Toen de overheid een mobiele app voor contact tracing lanceerde, rezen onmiddellijk vragen over de veiligheid van deze applicatie. Was die bezorgdheid terecht? En moeten we ons zorgen maken over de vele andere apps die op onze smartphone staan?
De kans is groot dat je vandaag minstens één mobiele app op je smartphone frequent gebruikt. Dat doe je wellicht zonder telkens na te denken over de risico’s die bij zo’n app komen kijken. Want die zijn er natuurlijk wel: in het slechtste geval kunnen hackers via zwak beveiligde apps persoonlijke gegevens stelen of zelfs op je bankrekening inbreken.
In de security van mobiele apps hebben drie spelers een cruciale rol te spelen: de maker van de app, de online-winkel die de apps verspreiden, en uiteindelijk ook de eindgebruiker.
Opdrachtgever versus ontwikkelaar
De laatste jaren zien we een progressieve daling van het aantal kwetsbaarheden in mobiele apps. De toenemende bewustwording hebben we zeker te danken aan de GDPR, want daardoor is de privacy van gebruikers een cruciale voorwaarde geworden. Helaas wil dit niet zeggen dat alle mobiele apps tegenwoordig veilig zijn. Wie de security van een app ter harte neemt, brengt potentiële kwetsbaarheden al vanaf de tekentafel in kaart. Hackers doen immers aan reverse engineering en zoeken naar achterpoortjes die de maker van de app vaak onbewust heeft gecreëerd.
Een groot stuk van de verantwoordelijkheid ligt dus bij de ontwikkelaar van de app. Maar we moeten meteen ook op de rol van de opdrachtgever wijzen. Dat is de persoon die een ontwikkelaar vraagt om een mobiele app met een bepaald doeleinde te bouwen. Op het moment dat de app nog maar in de gedachten van de opdrachtgever leeft, moet deze bij een in applicatiebeveiliging gespecialiseerd bedrijf aankloppen. In kaart brengen waar bedreigingen en risico’s voor de veiligheid van de mobiele app liggen, is de enige aanvaardbare reflex. Ontwikkelaars kunnen zo al in de designfase rekening houden met mogelijke bedreigingen die eigen zijn aan de gekozen technologieën, de aangewende methodiek en de van toepassing zijnde regelgeving.
Deze manier van werken wordt in de praktijk nog niet vaak genoeg toegepast, maar is de enige aanvaardbare methode om gebruikers uiteindelijk een veilige app te kunnen aanbieden.
Android versus iOS
Appwinkels hebben een belangrijke taak in het filteren van potentieel gevaarlijke apps. Uiteraard is het nooit een goed idee om een mobiele app te downloaden van een bron die je niet kent. We gaan ervan uit dat de gekende appwinkels op Android- en iOS-smartphones het meest betrouwbaar zijn. Vooral Apple levert uitstekend werk om apps voor iOS-systemen grondig te testen. Pas wanneer een app aan bepaalde securitycriteria voldoet, zal ze via de App Store aan gebruikers van iOS-systemen worden aangeboden.
Bij Android is het risico op malafide apps iets groter. Als reactie heeft Google het beveiligingspakket Play Protect gelanceerd. Enerzijds scant je telefoon apps op het moment dat je ze downloadt, en anderzijds doet het systeem dagelijks een virusscan bij alle applicaties die op je toestel staan. Ook dit is een goede securitylaag, maar in tegenstelling tot bij iOS is het voor Android-gebruikers wel nog steeds reëel dat ze een schadelijke app op hun toestel kunnen installeren.
Het securityrisico verschilt natuurlijk ook van app tot app. Zo worden bank-apps nog steeds vaak geviseerd en ontsnappen ook cryptocurrency-apps niet aan de aandacht van hackers. De komende jaren zal de focus wellicht naar mobiele apps voor iot-toepassingen verschuiven. Hier is veel werk te verrichten, want uit tests blijkt dat de beveiliging van dit soort apps nog flink te wensen overlaat. Het klinkt geweldig om met de slimme verlichting van je huis te experimenteren, maar het wordt minder fijn wanneer je beseft dat hackers in een halfuur je hele systeem kunnen overnemen. Als modale gebruiker heb je bovendien niet door of een app al dan niet voldoende beveiligd is.
Gebruikerstips
Dat brengt ons bij de zwakste schakel in de security van onze smartphones: de gebruiker. Vaak is ons gedrag de belangrijkste reden waarom hackers succesvol zijn.
Wat kan je zelf doen om de risico’s te beperken? De meeste tips klinken logisch en ken je intussen wel: laat je telefoon niet rondslingeren, beveilig je toestel met een wachtwoord en/of vingerafdrukscan, en zorg eventueel voor een virusscan. Voor je een app installeert, controleer je best ook hoe vaak de app al is gedownload en of andere gebruikers niet te veel negatieve reviews hebben gepost.
Een gouden regel die je in elk geval goed moet onthouden: download nooit zomaar een app omdat iemand je dat voorstelt. Als je bank bijvoorbeeld vraagt om een nieuwe app te installeren, bel hen dan zeker even op om te checken of dat wel klopt. Het is niet uitgesloten dat hackers zich voordoen als een bank en met de app de gegevens van je bankrekening willen stelen.
Coronalert
Tot slot nog het antwoord op de initiële vraag: hoe zit het met de veiligheid van Coronalert, de corona-app van de overheid? Hiervoor moeten we onder de motorkap van deze mobiele app kijken en achterhalen wat de functionaliteiten zijn. De app werkt enkel wanneer we de bluetooth-functie van onze telefoon hebben ingeschakeld. Om te capteren wie in onze buurt is geweest, wisselen smartphones een random gegeneerde sleutel uit.
Het is niet mogelijk de identiteit van de persoon achter deze sleutel te achterhalen en de app maakt geen enkele link naar onze persoonlijke gegevens. Coronalert is daarom wellicht een pak veiliger dan de meeste andere smartphoneapps waar we ons zelden of nooit vragen over stellen.
