Duitse overheid komt met digitaal veiligheidskeurmerk voor smartphones
De Duitse overheid heeft vandaag een digitaal veiligheidskeurmerk voor smartphones en tablets gelanceerd, waarmee gebruikers kunnen zien dat de apparaten over een minimaal beveiligingsniveau beschikken. Het digitale veiligheidskeurmerk werd eerder al voor e-mailproviders, routers, 'slimme camera's', Internet of Things-apparaten en videovergaderdiensten beschikbaar gemaakt.
Volgens het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, bevatten smartphones en tablets grote hoeveelheden persoonlijke data, zoals foto's, video's, berichten en contacten. "Een passend beveiligingsniveau voor mobiele apparaten is een essentieel onderdeel om deze data en daarmee ook consumenten te beschermen", aldus het Duitse cyberagentschap.
Om voor het keurmerk in aanmerking te komen moeten fabrikanten aan verschillende verplichtingen voldoen. Zo moeten fabrikanten alert zijn op kwetsbaarheden, hier transparant over communiceren en ze tijdig verhelpen. Daarnaast moet er een passend rechtensysteem zijn dat gebruikers controle over met name relevante data, sensoren en interfaces geeft. Bij actief gebruik van sensoren zoals microfoon, camera of locatie moet dit worden weergegeven.
Vooraf geïnstalleerde apps moeten via een beveiligde wijze communiceren, geen onnodige permissies vragen en niet zonder intentie van gebruikers de microfoon, camera of locatie gebruiken, ook al hebben ze hier rechten toe. Fabrikanten die aan de eisen denken te voldoen kunnen dit laten auditen. "Met het digitale veiligheidskeurmerk geeft het BSI fabrikanten de mogelijkheid om de belofte van digitale veiligheid in hun producten aan te tonen. Consumenten kunnen vervolgens digitale veiligheid in hun aankoopbeslissing meenemen", zo stelt het cyberagentschap.
Google/Apple spionage zal niet worden aangemerkt als onveilig om maar een voorbeeld te noemen.
Wat is hun definitie van beveiliging?
Ik neem aan dat ze het volk daar wel een diagram van zullen geven.
Niet allemaal.
Als men zelf een AOSP firmware zoals GrapheneOS installeert en uitsluitend FLOSS als apps dan komt het wel goed, de grootste beveiligingsdreiging ligt vaakuiteindelijk bij de eindgebruiker aangezien ze geen goede beveiliginghygiëne (opsec) bijhouden.
Bloatware, GSF, spionage apps, (de meerderheid op Google Play en Apple app store) cloudtroep en andere rotzooi kan ook bijdragen aan schending van privacy en veiligheid.
Mensen zijn als vissen in het water, er zijn zowel grote als kleine roofdieren die ze willen vangen, meestal gaat het om geld voor metadata, immers zijn mensen het nieuwe zwarte goud, hun metadata is een enorme bron van geld waar zelfs de grootste bazen als kleine kinderen over vechten om het tekunnen bemachtigen, landen zijn zelf altijd bang om financieel achter te blijven, iets dat ik ergens wel kan begrijpen, lol.
Ook op mijn voordeur heb ik een drie sterren cilinder (gehard staal, is goed tegen kerntrekken) en een anti-inbraakstrip (tegen koevoetten) waardoor inbrekers veel liever bij de buurtjes inbreken, het helpt echt wel, maar je moet er wel wat moeite voor over hebben.
Uiteindelijk is de grootste winnaar ons geestelijk gestel, want ik kan weer gerust wezen, al ben ik altijd alert, dat is een gezonde routine.
Hoe zit met andere aspecten dan leverancier veiligheid?
Interessant initiatief.
Als men zelf een AOSP firmware zoals GrapheneOS installeert en uitsluitend FLOSS als apps dan komt het wel goed,
Open Source Software is niet per se veilig... Ja je kan de broncode controleren, maar hoe vaak gebeurt dat? Zeker voor minder bekende software zal dit niet altijd gebeuren. Daarnaast kan je wel een broncode controleren op bijvoorbeeld Github, maar als je vervolgens de software uit andere bron (zoals een store) installeert, ben je nog niet zeker dat de code die jij hebt gezien ook de code is die je installeert.
Als men zelf een AOSP firmware zoals GrapheneOS installeert en uitsluitend FLOSS als apps dan komt het wel goed,
Open Source Software is niet per se veilig... Ja je kan de broncode controleren, maar hoe vaak gebeurt dat? Zeker voor minder bekende software zal dit niet altijd gebeuren. Daarnaast kan je wel een broncode controleren op bijvoorbeeld Github, maar als je vervolgens de software uit andere bron (zoals een store) installeert, ben je nog niet zeker dat de code die jij hebt gezien ook de code is die je installeert.
