Spionage via de mobiele telefoon is reëel geworden
Tablets en smartphones – en de data op die apparaten – staan aan steeds meer dreigingen bloot. Alleen al tijdens de afgelopen zomermaanden waarschuwden meerdere leveranciers van beveiligingssoftware voor aangetroffen kwetsbaarheden in de mobiele besturingssystemen van Apple en Google.
Zo onthulden onderzoekers van Check Point tijdens DefCon 24 in Las Vegas vier kwetsbaarheden in Android. De ‘QuadRooter’-kwetsbaarheden zouden de aanvallers de gelegenheid bieden om volledig de controle te krijgen over Android-smartphones en -tablets die zijn gebouwd op Qualcomm-chipsets en toegang verschaffen tot de persoonlijke of bedrijfsdata die erop staan. Daarnaast bestaat het risico op keylogging, GPS-tracking en het opnemen van video en audio.
In februari waren het eveneens onderzoekers van Check Point die blootlegden welke groep criminelen schuilgaat achter de Hummingbad-malware. Met deze malware zouden zij zich iedere dag toegang verschaffen tot honderden Android-apparaten en de data die daarop staan. Ook zouden ze de overgenomen toestellen gebruiken om cyberaanvallen uit te voeren.
Mobiele spionage
Maar niet alleen de opgeslagen data lopen gevaar. Zo dichtte Apple onlangs enkele zwakheden in iOS na de ontdekking van spyware op de mobiele telefoon van de prominente mensenrechtenactivist Ahmed Mansoor uit de Verenigde Arabische Emiraten.
Beveiligingsbedrijf Lookout, dat het lek in samenwerking met onderzoekslaboratorium Citizen Lab onderzocht, schatte vervolgens dat er tussen de 10.000 en 20.000 mobiele apparaten zijn afgeluisterd. Door misbruik te maken van de zwakheden in het mobiele besturingssysteem van Apple konden onder andere berichten van WhatsApp, e-mails en telefoongesprekken worden onderschept. Zelfs de camera en microfoon konden op afstand worden afgetapt.
“Dit is een wake-upcall”, zo reageert Bastiaan Bakker, Directeur Business Development bij Motiv, op het onderzoek waarmee Lookout naar buiten kwam. “Spionage via de mobiele telefoon is hiermee een reële dreiging geworden.” Bart Verhaar met een lach: “Het is inmiddels redelijk gebruikelijk om de camera van de laptop af te schermen. Misschien moeten we dat ook met de camera’s van mobiele devices gaan doen; een afschermhoesje over de camera plaatsen.”
Security-awareness
Volgens Verhaar helpt de recente media-aandacht voor mobiele dreigingen bij het creëren van meer ‘awareness’ op het gebied van mobile security. Dat bewustzijn is volgens de productmanager van Motiv hard nodig nu zakelijke data steeds vaker mobiel worden benaderd en daardoor gevaar lopen. “De smartphone is inmiddels de vervanger van de laptop die je altijd bij je hebt, maar die bijvoorbeeld ook wordt gebruikt om Pokémon Go op te spelen. Die mix van zakelijk en privé maakt mobiele apparaten vanuit security-oogpunt extra kwetsbaar. Mijn zakelijke laptop neem ik niet mee naar een verjaardagsfeestje om vakantiefoto’s te laten zien. Dat doe ik wel met mijn zakelijke smartphone, waardoor ik ook altijd op stap ben met zakelijke data.”
Het bewustzijn dat mobile security cruciaal is, komt volgens Verhaar in stappen. “Eerst was er veel aandacht voor de veilige verwerking van zakelijke data, bijvoorbeeld binnen een beveiligde container op het mobiele apparaat. Het belang hiervan wordt inmiddels wel ingezien. Zeker in het kader van de Wet bescherming persoonsgegevens wordt er goed nagedacht over de bescherming van mobiele data.” Bakker plaatst hier wel enkele kanttekeningen bij: “Het gebruik van versleuteling en andere aanvullende beveiliging is op mobiele devices nog altijd niet vanzelfsprekend, en een groot deel van de zakelijke gebruikers leest de bedrijfs-e-mail nog altijd via de ingebouwde, ‘native’ app.” Bakker fel: “Dat moet je gewoon niet doen! In de zakelijke e-mail staan altijd persoonsgegevens. Bij diefstal van het apparaat worden ook deze persoonlijke data gestolen. In veel gevallen zeer ongewenst, en in het kader van de meldplicht datalekken iets wat moet worden gemeld bij de Autoriteit Persoonsgegevens.”
De tweede stap in het creëren van extra bewustzijn is volgens Bakker en Verhaar de gebruikers in laten zien dat het gevaar bestaat dat hackers het mobiele toestel overnemen, bijvoorbeeld om de gebruiker te bespioneren. “Of om screenshots te maken, zelfs als het toestel zich binnen een beveiligde omgeving bevindt”, aldus Verhaar. “Dat bewustzijn is er nu nog niet.”
Veilige container
Om zowel de data als het toestel zelf te beschermen tegen bijvoorbeeld spionage, moet ook de mobiele beveiliging in meerdere stappen worden opgebouwd. “Alle data die we zakelijk gebruiken, moeten we honderd procent versleutelen en alleen benaderen via een beveiligde applicatie op het toestel”, aldus Bakker.
De Directeur Business Development haalt in dit verband Capsule Workspace van Check Pointaan. De gebruiker kan op zijn mobiele apparaat zelf een ‘Capsule Workspace App’ installeren die als het ware een veilige container creëert op het mobiele apparaat die de native e-mail- en kalender-app vervangt. In deze container worden zakelijke data volledig versleuteld en gescheiden van de persoonlijke data en applicaties opgeslagen. Met één vingerafdruk open je de veilige container en heb je dankzij een VPN-verbinding direct toegang tot bedrijfs-e-mail, bestanden, mappen, contacten en agenda.
Een dergelijke container op het mobiele apparaat kan bij de gebruiker enige weerstand opleveren, onderkent Bakker, maar die weerstand verdwijnt als je de voordelen van een dergelijke oplossing benadrukt. “Je krijgt er veel meer functionaliteit voor terug. Als je bijvoorbeeld binnen de container in een e-mailbericht op een linkje naar een intranetpagina klikt, dan kun je dankzij de VPN-verbinding direct interne sites op intranet bekijken. Dat lukt je echt niet als je via een native app werkt.” Verhaar: “Capsule Workspace zorgt er ook voor dat je altijd dezelfde gebruikerservaring hebt, of je nu werkt op bijvoorbeeld op een nieuwe iPhone 7 of de iPad.”
Bescherming tegen malware
“Maar de container beschermt je nog niet tegen malware die zich op de smartphone nestelt om bijvoorbeeld de gebruiker te bespioneren of het toestel te gijzelen”, vervolgt Bakker. “Daarvoor zetten wij Mobile Threat Prevention van Check Point in.
Ook voor tools zoals Mobile Threat Prevention geldt volgens Bakker dat de adoptie in de praktijk traag kan verlopen. “Je gaat aan het gereedschap van mensen zitten. Als je aan een timmerman vraagt of je hem een andere schroefmachine mag geven, dan is de kans groot dat je als antwoord ‘nee’ krijgt. Het is aan de CIO’s en CISO’s om de business ervan te overtuigen dat die nieuwe securitytools echt nodig zijn. Mobiele apparaten niet beveiligen, is niet meer verantwoordelijk.”