Android en beveiliging in 2018: het eindverslag
Google geeft elk jaar ons een overzicht met hoe het veiligheid voor Android heeft geregeld voor zijn 2 miljard gebruiken. Het rapport van 2018 is gepubliceerd via het Google Security Blog, waarbij twee zaken opvallen: er zijn meer veiligheidsupdates uitgerold en er zijn minder kwaadaardige applicaties op telefoons te vinden. Ook staat Google kort stil bij de beveiligingsverbeteringen die in Android 9.0 Pie zijn doorgevoerd.
Zo is de omgeving waarin een applicatie kan draaien strenger en veiliger gemaakt, en moeten apps standaard nu een hogere Androidversie als doel hebben om zo de nieuwste veiligheidsfeatures te omarmen. Daarnaast is er bijvoorbeeld met de Pixel 3-serie een aparte chipset puur voor de veiligheid toegevoegd genaamd Titan M. Meer informatie kan je in dit artikel lezen.
Kwaadaardige applicaties
Er wordt in het verslag uitvoerig ingegaan op het tegenhouden van installaties van kwaadaardige applicaties en het in de gaten houden hiervan als deze wel zijn geïnstalleerd. Dit gaat door middel van Google Play Protect. Hierover heeft Google al eerder dit jaar een aparte update gegeven om te beschrijven hoe Play Protect applicaties in de gaten houdt, of deze nou uit de Play Store zijn gedownloaded of niet.
De focus ligt op zogenoemde PHA’s, ofwel Potential Harmful Applications. De term betekent letterlijk ‘potentieel schadelijke app’ en omschrijft verschillende malwarecategorieën zoals achterdeur-apps, sms-fraude, ransomware, spam-apps en spyware. Daarnaast vallen root-apps ook onder de PHA’s, omdat ze mogelijk schade kunnen toebrengen onder andere door de beveiliging van een toestel te verzwakken.
Google Play Protect scant dagelijks zo’n 500.000 apps via onder andere de cloud. Zo worden er kwaadaardige apps tegengehouden voordat ze in de Play Store kunnen worden gezet. In 2018 is Play Protect standaard ingeschakeld bij alle nieuwe toestellen, meteen als deze aan worden gezet. Ook krijgen gebruikers een melding als ze een app downloaden buiten de Play Store die nieuw is of zelden wordt gescand.
Als een app onveilig is krijgen gebruikers hier ook een nieuwe melding over die aangeeft dat ze op het punt staan een kwaadaardige app te openen. Deze melding wordt slechts eenmalig getoond om de gebruiker niet al te veel lastig te vallen, anders is Play Protect meer irritant dan nuttig volgens Google. Daarnaast kan Google nu gemakkelijker apps die zich niet houden aan de regels van de Play Store en bijvoorbeeld privacy issues hebben makkelijker automatisch uit de Play Store verwijderen. Play Protect kan je benaderen via het zij-menu in de Google Play Store.
Een leuke toevoeging aan Find My Device, ofwel ‘vind mijn apparaat’, is dat er nu ondersteuning voor plattegronden van grote gebouwen is toegevoegd. Mocht je je apparaat dus bijvoorbeeld op het vliegveld kwijtraken, dan kan je preciezer bekijken waar de telefoon zich bevindt.
In 2018 is het testproces waarmee vooraf geïnstalleerde apps op telefoons worden gescand uitgebreid. Fabrikanten sturen hun volledige Android-versie op naar Google, waarna er wordt gechecked of er geen PHA’s aanwezig zijn. Dit gebeurt zowel bij de introductie van een apparaat als bij software-updates. PHA’s zijn hier een groter gevaar dan je wellicht denkt: Google legt uit dat vooraf geïnstalleerde applicaties veelal meer rechten kunnen verkrijgen dan normale apps die de gebruiker zelf installeert, en er kunnen zo in potentie veel meer mensen bereikt worden, wat weer interessant voor cybercriminelen is. In 2018 zijn er op deze manier 242 versies van Android van fabrikanten tegengehouden.
Google heeft voor 2018 apps die klikfraude uitvoeren ook als PHA’s meegeteld. Deze apps simuleren kliks op bijvoorbeeld advertenties zonder toestemming van de gebruiker. Recentelijk is een groot netwerk hiervan nog opgerold. Hierdoor is het percentage PHA’s vanuit de Google Play Store zelf gestegen van 0.02% naar 0.04%. Worden apps met klikfraude niet meegeteld, dan is er een daling van 31% van 2017 naar 2018 waar te nemen.
