Een paar dagen geleden was ik op een veiligheidsconferentie genaamd ESET Security Days. Er waren behoorlijk wat interessante sessies en ik heb heel wat slimme mensen ontmoet die werken in informatiebeveiliging. Een van hen is Nick FitzGerald, Senior Research Fellow bij ESET. Hij zorgt voor de veiligheid in het Android-ecosysteem en we hadden het geluk hem als gast te hebben in een interview over malware en beveiliging op Android-apparaten. Hij h eeft veel interessante dingen te zeggen en je moet dit interview lezen:
Wie is Nick FitzGerald?
Voordat we ingaan op het interview, wil ik graag iets over Nick FitzGerald vertellen. Hij is een zeer privépersoon en je kunt nauwelijks informatie over hem vinden op internet. Vandaag verzorgt hij de informatiebeveiliging bij ESET Australia, waarbij hij zich voornamelijk op het Android-ecosysteem richt. Nick is een van de mensen die de methodologie voor VB100-certificering heeft vastgesteld en de eerste VB100-tests bij Virus Bulletin heeft uitgevoerd. Naast zijn werk bij ESET werkt hij nog steeds met Virus Bulletin als lid van zijn adviesraad.
Toen ik hem ontmoette, genoot ik heel erg van zijn vriendelijkheid en openheid. Hij deelde veel interessante informatie tijdens de conferentie en tijdens een diner met hem voor een beetje, ik erg genoten van onze gesprekken en zijn gevoel voor humor. Het was een genoegen hem te ontmoeten en ik ben erg blij dat hij accepteerde om een gast te zijn in dit interview.
Wat is het meest voorkomende type malware dat Android-gebruikers vandaag target?
Van de detectietelemetriedata die we terughalen van diegenen in onze installed base die de optie telemetrie delen hebben ingeschakeld, is het grootste deel van de detecties de algemene klasse van dingen die we Potentieel Ongewenste Applicaties (of PUA) noemen. Niet al onze klanten kiezen ervoor om PUA's te laten detecteren - het is een installatie-tijdoptie en er is geen standaardinstelling; de klant moet zijn eigen keuze maken. PUA's zijn meestal apps die schaduwachtige technieken gebruiken om resultaten te bereiken die, hoewel niet overdreven kwaadaardig (die zonder meer door ons product zouden worden geblokkeerd zonder dat de klant enige keuze had), de ervaring leert dat veel klanten niet op hun apparaten willen draaien.
Na PUA's, en het bekijken van echte malwaredetecties, zijn de meest voorkomende typen Android-malware die dit jaar op klantenapparaten zijn geblokkeerd "droppers". Dit zijn meestal een bundel van een legitieme (hoewel meestal vrij onbeholpen) app en iets kwaadaardigs. Meestal wordt de schadelijke component pas een tijd na de eerste installatie van de app geïnstalleerd of ingeschakeld. Dit is een relatief recente ontwikkeling in de Android-malware-arena, maar is snel populair geworden bij malware-schrijvers. De apps die door dergelijke droppers zijn geïnstalleerd, kunnen van alles zijn, maar het lijkt er op dit moment op dat PUA-advertentie-apps de meest voorkomende payloads zijn.
Wat is het meest nare dat Android-gebruikers kunnen overkomen als hun apparaten geïnfecteerd raken met malware?
Ik ben me er niet van bewust dat dit gebeurt, maar in theorie kan het apparaat "met opzet" worden gemetseld, hetzij opzettelijk of onopzettelijk. Of dat nu beter of slechter is dan bijvoorbeeld zeggen dat al je meest intieme geheimen (en foto's) die zijn gestolen en mogelijk op het web zijn gepost of anderszins worden gebruikt in een poging je in verlegenheid te brengen of losgeld, afhankelijk kunnen zijn van wie je bent en wat je doet, of toegang hebben vanaf uw smartphone.
Als we naar echte Android-malware kijken, is de LockerPin-familie, die een willekeurig PIN-vergrendelingsscherm kan instellen dat de daders niet kennen, erg smerig, omdat de omstandigheden die herstel van dit apparaatvergrendelende laadvermogen mogelijk maken, bijna nooit worden gevonden op een typische apparaat.
Wat zijn volgens u de belangrijkste zwakke punten van het Android-ecosysteem op het gebied van beveiliging?
Vergeleken met zijn belangrijkste concurrent in de mobiele arena, iOS, is Android iets meer open, waardoor ontwikkelaars en gebruikers meer flexibiliteit hebben. Dat kan voordelen opleveren voor de gebruiker, maar het betekent ook dat schadelijke activiteiten gemakkelijker naar Android-gebruikers kunnen worden geleid. Er zijn bijvoorbeeld veel meer openlijk kwaadaardige apps in de officiële appwinkel van Google terechtgekomen dan in die van Apple. Verder is Google over het algemeen vrij sceptisch over de mogelijke waarde van beveiligingsproducten voor het Android-platform, dus biedt het geen geavanceerde mogelijkheden om dergelijke producten beter te ondersteunen. Dit is een grote architecturale zwakte in het Android-besturingssysteem.
Wanneer kijken naar het Android-platform en hoe het is gebouwd, wat zijn de belangrijkste dingen die een Android-beveiligingsproduct voor gebruikers niet kan doen als het gaat om bescherming?
Het ontbreken van systeemhaken of officiële beveiligings-API's betekent dat de juiste toegang bij scannen niet kan worden uitgevoerd. Voorlopig is een virusscanner beperkt tot het controleren van een app wanneer het installatiepakket wordt gedownload naar het apparaat en opnieuw wanneer de app is geïnstalleerd. Google kan geverifieerde beveiligings-apps toestaan te installeren met hogere rechten, maar heeft ervoor gekozen om dit niet te doen, dus anders dan op andere besturingssystemen, zoals Windows, is uw Android-beveiligingsapp slechts een andere app die op hetzelfde vertrouwenniveau wordt uitgevoerd als alle andere. Even zorgwekkend is dat de bevoegdheid van de apparaatbeheerder wordt uitgedeeld op verzoek van de gebruiker. We kunnen ze uitschakelen, maar ze zullen waarschijnlijk net zo gemakkelijk ons uitschakelen.
Hoe beschermt een beveiligingsproduct voor Android, zoals ESET Mobile Security & Antivirus zijn gebruikers?
Onze Android-beveiligingsproducten bieden verschillende vormen van bescherming. Er is schadelijke code en (optioneel) PUA-detectie voor de antivirusfunctionaliteit, het blokkeren van schadelijke websites met behulp van ESET Live Grid®, apparaatlocatie en antidiefstalfunctionaliteit en systeemdiagnostiek.
Noot van de redactie: PUA betekent Potentieel ongewenste toepassing. Generieke PUA-detecties bieden u de tijdige detectie van nieuwe en bijgewerkte Potentieel ongewenste toepassingen.
Wat zijn uw belangrijkste beveiligingsaanbevelingen voor Android-gebruikers, behalve het gebruik van een beveiligingsproduct op hun apparaten?
Blijf bij de officiële Play Store (dat is slecht voor advies in bepaalde regio's van de wereld!) En besteed heel veel zorg aan het verlenen van het privilege Device Administrator aan alles behalve een bonafide beveiligings- of systeembeheer-app.
Wat denk je over malware, beveiliging en privacy op Android?
Nu je het perspectief van Nick hebt gelezen, zou ik willen dat jij de jouwe deelt. Denk je dat je beveiligingsproducten nodig hebt voor Android? Gebruikt u er een op uw smartphones en tablets? Heb je te maken gehad met malware voor Android en wat gebeurde er?
