Oprettet 17/08/2011 – 14:07
Selvom både Apples iOS og Android er mere sikre end traditionelle desktop-baserede operativsystemer, findes der stadig en række alvorlige brister i de to populære styresystemer. I en ny rapport giver Symantec en række råd til, hvordan man bedst muligt beskytter sin smartphone mod cyber-angreb.
Vores private og professionelle liv smelter mere og mere sammen, og det påvirker den måde, vi kommunikerer med hinanden på. I dag er over halvdelen af de mobiltelefoner, der sælges i Danmark, smartphones, og en stor del af disse anvendes både på arbejdspladsen og i hjemmet. Samtidig er vores smartphones i stor udstrækning blevet omdrejningspunktet for vores sociale liv online. Det er her, vi tjekker vores e-mail – både private og arbejdsrelaterede, chatter på Facebook, opdaterer på Twitter og ser de nyeste videoer på YouTube. Men de færreste er klar over de alvorlige sikkerhedsrisici, vi udsætter vores smartphones, og de data de indeholder, for, når vi fx tager vores arbejdstelefon med hjem fra arbejde og synkroniserer den med vores private computer.
I rapporten analyserer Symantec de to mest populære mobile styresystemer, Apples iOS og Googles Android, og ser nærmere på de sikkerhedsrisici, der er forbundet med dem, herunder malware, webbaserede angreb og datatab.
Alvorlige sikkerhedsbrister
– Brugere af både Android og iOS-styresystemer synkroniserer ofte deres enheder med andre cloud-baserede services samt private computere, hvilket potentielt set bringer virksomhedens sensitive data i fare
– Den indbyggede sikkerhed i styresystemerne viser sig ikke at være tilstrækkelig til at beskytte den virksomhedsdata, som brugerne har adgang til via deres smartphones
Eksempel
En medarbejder bruger sin arbejds-smartphone til at synkronisere med iTunes på sin private computer. Selvom medarbejderen vælger kun at synkronisere musik, og ikke fx kalendere og kontakter, vil synkroniseringssoftwaren automatisk lave en backup af alle data – en backup der typisk indeholder hele arbejdskalenderen, alle adresser og samtlige indstillinger på smartphonen. Problemet er, at disse data ikke nødvendigvis krypteres på brugerens hjemmecomputer. Fx indeholder iTunes ingen passwords til at beskytte eller kryptere den sikkerhedskopierede data, som er gemt på den private computer. Derved overføres de ukrypterede sensitive virksomhedsdata, som også er gemt på brugerens smartphone, til hans hjemmecomputer.
Uddrag af hovedkonklusionerne
– iOS-styresystemet yder god beskyttelse mod traditional malware, hvilket primært skyldes Apples stramme certificeringskrav til applikationer. Til gengæld er der flere restriktioner på hvad en app kan få lov at udføre på iOS.
– Googles certificeringsmodel er knap så rigid, hvilket gør det muligt for hvilken som helst softwareudvikler at konstruere anonyme applikationer. Denne manglende certificering er formentlig skyld i det stigende omfang af malware specifikt rettet mod Android. Til gengæld kan man som udvikler i langt højere grad styre hvad en (legitim) applikation kan udføre på Android
– Ingen af de to styresystemer yder tilstrækkelig beskyttelse mod social engineering-attacks som fx phishing
– Hvis en bruger ”jailbreaker” eller ”rooter” sin smartphone fjernes alle muligheder for at sikre iOS eller Android smartphones
– Apple styrer sikkerhedsniveauet og hvilke rettigheder app’s skal anvende på iOS smartphones, det giver så en række begrænsninger bruger må acceptere. Android giver mulighed for at bruger accepterer de rettiigheder den enkelte app har brug for, det er dog ikke nogen simpel sag for brugere at afgøre om app’ens behov for rettigheder er for omfattende, og dermed ikke skal accepteres