Het is bijna elke maand raak, de ene dreiging is nog groter dan de andere en vooral bedrijven moeten uitkijken omdat hun gevoelige data in slechts enkele minuten gestolen zou kunnen worden. Beveiligingsbedrijven tuimelen over elkaar om hun product te promoten en de gevaren te stoppen. Het zou je zo bang kunnen maken dat je alle Android-apparaten in de buurt verzamelt, op een stapel gooit en ritueel verbrandt om van alle ellende af te zijn. Jammer genoeg (voor de beveiligingsbedrijven) en gelukkig (voor ons) valt het allemaal mee en zijn veel van deze berichten misleidend en een stuk minder alarmerend dan ze in eerste instantie overkomen.

Wij hebben dit besturingssysteem nauwlettend in de gaten gehouden sinds het tien jaar geleden voor het eerst het levenslicht zag (gefeliciteerd nog) en zijn erachter gekomen dat Android-beveiliging vooral een sensatie-onderwerp is dat niet altijd even goed begrepen wordt. Waarom? Omdat mobiele beveiliging big business is. Veel bedrijven maken gigantische winsten met het verspreiden van angst.

Genoeg is genoeg. Het is tijd om de realiteit rondom Android-beveiliging onder ogen te zien en te kijken waarom 3rd party beveiligingssoftware het niet vaak bij het rechte eind heeft.

Is jouw Android-toestel wel eens besmet geraakt met malware/virussen?
Ja
Nee
built here

Het overgrote deel van gemelde Android malware-gevaren is puur theoretisch

Je kan gerust adem halen. De meeste grote enge Android-malwaregevaren waar je over hoort hebben zeer weinig kans daadwerkelijk apparaten te besmetten. Meestal moet je door de kleine lettertjes ploegen om erachter te komen waarom.

Laten we een concreet voorbeeld pakken. Kan je je de grote Quadrooter-dreiging nog herinneren? 900 miljoen Android-apparaten zouden kwetsbaar zijn. Als jij (of het bedrijf waar je werkt) besmet zou raken, kan je net zo goed opdoeken.

Het enige dat je ertegen kan doen, volgens de mensen van Check Point die het persbericht de wereld in hebben geholpen, is het installeren het gebruiken van een "mobile thread detection and mitigation"-oplossing. Toevallig verkopen zij zo'n oplossing.

Wat er niet bij verteld wordt is dat die 900 miljoen Android-apparaten al een eigen "mobile thread detection and mitigation"-oplossing aan boord hebben genaamd Verify Apps. Deze ingebouwde tool is standaard aanwezig en scant apparaten om te voorkomen dat er malafide apps worden geïnstalleerd (en bestaande apps monitort en blokkeert als zij zich verdacht gaan gedragen). De software heeft van Google inmiddels een andere naam gekregen en heet nu Google Play Protect).

Verify Apps is al te vinden op Android-toestellen sinds 2010 (Android 2.3 en hoger). Met andere woorden, praktisch alle actieve Android apparaten. Tegen de tijd dat Checkpoint's publiciteitscampagne begon beschermde Google's Verify Apps Android-toestellen al van Quadrooter-gerelateerde activiteiten en er zijn ook geen besmettingsgevallen in het wild ontdekt.

Dezelfde scenario's duiken keer op keer op en de meeste meldingen lijken vooral marketingcampagnes te zijn voor onnodige software. Google's recentste Android Security Year in Review-rapport meldde dat in het verdie kwartaal van 2016 slechts 0,05 procent van Android-apparaten potentieel gevaarlijke apps had binnen gehaald.

3rd party Android beveiligings-apps doen vaak wat Android zelf ook al doet

Laten we vooral niet onze kop in het zand steken, tussen alle overhypte pseudo-dreigingen zit ook wel eens een legitieme malware-dreiging. De WireX botnet-aanval is een perfect voorbeeld. Het is een groep criminelen gelukt een paar honderd verdacht uitziende, malafide apps in de Google Play store te krijgen. De programma's deden zich voor als mediaspelers en ringtone-tools, maar waren in werkelijkheid programma's die konden worden ingezet om DDoS-aanvallen uit te voeren.

Toen dat bekend werd had Google alle malafide apps echter al uit de store én Android-apparaten gehaald. Adrian Ludwig, hoofd Android beveiliging bij Google, zegt dat als zulke dreigingen meestal binnen enkele uren offline worden gehaald.

"80 tot 90 procent van alle apps die wij aanpakken zijn niet eens zichtbaar voor gebruikers. Ze worden ge-upload naar Google Play en geblokkeerd voordat zij worden gepubliceerd. In de gevallen dat deze apps wel zichtbaar zijn voor gebruikers, grijpen wij zo snel mogelijk in waardoor het aantal downloads klein blijft."

Helaas voor Ludwig liet het nep-Whatsapp-debacle zien dat de overige 10 of 20 procent die door dat proces heenglipt, een grote impact kan hebben.

Desondanks is het installeren van een 3rd party beveiligings-app lang niet altijd nodig aangezien deze praktisch hetzelfde doen als Android's ingebouwde beveiligingsfuncties. Het is niet schadelijk voor je apparaat als je het wel doet, maar het voegt niet veel toe (maar neemt wel systeembronnen in beslag) en kost je in sommige gevallen nog geld ook.

Betekent dit dat je alle beveiligingsmeldingen in de wind moet slaan? Natuurlijk niet. Het blijft altijd verstandig alert te blijven en elke app die je installeer te controleren (kijk alleen al naar de machtigingen waar een app om vraagt en je komt al een heel eind). Daarnaast weten wij ook wel dat het update-beleid van veel fabrikanten ervoor zorgt dat veel apparaten nog steeds onnodig kwetsbaar zijn en vaak zelfs blijven. Google is gelukkig wel bezig dit hard aan te pakken door het updatemechanisme op de schop te gooien. Helaas is deze feature pas aanwezig sinds Android 8 (Oreo) waardoor het heel lang gaat duren voordat de gemiddelde Android-gebruiker ook daadwerkelijk gebruik kan maken van deze nieuwe feature.

Lees ook: Zo gaat Google het Android-update-probleem oplossen

Tot die tijd kom je een heel eind door dus machtigingen/privileges in de gaten te houden. Bedrijfsspecifieke apps te sandboxen en heel ver weg te blijven van 3rd party appshops. Bedrijven zouden kunnen kijken naat Mobile Device Management (MDM)-oplossingen op de (BYOD)-apparaten van medewerkers dicht te timmeren.

Laat je in elk geval niet beginvloeden door de misleidende hype rondom Android-beveiliging.