‘Googles Android is de nieuwe Flash’

Het ernstigste Android lek in tijden, Stagefright, blijkt nog gevaarlijker dan gedacht. Niet alleen is het mogelijk om met een enkel mms-berichtje malware te installeren en de smartphone over te nemen, volgens beveiliger Trend Micro kan dat ook via een website of een app. Nagenoeg alle Android toestellen lopen gevaar. ‘Android is inherent onveilig’.

Het Stagefright lek gaf aanleiding tot een stevig artikel van Daniel Eran Dilger onder de titel Googles Android is de nieuwe Flash, met verwijzing naar de plugin die voortdurend wordt aangevallen door cybercriminelen. Toegegeven: de kritiek komt uit verdachte hoek: Dilger schrijft voor Apple Insider, een van de betere Apple nieuwssites. En niet verrassend komt Dilger tot de conclusie dat Apple zijn beveiliging veel beter heeft geregeld. Maar daarmee heeft hij nog niet ongelijk.

Natuurlijk is het appels met peren vergelijken. Cybercriminelen richten zich op softwaresystemen met het grootste bereik, daarom heeft Windows last van virussen en ransomware en MacOSX nauwelijks. Daarom tref je de meeste malware aan op Android en niet op iOS. Onderzoeker Patrick Wardle liet een dezer dagen aan Threatpost weten dat de malware die op MacOS X wordt aangetroffen technisch gezien ‘hopeloos achterloopt’ bij die voor Windows.

Maar zou MacOS X of iOS het grootste marktaandeel hebben gehad, dan zou Apple vermoedelijk zijn handen vol hebben aan het repareren van beveiligingslekken. Dilger wijst echter ook op de verschillen van aanpak die ervoor zorgen dat Android inherent onveilig is.

Apple repareert lekken voor al zijn systemen, soms tot vijf jaar terug. Android kent daarentegen enorm veel verschillende versies omdat fabrikanten hun eigen aanpassingen maken. Op het moment dat Android een nieuwe systeemupdate heeft uitgebracht, duurt het vaak maanden voordat ze de eindgebruiker hebben bereikt. Oudere smartphones worden al helemaal niet meer bijgewerkt.

Dilger citeert beveiligingsonderzoeker Nicholas Weaver, die zegt: ‘Stel je voor dat Microsoft zijn beveiligingsupdate via Dell of je internetaanbieder aanbiedt, en geen van beiden dat veel kan schelen. Dat is wat er met Android aan de hand is.’

Misschien kan Google voortaan beter zelf zorgdragen voor zogenoemde kernelupdates, voor zover ze de fabrieksschillen van HTC of Samsung niet in de weg zitten. Dat zou ook als voordeel hebben dat oudere versies van de systeemsoftware in elk geval nog van beveiligingsupdates worden voorzien. Vooropgesteld dat Google zijn updates zelf sneller distribueert dan nu het geval is. Zelfs voor zijn eigen Nexus toestellen worden updates vaak druppelsgewijs aangeboden, waardoor gebruikers soms weken moeten wachten.

Dilger stelt echter ook dat Android van zichzelf onveilig is. Dat komt omdat Android toestaat dat software op allerlei manieren kan worden geïnstalleerd, via een URL of draadloos via NFC. Bij iOS is dat niet mogelijk. Software kan, in elk geval zolang het toestel niet is gekraakt met Jailbreak-software, alleen worden geïnstalleerd via de App Store, waar Apple controle houdt over de apps.

Het verschil in aanpak heeft te maken met het open source-karakter van Android. Google wil ontwikkelaars meer vrijheid geven, maar die vrijheid heeft als nadeel dat het enorm makkelijk is om malware op Android te installeren.

Die malware is niet het bijproduct van populariteit, zegt Dilger, zoiets als dat katten vlooien hebben. Het is omdat Google en zijn afnemers beveiliging niet serieus willen nemen.