Belangrijk: Voor het goed functioneren van nrc.nl maken wij gebruik van cookies (meer informatie).
Hiervoor hebben wij wel eerst je toestemming nodig. Klik op de groene knop als je hiermee akkoord gaat.

‘iPhone van de zaak meest onveilig’

door
iphone_gif

De meeste particuliere gebruikers mogen dan enthousiast zijn over hun iPhone, als je als bedrijf een veilige smartphone zoekt voor al je medewerkers, kun je beter geen Apple iPhone kiezen. Dat concludeert een commissie van 257 veiligheidsexperts in een onderzoek van nCircle, een Amerikaans beveiligingsbedrijf. Ze zeggen dit:

  • 57% believe that the iPhone carries the greatest security risk
  • 39% ranked Google Android as presenting the highest risk
  • 28% named Blackberry the riskiest
  • 13% ranked Nokia as having the highest risk
  • 58% of respondents have a corporate smartphone security policy in place
  • 65% of enterprises with a smartphone security policy enforce it

De aanleiding van het onderzoek is niet helemaal duidelijk, “iets over gezondheid, cloud computing en sociale media “, aldus nCircle. De optelsom komt ook niet op 100 procent uit [-zie reacties]. Maar de conclusie is duidelijk: app-phones, waarop je als gebruiker makkelijk zelf applicaties kunt installeren, zijn niet geliefd bij de heren en dames van it-beheer. Die zien niet graag dat medewerkers gaan downloaden uit die overvolle App Store. De iPhone is lastig op afstand te beheren en zul je updates of aanpassingen per toestel uit moeten rollen. Wellicht is de financiële afdeling er niet happig als personeel bandbreedte verbrandt met de voorgeïnstallleerde Youtube-applicatie.

Een van de experts klaagt dat Apple sinds het toevoegen van enkele functies in 2009 (op afstand wissen, activesync ondersteuning, hardware encryptie die niet erg veilig is) eigenlijk niets meer voor bedrijfsmatige toepassingen heeft gedaan of vernieuwd. Ook berichten over de sms-database die in mum van tijd te kraken is, doen het imago geen goed.

Overigens hebben de veiligheidsspecialisten ook bij Android, Blackberry en Nokia hun twijfels. Blijkbaar krijgt  alleen Windows Mobile, dat goed op afstand te beheren is, een voldoende voor veilig beheer. Laat dat nu net het platform zijn dat door gebruikers als ouderwets en achterhaald wordt ervaren ten opzichte van moderne app-phones. En ook door Microsoft zelf.

Wie weet dat Apple zich iets van de kritiek aantrekt en zich met de aanstaande iPhone 4.0 software hoger op de zakelijke ladder weet te plaatsen. Tot die tijd blijven we nog even met twee aparte telefoons rondlopen.

Encryptie op de iPhone makkelijk te hacken:

Geplaatst in:
gsm & smartphone
veiligheid
Lees meer over:
android
iphone
security
smartphone

12 reacties op '‘iPhone van de zaak meest onveilig’'

X

Fraai onderzoek weer dit.

Als je had gevraagd welke smartphone de IT-ers het liefst zelf hebben dan was de verdeling ongeveer hetzelfde geweest. Wat bewijst dit anders dan dat deze phones als eerste te binnenschieten.

Verder zijn de dames en heren van IT beheer over het algemeen nergens blij mee. Het liefst geven ze iedereen dezelfde PC met dezelfde applicaties (ongeacht de werkzaamheden), zouden ze het gebruik van USB geheugensticks en websites als gmail willen verbieden.

Eigenlijk zou het nog fijner als we gewoon helemaal niet meer zouden kunnen werken, oh nee wacht, dan is er ook geen it-afdeling meer nodig.

Jurriaan Hartog

Er is altijd een relatie tussen makkelijke toegang en slechte beveiliging. Moet je willen dat je met je bedrijf gevoelige informatie gaat uitwisselen via een medium dat zo uit je handen gegrist kan worden. Ook als je mega-secure ingelogd bent? Storm in een glas water.

Azijn

Volgens mij bedoel je smartphone, iedere keer als je featurephone (sic) schrijft. Een feature phone (los geschreven) is juist een telefoon die “alleen maar” kan bellen. (Of in ieder geval, die juist niet een OS met publiekelijk beschikbare SDK heeft).

Wat betreft beheer, ik heb het idee dat het meer een kwestie van “wat de boer niet kent, lust hij niet” is dan echt zware inhoudelijke verschillen tussen de platforms. Veel IT-beheerders kennen de functies van MS Exchange voor mobiele telefoontjes en weten dat ze daar een paar vinkjes kunnen zetten, dus denken ze de controle te hebben.

In werkelijkheid denk ik dat er 3 kwetsbaarheden zijn voor mobiele telefoons.
1. Onderscheppen van communicatie van de telefoon. Het minst voorkomende. De GSM-standaard is redelijk veilig tegen afluisteren, hoewel de providers hun encryptie moeten gaan verzwaren. Een smartphone is wat dit betreft natuurlijk net zo kwetsbaar als welke willekeurige ‘gewone’ mobiele telefoon. Het beveiligen tegen onderscheppen van dataverkeer is ook een taak van de beheerder en biedt dezelfde uitdagingen als voor bijvoorbeeld laptops.

Al met al dit punt is voor elk platform om het even.

