Apps die jouw informatie versturen zonder je toestemming!

Gisteren berichtte ik nog over een onderzoek van de Sunday Times waarin apps vertrouwelijke informatie bleken te versturen naar India en China. Vandaag zijn verschillende organisaties in de Verenigde Staten aangeklaagd voor het distribueren van dit soort apps. Het betreft Facebook, Apple, Twitter, Yelp en 14 andere organisaties. Dit bericht geeft aan dat het ecosysteem rondom appstores onder het vergrootglas ligt. Ik ben ervan overtuigd dat app-whitelists een goede maatregel zijn om dit probleem te adresseren.

De Australische Department of Defence (Intelligence & Security) heeft in 2011 een top 35 maatregelen opgesteld waarmee een groot aantal cyberaanvallen op Australische overheidsinstellingen zijn tegen gehouden. Sterker nog, met de top vier maatregelen zijn in 2010 meer dan 80% van de aanvallen tegengehouden. De top vier maatregelen bestaat uit:

• Patchen van operating systems.
• Patchen van applicaties.
• Beperken van admin rechten.
• Toepassen van applicatie-whitelists.

Als een maatregel als applicatie-whitelists goed werkt in een Windows-omgeving, is het dan een goede maatregel voor smartphones?

Android stelt aardig wat eisen aan de gebruiker als het gaat om security. Apple daarentegen veel minder. Bij Android wordt een gebruiker gevraagd bewust in te stemmen met het toewijzen van allerlei rechten aan nieuwe apps. Dit kan echter doorslaan in het toekennen van teveel rechten. En daar kunnen kwaadaardige apps misbruik van maken zonder dat gebruikers dat door hebben.  

In een onderzoek bij standaard Android smartpones is gebleken dat het permissiemodel door verschillende modellen niet op de juiste manier is geimplementeerd. En daar kunnen kwaadaardige apps vrij eenvoudig misbruik van maken. Gebruikersinformatie wissen, SMS-berichten versturen of ongevraagd gesprekken opnemen behoren tot de mogelijkheden.

App-whitelists bieden hier een goede uitkomst hoewel ze natuurlijk de vrijheid beperken die je de gebruikers bij Bring Your Own Device wilt geven. Een oplossing die hierbij helpt is het afschermen van bepaalde API's zodat alleen goedgekeurde applicaties worden toegelaten. Daarnaast zouden bepaalde apps en signatures van ontwikkelaars op een blacklist gezet kunnen worden. 

Het toepassen van app-whitelists is niet eenvoudig, maar er zijn goede resultaten mee behaald in de Windows-omgeving. Gelukkig ontwikkelen verschillende security vendors betere anti-malware oplossingen voor mobiele apparaten waar ook whitelists tot de mogelijkheden behoren.

Speelt Bring Your Own Device bij jou in de organisatie? Bespreek dit dan vanaf het begin met de gebruikers. Zoek naar de juiste balans tussen individuele gebruikerservaring (onbeperkte functionaliteit) en goede beveiliging (o.a. app-whitelists). Gebruikers zijn in mijn ogen echt aan te spreken op de verantwoordelijkheid die ze hebben bij het verwerken van vertrouwelijke bedrijfsinformatie. Zeker als ze dat doen op hun eigen apparatuur, in hun eigen omgeving en via een provider die ze zelf hebben gekozen.

Ga niet uit van de standaard security van smartphones!

Met meer dan twintig jaar ervaring op het snijvlak van IT en organisatie verbaas ik me elke dag weer over de staat van security binnen organisaties. BYOD brengt de IT-afdeling in verwarring waardoor de rem erop gaat. Security speelt daarbij een belangrijke rol. Dat is terecht, maar het gesprek met de gebruikers moet wel gevoerd worden!