Misschien wel de meest controversiële functie van Android zijn de updates. Geen malware, die gemakkelijk genoeg te weerstaan is, maar onregelmatige OS-updates. Zelfs updates voor applicaties en services, die vrij vaak worden uitgebracht, kunnen hun afwezigheid niet goedmaken, omdat ze op geen enkele manier systeemkwetsbaarheden elimineren die bijdragen aan het hacken en beheren van een geïnfecteerd apparaat via een externe verbinding. We zoeken uit waarom dit precies is wat er gebeurt en of het mogelijk is om ermee om te gaan.
Smartphones die geen systeemupdates meer ontvangen, lopen meer risico om gecompromitteerd te worden dan andere, legt Brian Higgins, beveiligingsexpert bij Comaritech, uit. Feit is dat het bestandssysteem, de beveiligingshulpmiddelen en zelfs de kern van het besturingssysteem voortdurend moeten worden verbeterd. Als dit wordt verwaarloosd, zal het systeem geleidelijk verslechteren, zich vullen met nieuwe kwetsbaarheden die aan het licht zullen komen als gevolg van de opkomst van nieuwe use-cases, en inderdaad een uitstekend platform worden voor het extraheren van gevoelige gebruikersgegevens van het apparaat.
Welke smartphones zijn het makkelijkst te hacken?
De praktijk leert dat hackers en andere aanvallers zich vaak richten op apparaten die geen updates meer ontvangen. Daarom verschijnen de meeste virussen en exploits voor oudere Android-generaties. Het punt is dat hackers, zelfs de meest geavanceerde hackers, eenvoudigweg de beveiligingssystemen van de nieuwste versies van het besturingssysteem niet kunnen omzeilen. Dit betekent natuurlijk niet dat ze in de toekomst niet zullen verschijnen, integendeel, zolang het apparaat updates ontvangt met bug- en kwetsbaarheidsoplossingen, zal het moeilijker zijn om ze te ontcijferen.
“Hackers kunnen verschillende hacktactieken gebruiken om verbinding te maken met het apparaat van hun slachtoffer en de benodigde gegevens uit het geheugen te halen. Ze kunnen u een kwaadaardig onderdeel sturen via WhatsApp of sms, en de gebruiker overtuigen om het ontvangen bestand zelf uit te pakken en zelf een kwaadaardige aanval op uw apparaat uit te voeren. Het is vrij eenvoudig om het te implementeren op oude OS-versies en veel moeilijker op nieuwere, omdat ze standaard een speciaal mechanisme bevatten om de lancering van malware te onderdrukken”, legt de expert uit.
Waarom updates nodig zijn
Het lijkt erop dat de uitleg van Higgins me had moeten overtuigen om mijn standpunt te veranderen dat Android-systeemupdates absoluut nutteloos zijn. Hier is het echter belangrijk om de theoretische voordelen van de updates, waar de expert het over had, te scheiden van de echte. Wat er nu gebeurt, kan immers nauwelijks een volledig Android-updateprogramma worden genoemd. Hoewel Google maandelijkse beveiligingspatches uitbrengt voor compatibele apparaten, heeft het ze waarschijnlijk 100 jaar van tevoren in de opslag. Natuurlijk overdrijf ik, maar de praktijk leert dat Google niet bewust alle bestaande kwetsbaarheden in één keer verwijdert, maar updates met fixes liever geleidelijk uitbrengt.
Wat weerhoudt Google ervan om specifieke updates voor ontdekte kwetsbaarheden onmiddellijk vrij te geven, en niet enkele maanden te wachten, ze niet te ontvangen? Welnu, deze vraag is vrij eenvoudig te beantwoorden. Google is net als elk ander bedrijf primair gericht op winst en het ontwikkelen en optimaliseren van beveiligingsupdates levert geen geld op, al kost het wel veel. Het is dus niet verwonderlijk dat de zoekgigant alleen ondersteuning voor smartphonesoftware op Android nabootst, simpelweg omdat het zo alledaags is en niet het morele recht heeft om geaccepteerde normen te negeren.