2. Installatie van malware, het daadwerkelijk ‘hacken’ van de telefoon.

Wat dit betreft zijn de smartphone-platforms een dubbelsnijdend zwaard. Aan de ene kant bieden ze veel meer functionaliteit, dus het is makkelijk een applicatie te schrijven die bijvoorbeeld de telefoon kan inschakelen als afluisterapparaat zonder dat de gebruiker het doorheeft. Aan de andere kant biedt de complexiteit van de telefoon ook meer opties om hier tegen te beveiligen.

Eerlijk gezegd is het iPhone-model, waarbij applicaties alleen via de AppStore komen hier het veiligste. Er is dan nu wel een hack ontdekt die via de browser aanvalt, maar het security-model met gesigneerde code is in principe veel veiliger dan dat van Windows Mobile of Google Android.

3. Diefstal.
Het meest voorkomende probleem, de telefoon wordt gejat. Dan wil je hem van afstand kunnen wissen. Zowel Blackberry, WinMo als iPhone kunnen dit, de andere platformen weet ik niet zo goed, maar er zijn wel applicaties voor Android voor.

Als ik zo naar deze 3 punten kijk, zie ik geen enkel platform dat er echt uitspringt ten opzichte van de anderen, de verschillen zijn marginaal in de praktijk. De eindconclusie blijft voor mij dat het gewoon een kwestie van gewennig is vanuit de beheerders, die in (te) grote mate met Microsoft’s software en functies bekend zijn en vaak onvoldoende inhoudelijk weten wat dat allemaal doet.

cas

Ikzelf hou niet van de iPhone, maar de iPhone het meest onveilig? Daar zet ik toch wat vraagtekens bij… Maar als we onthouden dat de iPhone het meest gebruikt is, snap ik wel dat mensen vaker horen dat er dingen mee misgaan.

@X
De heren van IT-beheer waar ik werk hebben precies dat gedaan; zwervende profielen, iedereen dezelfde software (sinds een paar maanden xp met office 2007), en sites zoals gmail etc. geblokkeerd. Er zit zelfs een klein ‘oogje’ in het systeemvak dat van kleur verandert als ze meekijken (twee à drie keer per dag). Als gevolg werken ik en mijn collega’s op laptops.

lwr

de rekensom is wel verbazend: er van uit gaand dat elke security expert maar 1 model het hoogste risico kan toeschrijven is er een totaal van 57+39+28+13= 137%
toch wel knap.

cas

@lwr
Die had ik niet eens gezien! Waarschijnlijk een geval van ‘lost in translation’.
Er lijkt wel een nuance aanwezig te zijn:
“Highest risk” is misschien niet hetzelfde als “Riskiest” of “Greatest security risk”.

Wim Mooij

De installeerbare apps hebben dus verdraaid weinig te maken met de veiligheid. Natuurlijk voelt IT beheer het vrij kunnen installeren van apps als een grote bedreiging van hun Noord Koreaanse beheerspraktijk. De werkelijke veiligheid ligt in het al dan niet op afstand toegang krijgen tot vitale bedrijfsinformatie. De bekende hacks werken vrijwel nooit op afstand en vergen een bewuste inspanning van de gebruiker. Als iemand kwaad wil, dan lukt dat ongacht wat IT beheer daar denkt tegen te kunnen inbrenegn.
Eventueel te hoog oplopende dataverkeerskosten kunnen warschijnlijk beter in een gesprek met de betreffende gebruiker geregeld worden dan door de gebruiker in een uiterst strak keurslijf te persen. Uitgaan van vertrouwen en misbruik detecteren, is een betere aanpak dan door een dichtgespijkerde telefoon aan te geven dat een gebruiker niet vertrouwd wordt. Je oogst wat je zaait.

tj

Wel jammer dat de kop van dit artikel op de voorpagina staat en niet de nuances. De IT mannen lezen natuurlijk alleen de kop.

Rabbit

Gelukkig is de iPhone de enigste die goed beveiligd is en als hij gestolen wordt kun hem hem via de computer, restten en blokkeren, Tevens kun je het zo instellen dat er een melding komt op die iPhone met een tekst die je zelf bepaald. En er zijn al veel voorbeelden dat een iPhone op die manier is opgespoord en de dief gepakt.
Rabbit

Rabbit

Sorry er zitten een paar typefouten in. En een kleine aanvulling op dit bericht. Je moet dan wel een Mobile.me account hebben.
Rabbit

Rabbit

Hallo Allemaal, via Mobile.me kun je met een keuze tracen waar de gestolen iPhone is met alle gegevens.( Google) en dan gewoon blokkeren en wissen.
Rabbit

Mike

Zonder afbreuk te willen doen aan het marketingtechnisch verantwoorde surveyrapport van nCircle is het – zoals uit hetzelfde rapport blijkt – mogelijk om risico’s te beperken en levert NCircle daar een mooie oplossing voor;

-quote-
“The good news from this survey is that a greater number of companies are starting to understand the security ramifications of mobile devices. It is encouraging that a majority of companies have a smartphone security policy and enforce it.” – “nCircle Suite360™ offers the world’s most comprehensive suite of products for security and compliance auditing.”
-unquote-

gewoon realistisch bekijken wat het mogelijke afbreukrisico is als een “hacker” in staat zou blijken iets te verkrijgen van een IPhone