Ik heb de laatste jaren veel geschreven over Android-security en vaak komt dat neer op hetzelfde verhaal: een beveiligingsbedrijf vindt een theoretisch gevaar, iets wat a) geen gebruikers daadwerkelijk in gevaar heeft gebracht en b) gebruikers alleen in gevaar brengt in een scenario waarin beveiligingsmaatregelen zijn uitgeschakeld én ze een schimmige app via een forum of website buiten Google Play om downloaden.

Angst regeert

Dat soort belangrijke details worden voetnoten in een angstzaaiend verhaal, compleet met een spannend klinkende naam en logo voor het Grote Gevaar™ en een herinnering dat je bepaalde beveiligingssoftware moet installeren om jezelf te beschermen. Dat is een effectieve vorm van marketing, waarin sensationalisme de boventoon voert.

Maar de laatste tijd zien we dreigingen die niet in deze opzichtige marketingcategorie vallen en daadwerkelijk problemen kunnen opleveren voor gebruikers. Denk bijvoorbeeld aan botnet WireX dat werd gevormd toen enkele honderden verkeergenererende apps in de Play Store werden gesmokkeld als legitieme apps en apparaten infecteerden. Recent was er een nep-versie van WhatsApp die stiekem advertenties serveerde aan gebruikers.

Wanneer Google faalt

Dat was het echte werk en beschermingssysteem Google Play Protect faalde jammerlijk in het detecteren van deze omzeilingen en ze tegen te houden voor een groot deel van de Android-gebruikers ermee werd geraakt. Ook al is de schade voor eindgebruikers minimaal - het komt erop neer dat hun apparaten webverkeer gebruiken om advertenties te tonen en dat is uit te schakelen door de app weer te verwijderen - laat het wel zien dat de app-bescherming van Google kan falen.

Dat is overigens nog steeds geen reden om in paniek te raken. Zoals we afgelopen week schreven en ook blijkt uit de peiling in dat artikel, is er eigenlijk weinig reden om een third-party app te installeren om je toestel te beschermen tegen malware. Je zou zelfs kunnen stellen dat het in het beste geval nutteloos is en in het slechtste geval contra-productief voor je zakelijke of privé-belangen.

Google's visie

Dat artikel is wellicht de moeite waard voor de context van dit verhaal, want het is een complexere zaak dan je zou zeggen en dit stuk zou erg in de herhaling vallen als we die punten aanstipten. Ik wil hier wat dieper ingaan op wat er precies gebeurt in een geval als WireX als Google Play Protect faalt en hoe zulke misstappen praktisch gezien gebeuren - vanuit het perspectief van het bedrijf dat het platform beheert.

Ik sprak Google's chef van Android-security, Adrian Ludwig, over dit exacte probleem. Zijn informatie gebruikten we grotendeels in het artikel van eerder deze week, maar het leverde ook een interessante zijnoot op over Google Play Protect die ik hier graag met jullie wil delen. Hier zijn de reacties van Ludwig:

Over hoe dit soort apps langs de blokkades glippen en soms langere tijd onopgemerkt blijven:

"De uitdaging waar alle detectietechnologie mee te maken krijgt, en dus ook Googke Play Prtotect, is als je een heel nieuwe familie ziet vanuit een andere omgeving - vooral als de apps op het randje zitten van wat we schadelijk gedrag vinden en wat niet."

Over succes- versus faalratio:

"Meestal detecteren onze geautomatiseerde systemen variaties snel en ondernemen ze direct actie. Sterker nog, door de verbeteringen die we met machine learning hebben bereikt de afgelopen zes maanden tot een jaar waren vooral gericht op het ontdekken van nieuwe variaties van bestaande families. Dat is erg effectief gebleken."

Over de perceptie van succes versus falen:

"We hebben een hoge lat gelegd over wat we verwachten van wat onze beveiliging biedt: het scannen van alle applicaties, het opmerken van ieder potentieel schadelijk of onwenselijk gedrag en dat allemaal foutloos. We komen in de buurt. Ons huidige doel is dat minder dan één op de miljoen apps schadelijk gedrag vertoont. Daar zijn we nog niet, maar we zitten ruim boven de 99,9 procent in het detecteren van schadelijke applicaties en we worden steeds beter."

Over de uitdagingen om patronen te detecteren die niet onmiddellijk een waarschuwingssignaal afgeven:

"Dat gaat meestal om een type app dat we nog niet eerder hebben gezien. Het gaat dan wellicht om apps met relatief laag risico, bijvoorbeeld advertentiemisbruik, of iets wat netwerkverbindingen maakt die niet in eerste instantie schadelijk zijn, maar als we dieper kijken blijkt dat er malafide verkeer plaatsvindt."

Hoe het werken met derden, zoals met het WireX-onderzoek, een cruciaal verschil kan betekenen:

"Ze hebben vaak inzicht op de serverside van veel van deze malwarenetwerken en soms zien we alleen aan de data van hun kant of de installaties in hun omgevingen wat er daadwerkelijk aan de hand is. Aan de Android-kant is dat niet altijd zichtbaar."

En over de timing van publiciteit van Android-malware: "Tegen de tijd dat er wordt gepubliceerd is het probleem al verholpen. De publiciteit draait om aandacht voor beveiligingsbedrijven en hun beveiligingsmiddelen. Maar op dat moment is Google Play Protect al verbeterd om de problemen te detecteren en de gewraakte applicaties zijn dan al verwijderd."