Het aanschaffen van een beveiligingspakket met frequente updates is bij consumenten en in het bedrijfsleven gemeengoed. Heel anders ligt dat met mobiele apparatuur, terwijl smartphones in feite toch computers in het klein zijn en behoorlijk complexe en potentieel kwetsbare software aan boord hebben. Nu het e-mailen, webbrowsen en downloaden van applicaties met smartphones met sprongen toeneemt, ligt het voor de hand ook deze apparaten van een securitypakket te voorzien.

Toch is het gebruik van software voor mobiele beveiliging nog niet wijdverbreid, constateert AV-Comparatives. Dit ondanks het feit dat veel mensen belangrijke persoonlijke gegevens, privéfoto’s en soms zelfs bedrijfsgegevens op hun mobiele telefoons opslaan. “Tegenwoordig kan niemand die een smartphone gebruikt zonder securitysoftware”, menen de onderzoekers. Iedere smartphone behoort beschermd te zijn, of hij nu privé of zakelijk wordt gebruikt.”

Smartphones lopen bovendien een specifiek risico: ze zijn klein en relatief duur, waardoor ze een begeerlijk object voor dieven zijn. Valt een smartphone eenmaal in de verkeerde handen, dan heeft de dief vaak vrij spel. Hij kan bellen op kosten van de rechtmatige eigenaar of de simkaart verwisselen zodat de eigenaar het toestel niet meer kan bereiken. Een beveiligingspakket kan de telefoon blokkeren als een niet-geautoriseerde simkaart wordt gedetecteerd.

AV-Comparatives beschouwt bescherming tegen de gevolgen van verlies of diefstal dan ook als een van de nuttigste functies van een mobiel beveiligingsproduct. De eigenaar kan zijn smartphone via het mobiele netwerk blokkeren, de inhoud wissen, of achterhalen waar het toestel zich bevindt door op afstand de gps-coördinaten op te vragen.

Een andere essentiële voorziening is volgens AV-Comparatives een firewall, zoals die ook op pc’s en netwerkapparatuur gangbaar is. De gebruiker kan in de firewall aangeven welke applicaties verbinding met internet mogen maken en de communicatie van en naar andere apps blokkeren.

Het Nederlandse IT-securitybedrijf Fox-IT plaatst kanttekeningen bij de noodzaak om een smartphone nu te beschermen met een antiviruspakket. Ronald Westerlaken, productmanager Gsm-beveiliging: “Dat er sprake is van een steeds grotere dreiging klopt op zich wel. Alleen is de dreiging niet direct waarneembaar. Het aantal virussen dat in omloop is gebracht voor de mobiele markt is echt heel beperkt. Het zijn er eerder tientallen dan miljoenen.”

Anderzijds wijst Westerlaken op recente en toekomstige ontwikkelingen die smartphones tot een ‘interessant doelwit’ van kwaadwillenden kunnen maken. “Vijf of tien jaar geleden belde je alleen met je mobiele telefoon. Nu staat je e-mail erop en over vijf jaar is het misschien heel normaal dat je er spullen mee koopt, je bankzaken mee regelt en creditcardgegevens intoetst. Dan is het wel heel belangrijk dat je je telefoon goed beveiligt. Alles valt immers te kraken. De besturingssystemen van telefoons zijn relatief nieuw. Daar zit altijd wel een kwetsbaarheid in. Vergis je niet in de complexiteit van de software in zo’n klein toestel. Dus maak je als ontwikkelaar ook fouten.” Fox-IT krijgt al wel regelmatig vragen van klanten die willen weten hoe ze vertrouwelijke informatie op mobiele telefoons van een bepaald type kunnen beveiligen.

Westerlaken ziet nog een ander risico aan smartphones kleven, namelijk de mogelijkheid voor de gebruiker extra applicaties te downloaden en te installeren. De marktplaatsen (app stores) voor de iPhone en Android vormen een gecontroleerde omgeving, wat de vrijheid om virussen te verspreiden beperkt. Westerlaken: “Zomaar malafide applicaties installeren op een smartphone gaat helemaal niet zo makkelijk. Maar het is voor Apple ondoenlijk om elke applicatie te scannen op wat hij precies doet. Daar zit wel een bepaalde dreiging in. Het is alleen de vraag of een virusscanner je daarbij gaat helpen, want het is een valide applicatie.”

