Of het nu gaat om QuadRooter eerder in 2016 of Gooligan meer recent, het nieuws staat vol met meldingen van angstaanjagende beveiligingsproblemen van Android. Vaak worden ze aan het licht gebracht door beveiligingsbedrijven met een product om te verkopen, en buiten proporties geblazen door de reguliere pers.
Dit soort onderzoek is belangrijk werk van zeer slimme mensen. Maar vergis u niet, het doel is om de publiciteit te verhogen en u (eventueel) beveiligingssoftware te verkopen. Dat is de reden waarom nieuwe Android-vulns worden geleverd met pakkende bijnamen en soms zelfs logo's - vooral rond de tijd van de grote hackerconferenties zoals Defcon en Black Hat. Het is een netjes voorverpakt verhaal dat zeker de aandacht trekt en gemakkelijk wordt omgezet in koppen als "Android-gebruikers, pas op: meer dan 900 miljoen smartphones zijn kwetsbaar voor deze verlammende hack." (Dat was trouwens het Britse tabloid The Mirror op QuadRooter.)
Dat klinkt eng, maar het is in het belang van degenen die de onthulling doen (en, laten we eerlijk zijn, de klikdorstige online media) om met hun armen te zwaaien en het zo slecht mogelijk te laten lijken.
Er zijn veel soorten softwarekwetsbaarheden en het is bijna onmogelijk om te garanderen dat elk stuk software volledig foutloos is - vooral in iets zo complex als een smartphone. Maar laten we ons concentreren op app-gebaseerde malware, want dat is de meest voorkomende aanvalsvector. De eenvoudigste manier voor de slechteriken om slechte dingen aan uw telefoon of uw gegevens te doen, is door u een kwaadaardige app te laten installeren. De app kan dan gebruik maken van kwetsbaarheden in het besturingssysteem om uw apparaat over te nemen, uw gegevens te stelen, u geld te kosten of wat dan ook.
Wanneer een beveiligingslek opduikt op iOS, geeft Apple een software-update uit en deze is verholpen. Vanwege de volledige controle die Apple heeft over de iPhone, betekent dit dat apparaten behoorlijk snel worden gepatcht en dat alles goed is.
Op de iPhone leeft alles wat ertoe doet binnen het besturingssysteem. Op Android is het verdeeld tussen het OS en Play Services.
Op Android is het niet zo eenvoudig. Google werkt de firmware op de ongeveer een miljard Android-telefoons die daar zijn niet direct bij, en daarom draait slechts een klein handjevol de nieuwste OS-versie. Maar dat betekent niet dat ze nieuwe functies, API's en bescherming tegen malware moeten missen.
Google Play Services is een app op systeemniveau, die op de achtergrond wordt bijgewerkt door Google op elke Android-telefoon die teruggaat naar de Gingerbread-release van 2010. Naast het leveren van API's waarmee ontwikkelaars kunnen communiceren met Google-services, en veel functies terugvoert naar oudere versies van Android, speelt Play Services een belangrijke rol in Android-beveiliging.
De functie 'Apps verifiëren' van Play Services is de firewall van Google tegen app-gebaseerde malware. Het werd geïntroduceerd in 2012 en voor het eerst standaard ingeschakeld in Android 4.2 Jelly Bean. Op het moment van schrijven werkt 92, 4% van de actieve Android-apparaten met versie 4.2 en hoger, en oudere versies kunnen dit handmatig inschakelen in de app Google Instellingen.
Verify Apps werkt op dezelfde manier als een traditionele pc-virusscanner: telkens wanneer de gebruiker een app installeert, zoekt Verify Apps naar schadelijke code en bekende exploits. Als ze daar zijn, wordt de app volledig geblokkeerd - er wordt een bericht weergegeven met de melding "Installatie is geblokkeerd." In andere, minder verdachte gevallen kan in plaats daarvan een waarschuwingsbericht worden weergegeven met de optie om toch te installeren. (En Verify Apps kan ook helpen bij het verwijderen van bekende malware die al is geïnstalleerd.)
Hoewel de onderliggende exploit er nog steeds kan zijn, maakt dit het voor de slechteriken onmogelijk om misbruik te maken van kwetsbaarheden nadat ze aan het licht zijn gekomen. Met Play Services die voortdurend op de achtergrond wordt bijgewerkt, in principe de hele Google Android-gebruikersbasis, zodra een grote kwetsbaarheid aan Google wordt gemeld (vaak voordat het publiek erover hoort), wordt deze hersteld via Verify Apps.
Verify Apps is een laatste verdedigingslinie, maar het is een zeer effectieve.
Hoewel de methode anders is dan iOS, is het resultaat hetzelfde. De platformhouder werkt zijn beveiliging bij - Apple via een OS-update, Google via Play Services - en gebruikers worden beschermd. Je kunt de hele dag discussiëren over welke beter of robuuster is, maar het feit dat we de voorspelde Android-malwarepocalyps nog moeten zien, geeft aan dat de methode van Google behoorlijk goed werkt. Dat wil niet zeggen dat andere stappen, zoals de maandelijkse beveiligingspatches van Google, niet belangrijk zijn. Hoewel Verify Apps een laatste verdedigingslinie is, is het een zeer effectieve.
Laten we nog een stapje verder gaan - om zelfs een kwaadaardige app te installeren, zou de gebruiker het selectievakje 'onbekende bronnen' moeten uitschakelen om apps van buiten de Google Play Store te kunnen installeren. Voor de meeste mensen is dat niet iets wat ze ooit doen. Apps komen uit de Play Store, en dat is dat. Google beheert en beheert apps in de Play Store en scant voortdurend op snode apps. Als je alleen apps vanaf daar installeert, is het in het algemeen prima.
Ademloze rapporten waarin honderden miljoenen kwetsbare Android-apparaten worden genoemd, vermelden hier natuurlijk niets van. In het geval van de kwetsbaarheden van QuadRooter, bijvoorbeeld, ervan uitgaande dat u een getroffen versie van Android gebruikt, moet u eerst het selectievakje "onbekende bronnen" uitschakelen en vervolgens naar Google Instellingen> Beveiliging gaan en het scannen van apps uitschakelen. Als u vervolgens besluit een geïnfecteerde app te downloaden en te installeren vanuit een snode hoek van internet, heeft dit gevolgen. Dit zijn geen stappen die de meeste mensen nemen, noch zijn het dingen die uit zichzelf zullen gebeuren.
Het is het digitale equivalent van je deur opendraaien, je sleutels op de oprit gooien en een groot bord op je grasveld zetten met de tekst "Gratis spullen binnen, kom binnen."
Dat wil niet zeggen dat er de afgelopen jaren geen enkele of twee echt dreigende Android-beveiligingsproblemen zijn geweest. Het ergste tot nu toe was Stagefright, wat ertoe leidde dat Google zijn regime van maandelijkse beveiligingspatches vaststelde. Stagefright was vooral slecht omdat het telefoons kon beïnvloeden door mediabestanden af te spelen. Er is een groot verschil tussen dat en malware in de vorm van een app die moet worden geïnstalleerd.
Als het gaat om iets in de vorm van een APK, beschermen de bestaande beveiligingsmaatregelen van Android de overgrote meerderheid van mensen al, zelfs als ze niet de meest recente versie hebben.
Dus die berichten over honderden miljoenen Android-apparaten die "kwetsbaar" zijn voor dit of dat? In theorie, als je je uiterste best doet om alle ingebouwde beveiligingen van Android uit te schakelen, zeker. In de echte wereld, niet zo veel.
