Het goede nieuws eerst: ongeveer de helft van alle Android apparaten hebben recentelijk beveiligingsupdates gekregen die makkelijk te hacken systeemlekken hebben gedicht. Deze lekken maakten de gebruikers kwetsbaar voor digitale criminaliteit en spionage. Het slechte nieuws? De andere helft heeft geen updates gehad!
In het vandaag verschenen jaarrapport van Google over de veiligheid van ’s werelds 1,4 miljard Android apparaten, vertelt het bedrijf dat de beveiliging van Android steeds beter wordt. De malware in de Google Play winkel neemt af, de apparaten zijn beter versleuteld en meer hackers dan vroeger het geval was worden betaald om beveiligingslekken in het Android besturingssysteem aan Google door te geven.
Bovendien heeft Google, voor het eerst, solide gegevens vrijgegeven over de ernstigste probleem rond de beveiliging van Android apparaten: de uitdaging om de vele fabrikanten en de honderden providers over de hele wereld zover te krijgen dat ze samenwerken in het regelmatig updaten van Android smartphones en tablets.
Jaarlijks gebeurt dit momenteel voor 50 procent van de apparaten, zegt Google. Veel beter dan het geweest is, maar nog ver van goed.
De helft van de apparaten kreeg een update in 2018 en daar zijn we trots op, zegt Adrian Ludwig, directeur Android beveiliging bij Google. “We hebben het aantal vrijgegeven, het is en vooruitgang maar niet voldoende. Het betekent echt niet dat we klaar zijn” voegt Ludwig toe.
Onveilig ecosysteem
Hoewel de helft van de Android apparaten in 2016 niet is bijgewerkt en dat kan duidelijk een veiligheidsprobleem vormen, is volgens Ludwig toch een mijlpaal bereikt. Zijn inschatting is dat in 2016 tweemaal zoveel mensen hun Android apparaat hebben geüpdatet dan in 2015 en hij hoopt in 2017 een percentage van 75 procent te kunnen bereiken, hoewel dat niet direct een officieel doel van het bedrijf is.
Volgens Josh Drake, onderzoeker van het beveiligingsbedrijf Zimperium, zijn die statistieken een beetje een mengelmoes. Zimperium heeft in 2015 de zogenaamde Stagefright beveiligingslek ontdekt waardoor boosdoeners Android telefoons konden overnemen via een simpel tekstbericht. Drake zegt: “Als het echt twee keer zoveel zijn, dat is geweldig. Toch is 50 procent een verschrikkelijk laag nummer.”
Voor wat betreft software upgrades voor nieuwe functies en beveiliging, doet Google veel moeite om tenminste in de buurt te komen van de frequentie waarmee Apple haar iOS software up-to-date houdt. Maar Nougat, de nieuwste versie van het Android besturingssysteem, draait op minder dan drie procent van alle Android telefoons terwijl bijna 80 procent van de Apple-gebruikers met iOS 10 werkt, de nieuwste versie van Apple. En Nougat werd, officieel, drie weken eerder gelanceerd dan iOS 10.
Als het waar is dat de updates van Google zijn verdubbeld, is dat een ongelooflijk positieve verbetering, zegt Rich Smith, hoofd onderzoek en ontwikkeling bij Duo, een bedrijf voor de beveiliging van mobiele authenticatie. Hij voegt toe dat de nieuwe gegevens van Google goed illustreren hoe Android apparaten achter zijn gebleven voor wat betreft de beveiliging.
En het feit dat de helft van alle apparaten een update kreeg in 2016 betekent nog niet dat ze ook recentelijk een update hebben ontvangen. “Het exacte moment dat je de patch krijgt kan het verschil maken tussen beschermd zijn tegen triviale zaken of tegen zaken die echt kritisch zijn.
Smith wijst op Quadrooter, een aanval op Android telefoons die in de zomer van 2018 werd bekend gemaakt. Volgens eigen gegevens van het bedrijf Duo, hebben de beveiligingslekken van aangevallen apparaten een patch gekregen alleen in ongeveer 40 procent van de telefoons van Noord Amerikaanse gebruikers (uit de algemene database van Google over Android-gebruikers), waar de authenticatie app van Duo was geïnstalleerd.
