwe beveiligingsproblemen met zich mee).



Het is niet duidelijk hoe Mozilla apps zal screenen om apps te elimineren die bedreigingen of privacyproblemen kunnen opleveren, zegt Janne Lindqvist , een mobiele beveiligingsonderzoeker bij het Winlab aan de Rutgers University. Hoe beheer je de privacy en veiligheid van de gebruiker als je het zo flexibel maakt dat je met slechts wat zoeken op trefwoorden veel apps beschikbaar hebt? Ik kan op dit moment helemaal niet begrijpen wat het beveiligingsmodel zal zijn, zegt hij. Wie bepaalt wat er op je telefoon verschijnt met de zoekopdrachten, en wie bepaalt wat voor soort informatie deze plotseling verschijnende apps hebben?

Een Mozilla-woordvoerder zegt dat gebruikers alle veiligheid, privacy, aanpassing en gebruikerscontrole kunnen verwachten die Firefox altijd heeft geleverd, en voegt toe: Firefox OS is ontworpen om de gebruiker te beschermen tegen schadelijke applicaties en inhoud, en beschermt ook applicaties tegen elkaar.

In één stap gericht op het beveiligen van gedownloade apps, eist het bedrijf van ontwikkelaars dat ze: pakket downloadbare apps in een zip-bestand dat cryptografisch is ondertekend door de winkel waar het vandaan komt, zodat het is beoordeeld. Een woordvoerder voegt eraan toe dat apps die terugkomen van zoekopdrachten slechts beperkte toegang krijgen tot de programmeerinterfaces en applicaties van apparaten, tenzij de gebruiker toestemming geeft voor verdere toegang. Hoewel uit dergelijke stappen blijkt dat Mozilla duidelijk nadenkt over de mogelijke problemen, zegt Lindqvist, is het gewoon nog niet duidelijk hoe de beveiliging en privacybescherming voor zoeken en app-detectie werken.

Het besturingssysteem is over het algemeen ontworpen om te werken op goedkopere telefoons met een lager vermogen die in ontwikkelingslanden worden verkocht. Op het Mobile World Congress-evenement deze week in Barcelona heeft het bedrijf bekend gemaakt de eerste van dergelijke handsets waarop het zou draaien, waaronder ZTE Open en Alcatel's One Touch Fire. Mozilla zei dat 17 luchtvaartmaatschappijen over de hele wereld - in Brazilië, Colombia, Hongarije, Mexico, Montenegro, Polen, Servië, Spanje en Venezuela - service zullen bieden, in sommige gevallen het besturingssysteem aanpassen aan hun markten. Deutsche Telekom zegt dat de Alcatel One Touch Fire deze zomer beschikbaar zal zijn in Polen en daarna in andere Oost-Europese landen; Telefonica zei dat de telefoon binnen het jaar op al zijn markten zou worden gelanceerd.

Op het Mobile World Congress zei Jay Sullivan, Mozilla's senior vice-president voor producten, liet zien hoe zoekopdrachten apps opleveren. Toen Sullivan naar de film zocht Skyfall , is de interface van de telefoon gewijzigd om apps voor filmgerelateerde diensten weer te geven, zoals recensiesites en de kaartverkoopsite Fandango. Ik ging niet naar een app store en zei: 'Wat zijn de goede film-apps?', zei hij. Het heeft me opgeleverd op basis van waar ik nu om geef, en het is een zeer krachtig concept.

Hoe Firefox OS beslist welke van deze web-apps moet worden weergegeven, is belangrijk. Een standaard aanvalsmethode met Android is om een ​​nieuwe app van een traditionele marktplaats te nemen, schadelijke software in te voegen en deze te vervangen. In sommige gevallen kan de nieuwe software premium sms-berichten versturen die u geld kosten. Of kwaadaardige apps kunnen phishing-aanvallen verspreiden en webadressen verspreiden naar frauduleuze sites. Soms lekken apps persoonlijke gegevens.

Webgebaseerde apps kunnen onderhevig zijn aan dezelfde soorten aanvallen. Maar Tim Wyatt, een beveiligingsonderzoeker bij Lookout, zegt dat het te vroeg is om te zeggen of de nieuwe aanpak over het algemeen slechter zal zijn voor gebruikers. Het is een uitdaging om alle controles te beoordelen die Mozilla heeft ingevoerd, zegt hij. HTML5-apps zijn redelijk [nieuw] voor alle betrokkenen, en elk platform dat een kritieke adoptiemassa bereikt, kan een doelwit worden.

zich verstoppen