Maar heeft u dan een probleem in de code ontdekt?
Zeker de code GrapheneOS wordt van alle kanten bekeken omdat veel kwetsbare mensen er afhankelijk van zijn, daarnaast hebben ze security audits gehad.
Maar als u het zegt... Okee, dan installeer ik Windows, de software vol vendor spyware, beveiligingsgatenkaas en ads. /-:
Of Apple, het bedrijf dat pushte voor client side scanning, en haar iCloud aan de Chinezen gaf...
Wat is uw suggestie voor goede software?
Welke software os volgens u onkwestsbaar?
Als men zelf een AOSP firmware zoals GrapheneOS installeert en uitsluitend FLOSS als apps dan komt het wel goed,
Open Source Software is niet per se veilig... Ja je kan de broncode controleren, maar hoe vaak gebeurt dat? Zeker voor minder bekende software zal dit niet altijd gebeuren. Daarnaast kan je wel een broncode controleren op bijvoorbeeld Github, maar als je vervolgens de software uit andere bron (zoals een store) installeert, ben je nog niet zeker dat de code die jij hebt gezien ook de code is die je installeert.
Ik bied alleen het beste alternatief aan, dat wil niet zeggen dat er software is dat onkwetsbaar is of iets dergelijks.
Maar als ik moet kiezen tussen software die haar code openbaart en code die alles liever achter gesloten deuren houd is mijn keuze snel gemaakt.
Tenzij u iets weet dat ik niet weet.
De meerderheid van de apps uit de Play Store (meestal proprietaire software) en respecteren de privacy van haar gebruikers niet. (Zitten vaak vol met trackers en andere troep)
Men kan ook totaal niet controleren of de code veilig is, men moet zo'n bedrijf maar "vertrouwen"... Ik heb liever een zero trust model, en het zou niet handig zijn als ik iemand anders een alternatief aanbied dat minder veilig is.
Als men zelf een AOSP firmware zoals GrapheneOS installeert en uitsluitend FLOSS als apps dan komt het wel goed,
Open Source Software is niet per se veilig... Ja je kan de broncode controleren, maar hoe vaak gebeurt dat? Zeker voor minder bekende software zal dit niet altijd gebeuren. Daarnaast kan je wel een broncode controleren op bijvoorbeeld Github, maar als je vervolgens de software uit andere bron (zoals een store) installeert, ben je nog niet zeker dat de code die jij hebt gezien ook de code is die je installeert.
Opensource projecten hebben geen verdienmodel gebaseerd op het roven van jou data. Dat voorkomt 99% van de privacy schendingen in vrije opensource apps.
Als je ook nog uit een veilige bron installeert, zoals de FDroid-store waar nog *nooit* mallware of spyware in is aangetroffen werk je echt heel veilig.
Als men zelf een AOSP firmware zoals GrapheneOS installeert en uitsluitend FLOSS als apps dan komt het wel goed,
Open Source Software is niet per se veilig... Ja je kan de broncode controleren, maar hoe vaak gebeurt dat? Zeker voor minder bekende software zal dit niet altijd gebeuren. Daarnaast kan je wel een broncode controleren op bijvoorbeeld Github, maar als je vervolgens de software uit andere bron (zoals een store) installeert, ben je nog niet zeker dat de code die jij hebt gezien ook de code is die je installeert.
Als men zelf een AOSP firmware zoals GrapheneOS installeert en uitsluitend FLOSS als apps dan komt het wel goed,
Open Source Software is niet per se veilig... Ja je kan de broncode controleren, maar hoe vaak gebeurt dat? Zeker voor minder bekende software zal dit niet altijd gebeuren. Daarnaast kan je wel een broncode controleren op bijvoorbeeld Github, maar als je vervolgens de software uit andere bron (zoals een store) installeert, ben je nog niet zeker dat de code die jij hebt gezien ook de code is die je installeert.
https://nl.wikipedia.org/wiki/Vrije_software
Proprietaire software kan men hooguit in bruikleen nemen na het ondertekenen van de terms and agreements, en de software controleert de gebruikers in plaats van andersom, men heeft er geen zeggenschap in en bezit niet zelf de code.
https://youtube.com/watch?v=Ag1AKIl_2GM
En nogmaals; als u een beter alternatief hebt horen we het graag.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
