Meer dan 9 op de 10 Android apparaten draait op verouderde software

Ruim 90% van de Android smartphones en tablets draaien op een verouderde versie van het Android besturingssysteem. De apparaten zijn hierdoor kwetsbaar voor bekende beveiligingsgaten die in nieuwere Android versies zijn gedicht.

Dit blijkt uit onderzoek van Duo Security, dat in totaal een miljoen mobiele apparaten heeft onderzocht. Het onderzoek geeft een zorgwekkend beeld van de beveiliging van met name Android apparaten. Zowel consumenten als zakelijke gebruikers blijken op hun Android smartphones en tablets op grote schaal verouderde Android versies te draaien. Van de zakelijke apparaten zou bijna een derde (32%) nog draaien op Android 4.0 of ouder. Hierdoor zijn de smartphones en tablets kwetsbaar voor allerlei beveiligingsgaten, waaronder het beruchte Stagefright.

Rooten

Gebruikers kunnen Android apparaten rooten om root-rechten te bemachtigen. Dit geeft gebruikers meer mogelijkheden hun apparaten aan te passen, maar biedt aanvallers ook de mogelijkheid deze rechten te misbruiken. Van de zakelijke apparaten blijkt één op de twintig geroot te zijn.

Duo Security heeft ook naar apparaten gekeken die draaien op Apple’s iOS besturingssysteem. Ook deze apparaten blijken in veel gevallen niet up-to-date te zijn, al gaat het om een kleiner percentage dan op het Android platform. Slechts 20% van de iPhones draait op dit moment op de meest recente versie van iOS: versie 9,2. Dit percentage is op het Android platform echter nog lager. Ter vergelijking: 6% van alle Android apparaten draait op de meest recente versie van Android, versie 6.0 Marshmallow.

Werknemers beter voorlichten

Het beveiligingsbedrijf stelt dat bedrijven werknemers beter moeten voorlichten over de risico’s die zij nemen door apparatuur niet up-to-date te houden. Wel merkt Duo Security op dat er nog steeds mobiele apparaten op de markt zijn die nooit security updates ontvangen van hun fabrikant. Deze apparaten vormen hiermee zelfs als zij net nieuw uit de doos komen een beveiligingsrisico voor bedrijven. Organisaties doen er dus verstandig aan fabrikanten die geen updates beschikbaar stellen voor smartphones en tablets links te laten liggen.

Henry Seddon, hoofd van de Europese afdeling van Duo Security, zegt tegenover Computer Weekly dat het bewust maken van gebruikers over de risico's die zij nemen slechts een deel van de oplossing is. Bedrijven zouden ook moeten investeren in systemen die het voor werknemers eenvoudig maken apparaten up-to-date te houden en hen stimuleren van dit systeem gebruik te maken. Indien organisaties dit niet doen zullen er altijd apparaten worden gebruikt met verouderde besturingssystemen, waardoor bedrijven kwetsbaar zijn voor malware en cyberaanvallen.

Aanbevelingen

Duo Security adviseert daarom:

• Een beveiligingsbeleid op te stellen voor mobiele apparaten.
• Werknemers te stimuleren een inlogcode of inloggen via vingerafdrukken te activeren op hun mobiele apparaat.
• Apparaten die zijn gejailbreakt of geroot geen toegang te geven tot bedrijfsgegevens en -systemen.
• Werknemers eraan te herinneren te controleren of apparaten nog up-to-date zijn en indien nodig updates te installeren.
• Verouderde apparaten die niet meer worden ondersteund door fabrikanten zo snel mogelijk te vervangen.
• Werknemers die voor Android willen kiezen te adviseren te kiezen voor een Nexus smartphone, aangezien deze sneller en directer worden geüpdatet dan veel andere Android smartphones.
• Medewerkers te ondersteunen bij problemen waar zij mee te maken hebben bij het updaten van hun apparaten. Denk hierbij aan het vrijmaken van voldoende ruimte om updates te kunnen installeren.
• Gratis tools te gebruiken om apparaten waarop ernstige beveiligingsgaten aanwezig zijn te kunnen detecteren.