Home Security Drie belangrijkste gevaren bij mobiele applicaties

Drie belangrijkste gevaren bij mobiele applicaties

0

Mobile computing heeft de laatste jaren flink aan populariteit gewonnen. We gebruiken mobiele toestellen in feite als een kleine computer. Het is dan toch eigenlijk best vreemd dat veel organisaties niet de nodige maatregelen treffen om alle data op een mobile device goed te beschermen. Want medewerkers kunnen ook op een mobiele telefoon een virus krijgen, of malware. Wat zijn de grootste bedreigingen bij mobile computing? En hoe moeten bedrijven hierop inspringen?

1. Gevoelige data
Net als bij gewone web-applicaties is het lekken van gevoelige data een probleem bij mobiele applicaties. En ook al denken we dat hackers weinig kunnen met op het blote oog onschuldige informatie, toch zijn ze hiermee vaak in staat om veel kwaad aan te richten.

Hoe doen hackers dit? Mobiele gebruikers blijken veel persoonlijke data – denk hierbij aan naam, adres en telefoonnummer – te versturen via ongecodeerde netwerkprotocollen. Maar hackers blijken ook de huidige locatie van de gebruiker en de Unique Device Identifier (UDID) te kunnen opsporen. Deze code is voor iedere iPhone, iPad of iPod uniek. UDID geeft veel persoonlijke informatie weg, zoals op welke wijze een gebruiker apps of een iPhone gebruikt. Ontwikkelaars van apps krijgen hiermee een beeld van het interessegebied. Deze informatie verkopen zij dan ook aan tal van adverteerders. Inmiddels maakt Apple het niet meer mogelijk om gebruik te maken van UDID, maar oude apps die nooit zijn geüpdatet kunnen de informatie wel uitlezen. UDID is inmiddels vervangen door de Ad-ID. Het enige verschil met UDID is dat gebruikers Ad-ID zelf kunnen blokkeren, maar weten werknemers dit ook?

Hackers kunnen alle persoonlijke informatie en gegevens over de manier waarop users apps gebruiken onderscheppen via mobiele applicaties. Door het combineren van alle data zijn ze in staat om op zeer gepersonaliseerde wijze een aanval uit te oefenen. Daarnaast kan de gebruiker de privacygevoelige data via een applicatie naar een webservice sturen die niet goed is beveiligd. Het gevolg hiervan is dat hackers alle gegevens die op het mobiele apparaat staan, kunnen uitlezen. Dat betekent dus ook dat zeer gevoelige gegevens zoals wachtwoorden op straat komen te liggen.

2. Diefstal
Iedereen kan het zich nog wel herinneren, de zeer gevoelige informatie die naar boven kwam als de laptop van een rechter of rechercheur was achtergelaten in bijvoorbeeld een taxi. Inmiddels zijn we op de hoogte van de risico’s die we lopen als we laptops of pc’s niet goed beveiligen. De helft van de Nederlandse bedrijven staat BYOD toe. Waarom beveiligen organisaties mobiele applicaties dan niet goed genoeg? We lopen hierbij immers nog meer risico dan op het moment dat een laptop in verkeerde handen valt.

Het gros van de bedrijven heeft de data die opgeslagen zijn op mobiele apparaten niet beveiligd. Een kwaadwillende heeft hierdoor vrij spel om toegang te krijgen tot bedrijfsgevoelige data.

3. Kwaadaardige open applicaties
Uiteraard weten we dat applicaties gevoelig zijn voor gevaren van buitenaf. Maar organisaties vergeten te vaak dat applicaties niet alleen beschermd moeten worden tegen zulke externe dreigingen, maar ook tegen andere applicaties die zijn opgeslagen op een mobiele telefoon. Applicaties slaan namelijk dikwijls informatie op de telefoon op die weer te lezen is vanuit andere applicaties.

Een andere, veel vergeten, dreiging komt van snelle marketingapps. Hierbij kun je denken aan applicaties, die speciaal ontwikkeld zijn om bezoekers van een evenement informatie te verschaffen. Zoals een plattegrond van de locatie, welke presentaties er waar worden gehouden of wie de keynote speakers zijn. Zulke apps worden vaak snel en vluchtig op de markt gebracht, zonder dat ze eerst goed getest worden op de belangrijkste security-aspecten. Nadat het evenement heeft plaatsgevonden, verdwijnen de apps dan ook weer snel uit de app stores. Deze open applicaties scoren in veel gevallen zeer laag op het gebied van veiligheid. Toegang tot persoonlijke informatie is voor hackers op die manier eenvoudiger te verkrijgen.

Risico’s vermijden
Om deze beveiligingsproblemen te vermijden, moeten bedrijven zich van de gevaren bewust zijn en een aantal maatregelen treffen. Denk hierbij aan het handmatig controleren op eventuele gevoeligheden waardoor datalekken of andere kwetsbaarheden ontstaan. Of aan het analyseren van de code zodat fouten hierin tijdig opgespoord kunnen worden. Ontdekt een organisatie de fouten op tijd, dan kunnen ze deze nog tijdens het ontwikkelen van de applicatie herstellen. Daarnaast kunnen bedrijven gebruikersvriendelijke data encryptie gebruiken zodat bestanden ten allen tijde beschermd zijn, waar ze ook staan. En dat is een stuk goedkoper dan het achteraf te corrigeren.

Henk van der Heijden, Partner en oprichter TecHarbor & MD a.i. bij Comsec Consultancy

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here