En dat zijn accurate bedrijfsgegevens. “Er werd toen van de daken geschreeuwd dat de wereld in brand was, maar er heeft nog steeds geen update plaats gevonden” zegt Smith.
Android Fragmentatie ten top
Het grootste obstakel om beter te kunnen patchen is voor Android de byzantijnse fragmentatie van zijn besturingssysteem. Zo levert Samsung in zijn eentje 13 modellen die worden verkocht door 200 verschillende mobiele aanbieders, die allemaal het besturingssysteem in verschillende mate aanpassen. Het resultaat zijn ongeveer 1500 varianten van elke softwareversie, zegt Henry Lee, directeur mobiele beveiliging bij Samsung.
Hij zegt: “Het is niet zo dat we gewoon een patch van Google krijgen en toepassen. Zo simpel is het niet.” In 2016 kreeg ongeveer 60 procent van de Samsung-gebruikers een update, maar op ongeveer 15 procent van de apparaten draaien nog steeds oude, niet langer ondersteunde versies van Android en de resterende 15 procent negeert simpelweg alle updates.
Door de marktdominantie van Samsung, vertegenwoordigen deze percentages grote aantallen. De beveiligingsupdates van Samsung bereiken tegenwoordig 400 miljoen apparaten, verspreid over honderden mobiele aanbieders over de hele wereld. Het is een behoorlijk stukje van de in omloop zijnde, meer dan 1,4 miljard Android apparaten.
De verbetering tussen 2017 en 2018 toont dat een aantal inspanningen van Google werken. Google en sommige productiepartners, zoals Samsung en LG, zijn nu bezig met het vrijgeven van maandelijkse specifieke beveiligingsupdates voor Android apparaten waarop oudere systeemversies draaien, zoals bijvoorbeeld KitKat uit 2013. Ludwig, van Android, zegt dat Google is bezig geweest om zijn updates naadloos te maken en kleiner.
Ze oefenen druk uit op de mobiele aanbieders om de updates serieuzer te nemen en hebben veel aanbieders overtuigd dat deze updates los moeten worden gezien van de dataplannen van gebruikers. Google, heeft bovendien de zogenaamde “A/B-updates” voor bedrijven ontwikkeld, die het mogelijk maken om nieuwe software uit te proberen en makkelijk te downgraden in het geval van compatibiliteitsproblemen met de aanwezige bedrijfssoftware.
Gerelateerde artikelen Android beveiliging |
Volgens Ludwig is de beveiliging van Android ook op andere belangrijke manieren verbeterd. Filter op de Google Play winkel halen steeds meer malware eruit en voorkomen zodoende dat kwaadaardige applicaties de weg naar de apparaten vinden en ze infecteren. In het vierde kwartaal van 2016 hadden, volgens een rapport van Google, slechts 0,71 procent van alle gebruikers enige vorm van malware op hun telefoon.
Toch een half procent minder dan het jaar daarvoor en de verbetering was duidelijker bij gebruikers die hun applicaties alleen vanuit Google Play downloaden. In het laatste kwartaal van 2016 had slechts 0,5 procent van deze gebruikers last van malware infecties op hun telefoon, veel minder dan de 0,15 procent van een jaar eerder. Reden genoeg om alleen Google Play te gebruiken om applicaties te downloaden.
Deze cijfers over malware lijken nogal optimistisch, maar houden geen rekening met kleine malware aanvallen, gericht op gevoelige slachtoffers. De geheime CIA-bestanden, recentelijk door WikiLeaks vrijgegeven, tonen ongetwijfeld tientallen jaren oude Android hack technieken gebruikt om te bespioneren op een klein aantal personen die niet in de statistieken van Google voorkomen. Google zelf weigerde commentaar te geven of en wanneer de beveiligingslekken die geleden hadden tot het hacken van CIA-gegevens, gedicht waren.
Dat brengt ons terug naar het oorspronkelijk probleem. Ongeveer de helft van de Android-gebruikers blijft onveranderd kwetsbaar of Google nu de Vault7 lekken repareert of niet, of de vele andere lekken die in de code van de smartphones zijn verborgen.