Pas op. Google geeft je een gevaarlijke overdosis gebruiksgemak

foto Reuters

Klaar om in paniek te raken?

Android haalt Windows in als meest gebruikte computersysteem – ook door cybercriminelen. Veiligheidsbedrijf G-Data telt nu 4.900 nieuwe kwaadaardige Android-apps per dag. Dat waren er in 2011 nog geen vierduizend per jaar – toen de smartphone nog jong en onschuldig was.

Tegen nieuwe bedreigingen bescherm je je met nieuwe updates, maar fabrikanten van Android-telefoons zijn traag met het vernieuwen van de software. Daardoor heeft krap 12 procent van de Android-gebruikers de laatste versie, 5.0 of 5.1, geïnstalleerd. De rest werkt met verouderde systemen, met de bijbehorende oude gebreken.

De Consumentenbond begon een actie om telefoonfabrikanten te bewegen sneller upgrades ter beschikking te stellen, ook voor oudere telefoons. De fabrikanten kijken wel uit. Waarom zou je oude modellen blijven vernieuwen als je je klanten een nieuwe telefoon kunt verkopen?

Nog meer paniek

Nog meer Android-paniek. Volgens onderzoekers van de VU staan de deuren van Android, het meest gebruikte mobiele besturingssysteem (ruim 80 procent van de telefoons), wagenwijd open voor cybercriminelen.

Je kunt vanuit een gehackte pc naar de site van de Google Play Store gaan, kwaadaardige software op een telefoon installeren en zo bijvoorbeeld de extra beveiligingscode van iemands ING-account onderscheppen.

Kwaadaardig. Hack. Bankieren: dat klinkt ernstig. Vandaar dat De Volkskrant erover berichtte. De kwetsbaarheid werd wat dik aangezet: het was ‘simpel’ om op alle telefoons in te breken. Criminelen hadden ‘vrij spel’. En hoe Google het in zijn hoofd haalde om die ernstige fout niet te herstellen.

FUD genoeg

De kritiek van andere veiligheidsspecialisten was stevig. Ze vonden niet dat er een bug was. Op Security.nl waren de commentaren niet mals en de Android-wereld reageerde sceptisch. Computerworld schreef: “Er is al genoeg FUD – Fear, Uncertainty and Doubt – in de wereld.” In het rampscenario van de VU moet namelijk wel eerst het wachtwoord van een Google-account gekraakt worden. Dat is geen onbelangrijk detail. Als je eenmaal die sleutels hebt, heb je als inbreker wel vrij spel.

Er zit ècht een bug in Android, zeggen de VU-onderzoekers. Maar wat ze vooral aantoonden is de overdosis gebruiksgemak waaronder webdiensten als die van Google gebukt gaan. Google koppelt al je Android-apparaten aan één account. Tablet, pc, telefoon, alles toegankelijk, alles synchroon via de browser en de magische Google-cloud. Dit doet Apple ook via iCloud. Alleen is het bij Apple minder eenvoudig om op afstand software te installeren en wordt de App Store beter gecontroleerd dan de Play Store.

Colin logt in

Google verwart kwetsbaarheden wel vaker met gebruiksgemak. Een verhaal uit de oude doos: een paar jaar geleden meldde Colin van Hoek, techredacteur bij nu.nl, dat mijn wachtwoorden op zijn werk-pc opdoken. Toen we Google om uitleg vroegen dacht het bedrijf dat we ooit dezelfde pc hadden getest onder dezelfde Windows-account, en beiden ingelogd hadden in Googles Chrome-browser.

Vrije vertaling van dat scenario: we hadden een infectie overgehouden aan een toevallige ontmoeting met een derde. Dankzij de Google-account verhuisden de wachtwoorden door de cloud naar alle apparaten van Colin, ook zijn werk-pc. Wat ik zag als een fout, beschouwde Google juist als een feature: synchronisatie, ook als je dat niet wilt.

Wonderschoon synchroon

Google biedt weinig opties om de automatische verbinding tussen al je apparaten te verbreken. Daarom adviseren de VU-onderzoekers meerdere Google-accounts voor je gadgets te gebruiken. Het nadeel: je verliest dat wonderschone synchrone gevoel en moet eerst nadenken voordat je een toestel gebruikt.

Het voordeel: zo zet je een streep door die gevaarlijke combinatie van extreem gebruiksgemak en blindelings vertrouwen. Een beetje FUD op zijn tijd kan geen kwaad.