Dit blijkt uit onderzoek van viaForensics, een Amerikaans bureau gespecialiseerd in digitaal gerechtelijk onderzoek dat honderd consumentenapps van het Android- en iOS-platform onder de loep nam.

Veel mensen gebruiken dezelfde gebruikersnamen bij verschillende onlinedienstverleners en daarmee is al de helft van de gebruikersnaam/wachtwoordbeveiliging tenietgedaan. Vooral bij sociale-netwerkapps is het slecht gesteld met de beveiliging. Zo slaat Facebook wachtwoorden wel veilig op maar de gebruikersnaam staat in platte tekst in het geheugen. Skype verzuimt ook de gebruikersnaam te versleutelen maar geeft daarbij ook vrij toegang tot gevoelige applicatiedata, zoals de profielen en e-mailadressen van vrienden en de inhoud van verzonden berichten. Tot de onveilige apps behoren die van de Chase Manhattan bank, Dropbox, Groupon, LinkedIn, Exchange en PayPal op de iPhone. Gmail op Android is ook onveilig omdat de inhoud van berichten niet is beschermd. Dezelfde toepassing voor de iPhone is, pikant genoeg, wel veilig. ViaForensics concludeert dan ook dat iOS-apps doorgaans beter van de platformbeveiliging gebruik kunnen maken dan die Android-apps.

Dat geldt overigens alleen voor toestellen met iOS 4.0 of hoger. Apple heeft bij die versie de beveiliging van de grond af opnieuw opgezet. Android 3.0 Honeycomb heeft volgens het bureau ook een goede platformbeveiliging maar dit besturingssysteem is alleen voor tablets geschikt. De courante smartphoneversies van Android bieden eenvoudig toegang tot de root, iets wat ontwikkelaars toejuichen. Die mogelijkheid stelt kwaadwillenden echter ook in staat makkelijk gegevens uit applicaties te halen.

De technieken die viaForensics toepaste zijn nu alleen mogelijk wanneer een kwaadwillende het toestel fysiek in handen heeft, bijvoorbeeld na verlies of diefstal. Maar die vereiste van fysieke toegang heeft zijn langste tijd gehad, verwacht Tim Hartog, projectmanager en consultant van TNO en gespecialiseerd in veilige softwarearchitectuur. “Ook als een smartphone fysiek nog in het bezit is van de rechtmatige eigenaar kan door middel van malware op de smartphone misbruik worden gemaakt van de telefoon, waaronder diefstal van credentials.”

Volgens viaForensics zijn het vooral de app-ontwikkelaars die alerter moeten zijn. Zij bepalen welke informatie een app opslaat in het geheugen van het toestel en hoe de app dat doet. Zo kunnen ze ervoor kiezen gevoelige data helemaal niet op te slaan, maar kunnen ook zelf een extra beveiligingslaag aanbrengen over wat het platform zelf al biedt.

Je weet niet wat je installeert
Eindgebruikers hebben zelf weinig mogelijkheden om een inschatting te maken van de veiligheid van de app die zij willen downloaden. Hartog: “Je kunt de code niet zelf controleren, je weet dus eigenlijk niet wat je installeert.” De appstores doen zelf ook weinig aan het controleren van de aangeboden apps op malware, laat staan op de veiligheid van de code, constateert Hartog. “Gezien het massale aanbod is het ook niet haalbaar elke app in hun appstore op bitniveau te controleren. Daarnaast zijn apps ook vrij te downloaden van internet en dan is het onbekend wat je binnenhaalt.”

De voorwaarden voor het bouwen van veilige apps verschillen volgens Hartog niet wezenlijk van die bij andere vormen van softwareontwikkeling. De ontwerpers moeten beginnen met een analyse van de mogelijke dreigingen ten aanzien van de app en de bijbehorende data. Op basis hiervan dienen de noodzakelijke beveiligingsmechanismen geïmplementeerd te worden. Dit kan bijvoorbeeld zijn: een authenticatiemechanisme voor toegang tot de app, veilige opslag van wachtwoord/pincode, beveiligde opslag van data van de toepassing en het locken van de app nadat deze een bepaalde tijd niet is gebruikt.