Schneier: iPhone niet veiliger dan Android
Geen Windows computers, maar smartphones zullen de komende jaren het favoriete doelwit van cybercriminelen zijn. Dat zegt beveiligingsgoeroe Bruce Schneier. "Als telefoons onderdeel van het dagelijkse leven worden, mobiel bankieren, elektronische portemonnee, worden ze het meest waardevolle apparaat voor criminelen om aan te vallen." Daarbij zijn het niet alleen Android-gebruikers die moeten oppassen. "Ik denk niet dat de iPhone vanwege Apple's strenge voorwaarden voor de App store veiliger zal zijn."
Mobiele malware zal zich anders gedragen dan malware op de computer. Zo zal het zich niet van telefoon naar telefoon verspreiden. "Ik maak me meer zorgen over Trojaanse paarden, in zowel legitieme als illegale apps, malware verstopt in websites en valse updates." Volgens Schneier zal hier aardig wat social engineering van het slachtoffer bij komen kijken, maar dat zou voor cybercriminelen geen probleem moeten zijn.
Privacy
Een ander punt waar de beveiligingsgoeroe zich zorgen over maakt, zijn de privacygevolgen van smartphones. "Je telefoon weet je locatie. Weet met wie je spreekt, met een recorder, wat je zegt. En wanneer je telefoon je digitale portemonnee wordt, komt je telefoon nog veel meer intieme zaken over je te weten."
Al die informatie is handig voor zowel criminelen als marketeers. "En we zullen allerlei soorten illegale en semi-illegale manieren van beide groepen zien om die informatie te bemachtigen." Een bijkomend probleem is dat het beveiligen van smartphones lastig is, aangezien gebruikers niet dezelfde 'low-level' toegang hebben als bij de computer het geval is.
"Anti-virusbedrijven zaaien paniek om hun producten te verkopen, maar de risico's zijn echt. En nu is het moment om te bedenken hoe we ze gaan oplossen."
En betalen via de smartphone? Dan moet je wel 100% zeker weten dat deze schoon is.. Druk er een viruscanner op en daar gaat je performance.
Voor mij hoeft betalen niet, ik kan wel even wachten totdat ik thuis ben als ik perse via internet wil betalen.
Met dit ding ga je langs de bank om je RFID-tag te laten koppelen aan je lopende rekening.
Kan iedereen snel en makkelijk betalen mbv de RFID-tag aan de kassa en middels de USB kan iedereen zich on-line kenbaar maken, rechtshandelingen en betalingen verrichten. Dit moest toch een keertje komen, laten we er gauw aan beginnen!
De Gemeente laat iedere burger die zo'n ding wil 40 euro betalen (wat veel is denk ik, maargoed).
Klaar.
Met dit ding ga je langs de bank om je RFID-tag te laten koppelen aan je lopende rekening.
Kan iedereen snel en makkelijk betalen mbv de RFID-tag aan de kassa en middels de USB kan iedereen zich on-line kenbaar maken, rechtshandelingen en betalingen verrichten. Dit moest toch een keertje komen, laten we er gauw aan beginnen!
De Gemeente laat iedere burger die zo'n ding wil 40 euro betalen (wat veel is denk ik, maargoed).
Klaar.
Als ze nu gewoon verplichte visuele identificatie zouden invoeren door ieder die een betaling afhandeld zou het al tig keer lastiger worden om iets te doen met een gestolen kaart of ID. Maar met deze paranoia bigbrother samenleving gaat dat hellaas niet gebeuren.
Sinds wanneer is RFID weer veilig? Het is zo lek als een mandje de constructie is nog erger dan ons bestaande pin systeem om nog maar niet te zwijgen over het gefaalde OV Chip concept wat ook op RFID draait. We praten over chips die radiogolven uitsturen die dus ook prima met goedkope apparatuur onderschept kunnen worden
Encryptie van communicatie is bedoeld om over onveilige kanalen toch bestand te zijn tegen meeluisteren en manipuleren van signalen. Waarom zou dat hier niet kunnen werken? Het probleem van de OV-chipkaart is dat daar uit kostenoverwegingen voor een kaart is gekozen die geen sterke encryptie aankan.
Ooit heb ik meegewerkt aan smartcardgebaseerde authenticatie en ondertekenen van transacties voor een op het professionele segment gerichte webapplicatie van een bank. De daar gebruikte smartcards waren in wezen miniatuurpc's, compleet met besturingssysteem en applicaties, die alleen door de geautoriseerde partij geïnstalleerd konden worden. Bij de initialisatie van de kaart werd op de kaart zelf een sleutelpaar gegenereerd, waarvan de privésleutel nooit de kaart verliet. De kaart was gecertificeerd tamperproof. Het is natuurlijk een stuk duurder, maar het bestaat gewoon.
Wat het sleutelhanger-idee betreft, we gaan identiteitskaarten krijgen met een persoonlijk certificaat erop. Als je die net als je bankpas in een apparaatje met numeriek toetsenbord voor de pincode kan steken, aangevuld met RFID en USB, dan kom je denk ik een heel eind. Maar het gebruik moet zich beperken tot die situaties waarin je nu ook je legitimatiebewijs moet laten zien en officiële handtekeningen moet zetten. Boodschappen doen valt daar niet onder.
Hoewel de onderliggende techniek natuurlijk min of meer dezelfde is en dus ook even (on)veilig, denk ik dat Bruce toch niet helemaal gelijk heeft.
Zie de iPhone een beetje als een discotheek met, en Android als een discotheek zonder uitsmijter. Zeker, de potentie dat het mis gaat is in beide aanwezig, de mix van psychofarmaca en testosteron blijft licht ontvlambaar. Echter de controle en selectie aan de voordeur alsmede de middelen om iemand eruit te gooien geeft een discotheek de mogelijkheid incidenten in de kiem te smoren. Het heeft er toe geleid dat iedere grote discotheek uitsmijters heeft. Het levert dus kennelijk toch veiligere discotheken op.
De analogie gaat op tot en met schermutselingen bij de voordeur: het komt soms voor dat iemand ten onrechte de toegang geweigerd wordt. De grote zwakte idem dito: we kennen allemaal het beeld van de criminele uitsmijter.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
