'Elke 10 seconden een nieuwe Android-bedreiging'

IT-beveiliging en Android lijken in 2018 een stuk nader tot elkaar te komen. Google heeft al de basis gelegd met Project Treble, waarmee belangrijke updates sneller kunnen worden geleverd aan gebruikers om zo geen tijd te verliezen met het dichten van gaten in de beveiliging. Wereldwijd maakt zo'n 74% van de mobiele telefooneigenaars gebruik van een smartphone met een Android-besturingssysteem (bron: Statcounter). Daarom is het niet vreemd dat de beveiligingsdeskundigen van G DATA malwarestatistieken voor Android zien groeien.  Alleen al in het eerste kwartaal ontdekten analisten 846.916 nieuwe Android-malwaresoorten. Dat is ongeveer 12 procent meer dan in het eerste kwartaal van het voorgaande jaar. 

G-DATA In het eerste kwartaal van 2018 ontdekten de G DATA-veiligheidsexperts dagelijks gemiddeld 9.411 nieuwe soorten malware voor het populaire Android-besturingssysteem. Omgerekend betekent dat elke 10 seconden een nieuwe type malware. Voor 2018 als geheel voorspellen de G DATA-analisten ongeveer 3,4 miljoen nieuwe Android-bedreigingen.

Deze cijfers tonen aan dat de bedreiging voor de gebruikers van Android-smartphones groeit. Cybercriminelen weten maar al te goed dat deze mobiele apparaten worden ingezet voor allerlei digitale taken, van winkelen en bankieren tot het versturen va zakelijke e-mails. De Android-ontwikkelaars stellen alles in het werk om alle smartphones en tablets effectiever en sneller te laten voorzien van belangrijke updates. Apparaten die volledig up-to-date zijn, zijn immers minder vatbaar voor aanvallen van de cybercriminelen, doordat beveiligingslekken zijn gedicht door patches.

Google certificeert geen smartphones met verouderde Android

Google certificeert niet langer apparaten die met Android 7 ('Nougat') als besturingssysteem zijn uitgerust. De beslissing is niet verwonderlijk, omdat het bedrijf met 'Project Treble' en andere maatregelen al is begonnen om fabrikanten te overtuigen om smartphones op tijd uit te rusten met updates en de nieuwste versie van Android.

Voor fabrikanten is het van groot belang dat hun apparaten gecertificeerd zijn. Dit is de enige manier om toegang te krijgen tot Google Mobile Services, die alle services en apps van het bedrijf omvatten, inclusief de Playstore. De eisen die aan fabrikanten worden gesteld voor certificering zijn vastgelegd in het zogenaamde 'Compatibility Definition Document'. Vandaag de dag moeten smartphones en tablets geleverd worden met Android 8. Dit zorgt ervoor dat 'Project Treble' op alle nieuwe apparaten wordt geïmplementeerd. Maar hebben fabrikanten nu al mazen gevonden? Dit wordt gesuggereerd in een recent rapport van de veiligheidsonderzoekers van Security Research Labs.

Sjoemelen fabrikanten met Android updates?

Beveiligingsexperts bekritiseren smartphonefabrikanten vanwege het misleiden van klanten over updates van hun apparaten en het geïnstalleerde Android-besturingssysteem. Het gaat om meer dan 1.000 smartphones, waaronder apparaten van bekende fabrikanten, vooral in de instap- en middenklasse modellen. De gebruiker wordt verteld dat het apparaat over alle beschikbare beveiligingsupdates beschikt en up-to-date is, terwijl dat in feite niet waar is. Fabrikanten gaan zelfs zo ver, dat zij de datum van de laatste update veranderen zonder daadwerkelijk nieuwe patches te installeren. Gebruikers merken dit niet op en gaan ervan uit dat hun apparaat up-to-date is. Maar dit gebeurt niet altijd opzettelijk. Bij sommige fabrikanten kunnen technische problemen de oorzaak zijn van onjuiste levering van updates. Ook de ingebouwde processors zijn cruciaal: Bij smartphones met Samsung chips, bijvoorbeeld, komen deze problemen veel minder vaak voor dan bij apparaten met processors van Mediatek. De reden: Fabrikanten van smartphones vertrouwen voor patches op processorleveranciers. Als de chipfabrikanten niet leveren, kunnen de leveranciers van de apparaten de update niet publiceren.

Rechtszaak over consumentenbescherming tegen de update-jungle

De update-jungle is net zo verwarrend voor consumenten die een smartphone willen kopen als voor de professionals. Bij laaggeprijsde smartphones zijn kopers vaak bereid om bijvoorbeeld genoegen te nemen met een lagere kwaliteit camera. Deze informatie is eenvoudig te vinden in de productbeschrijving. Maar er is geen manier om te zien wanneer, of en hoe lang updates voor elk apparaat verschijnen. Meestal wordt alleen verwezen naar de in de fabriek geïnstalleerde versie van het besturingssysteem

De Nederlandse Consumentenbond wil dat smartphonefabrikanten verplicht worden om de consument minimaal 4 jaar lang na de introductie van elk toestel van updates te blijven voorzien. Dit was de inzet van een rechtszaak die de Bond heeft aangespannen tegen Samsung. Fabrikanten zijn het niet met deze eis eens, met als belangrijkste argument dat de consument beveiliging ˈniet belangrijk vindtˈ. De uitspraak wordt verwacht op 23 mei aanstaande.