Al met al hebben gebruikers die apps uitsluitend uit de Play Store 8x minder kans om getroffen te worden door een PHA. Van de apparaten die enkel van de Play Store gebruik maken heeft slechts 0,08% één of meer PHA’s, hetzelfde percentage als vorig jaar en iets hoger dan 2016. Sinds 2014 is minder dan 1% van alle apps in de Play Store een PHA. In 2018 is dit 0,04%, tegenover 0,02% in 2017. Dit komt zoals genoemd door de toevoeging van apps met klikfraude in de categorie PHA’s. In 2018 zijn in totaal 0,45% van alle apparaten getroffen door een PHA, vergeleken met 0,56% in 2017. Dit is een 20% verbetering.
Kijken we naar PHA’s en de gebruikte versies van Android, dan zien we hoe ouder de Android-versie hoe hoger het percentage PHA’s is op een apparaat. Zo heeft 0,65% van apparaten met Android 5 Lollipop een PHA, terwijl dit op het meest recente Android 9.0 Pie slechts 0,18% is. Dit komt omdat Android door de jaren heen steeds veiliger is gemaakt: nieuwere versies maken het lastiger voor apps om verregaande rechten te bemachtigen en Google Play Protect kan kwaadaardige apps makkelijker van apparaten verwijderen.
De soorten PHA’s in 2018 in de Play Store zijn hierboven te zien. Verreweg de grootste categorie met 54,9% zijn apps met klikfraude. Deze apps zijn verboden in de Play Store waardoor Google ze gemakkelijker kan blokken. Klikfraude-apps kwamen vorig jaar het meeste voor in de Verenigde Staten, Brazilië en Mexico. De apps doen zich meestal voor als een zaklamp, een muziek- of game-app. Via een SDK kan er buiten de ontwikkelaar om fraude met advertentie-inkomsten worden gepleegd.
Soort PHA in de Play Store, 2017 vs 2018
Veiligheidsupdates
Google weet te melden dat in het vierde kwartaal van 2018 er 84% meer apparaten een veiligheidsupdate hebben ontvangen dan dezelfde periode het jaar ervoor. Dit komt onder andere door zaken als betere samenwerking met fabrikanten, nieuwe overeenkomsten, en programma’s als Android One en Android Enterprise Recommend. Daarbovenop draaide in december 2018 95% van de Pixel 3 en Pixel 3 XL-apparaten een veiilgheidspatch van de afgelopen 90 dagen.
Google geeft aan dat het bovendien heeft samengewerkt met de ontwikkelaars van de applicatie SnoopSnitch waarbij je kan checken of alle patches die een veiligheidsupdates bevat wel echt door de fabrikant zijn doorgevoerd. Dit is bijvoorbeeld bij custom roms veelal niet het geval: hierbij kan enkel het softwarematige gedeelte worden bijgewerkt en niet hardwarematige lekken. Ook onderzoekers en andere instanties die veiligheidslekken in Android ontdekken en melden krijgen hier betaald voor.
In 2018 is er in totaal in dit zogenoemde Android security rewards program 3 miljoen dollar uitgekeerd. Zo werd er tijdens het bekende hackevenement Pwn2Own een grote prijs gezet op kwetsbaarheden in de Google Pixel-serie. Er zijn tijdens dit evenement echter geen veiligheidslekken in de Pixel gevonden, en geen enkele gevonden kwetsbaarheid in andere Android-smartphones maakte gebruik van een kwetsbaarheid in Android zelf. Daarnaast is er in 2018 geen enkele kwetsbaarheid gepubliceerd die niet met een veiligheidsupdate of andere oplossing is verholpen.
Bovenstaand artikel licht enkele hoogtepunten van het volledige rapport genaamd ‘Android Security & Privacy 2018 Year in Review’ uit. Je kan het 31 pagina tellende rapport als PDF via deze link downloaden en lezen, met onder andere meer informatie over bedreigingen die buiten de Google Play Store om spelen.
Reacties
Inloggen of registreren
om een reactie achter te laten
Tijdens het handmatig scannen met Google Play Protect krijg ik vaak de melding ‘verificatie fout’. Iemand een idee waar het dan misgaat?
Nèt zoals Shakespeare komt het gevaar nooit van buiten, Maar vorm de techgigant het grootste gevaar zelf