Nienke Ryan, product- en strategiemanager van ESET-distributeur Spicy Lemon, ziet in hoofdzaak drie bedreigingen van smartphones: het afhandig maken van privégegevens, onderschepping van vertrouwelijke informatie zoals creditcardgegevens tijdens het websurfen, en het automatisch versturen van dure sms-berichten door applicaties. Ryan noemt naast bescherming tegen malware de aanwezigheid van een firewall, het wissen van data na diefstal, het ‘matchen’ van de telefoon met een bepaalde simkaart en blokkeren van sms-spam als belangrijke functies.

Volgens Ryan is ESET Mobile Security ontwikkeld met het oog op de toekomst. Zij vindt de huidige situatie op de mobiele markt vergelijkbaar met die op de pc-markt eind jaren tachtig, toen de eerste virussen voor pc’s opdoken. Groot verschil is dat internet nu alomtegenwoordig is en malware zich veel sneller kan verspreiden. Ryan erkent dat de dreiging van mobiele malware vooralsnog niet in de hoeveelheid aanvallen zit. Maar als iemand toch het slachtoffer wordt, is de impact groot. “Mobiele malware wordt vooral ontwikkeld door cybercriminelen om er rijker van te worden. Zo is er een Windows Mobile-virus bekend dat automatisch dure sms’jes verstuurt, waarvan de opbrengsten naar de malwaremakers gaan”, aldus Ryan. Ook zij wijst erop dat niet alle applicaties in de onlineapplicatiewinkels voor mobieltjes (Android Market, Nokia Store) te vertrouwen zijn. Er zitten apps tussen die pretenderen een handige toepassing te zijn, bijvoorbeeld een media­speler, maar in werkelijkheid dure sms-berichten versturen.

De iPhone is door de strikte regulering door Apple in principe beter beschermd, maar daar ligt een ander gevaar op de loer: jailbreaking. Nadat een iPhone is gekraakt, is het risico op ‘rogue’-applicaties wel groter.

Consumenten handelen op hun mobiele telefoon ook zakelijke e-mail af en smartphones maken steeds meer deel uit van bedrijfsnetwerken. Systeembeheerders moeten daarom volgens Ryan nu al nadenken over de beveiliging van smartphones.

Securityproducten

Vier pakketten vergeleken

In het rapport van AV-Comparitives komen vier pakketten aan bod voor de beveiliging van smartphones met Windows Mobile of Symbian als besturingssysteem: producten van ESET, F-Secure, Kaspersky en Trend Micro. Daarnaast bekeken de onderzoekers producten voor Android van F-Secure en Trend Micro en een pakket voor de iPhone (Trend Micro SmartSurfing).Ofschoon AV-Comparatives zijn publicatie aanduidt als een ‘product review’, worden nauwelijks harde uitspraken gedaan over de kwaliteit van de producten. Veel meer dan een uitgebreide beschrijving van alle features bieden de onderzoekers niet en de indruk wordt gewekt dat alle producten eigenlijk wel goed zijn.F-Secure Mobile Security krijgt wel een paar kritische kanttekeningen. Zolang de smartphone niet is geblokkeerd, blijkt het mogelijk alle instellingen van het securitypakket te wijzigen. Een simpel wachtwoord had dit kunnen voorkomen. F-Secure heeft op dit punt beterschap beloofd. Verder is de prijs van het pakket relatief hoog: bijna 40 euro per jaar.Een kritiekpunt op Kaspersky Mobile Security is dat als een smartphone met een sms-bericht op afstand is geblokkeerd, zelfs het bellen van 112 niet meer mogelijk is. Dat laatste druist in tegen EU-richtlijnen. Een klein manco van Kaspersky’s firewall is dat de gebruiker geen regels kan opstellen om uitzonderingen op de vier standaardmodi te maken.Op het product van Trend Micro valt kennelijk hoegenaamd niets aan te merken. ESET Mobile Security mist een paar voorzieningen die de andere pakketten veelal wel bieden: data-encryptie en locatiebepaling op afstand. Maar ESET onderscheidt zich positief door een ‘elegante’ methode om twee ‘vertrouwde’ simkaarten te definiëren, bijvoorbeeld voor werk en privé. Ook is het pakket naar verhouding goedkoop bij aanschaf van een licentie voor meerdere toestellen.