En dan nu even een miljard smartphones updaten

Er zit een lek in smartphone- besturingssysteem Android. Google dichtte het, maar hoe krijgt het de oplossing bij alle gebruikers?

Illustratie Thinkstock

Het is één van de grote, bijna ideologische, verschillen tussen Android-smartphones en iPhones. Android is grotendeels open en vrij terwijl iPhones, die draaien op besturingssysteem iOS, streng gecontroleerd en strak ontworpen zijn door Apple. De open filosofie van Android heeft er mede voor gezorgd dat dat systeem is uitgegroeid tot veruit het meest populaire ter wereld. Bijna een miljard Android-apparaten zijn op dit moment in gebruik volgens Google.

Deze week bleek wat het gevaar is van openheid. Onderzoekers van beveiligingsbedrijf Zimperium ontdekten een groot gat in de beveiliging van Android-telefoons en publiceerden dat via de Amerikaanse publieke omroep NPR. Simpelweg via het sturen van een MMS-bericht kunnen hackers binnendringen in Android-telefoons. Ze krijgen dan toegang tot gegevens, en kunnen de camera en microfoon aflezen.

De onderzoekers hadden voordat ze hun resultaten naar buiten brachten al Google op de hoogte gebracht. Dat had ook al snel een oplossing voor het beveiligingsprobleem: een update om het gat te dichten was zó gemaakt. Dat gebeurde in mei al. Alleen nu blijkt het praktisch onmogelijk te zijn om die update bij alle gebruikers te krijgen.

Het zit zo: Google geeft Android aan fabrikanten die vervolgens zelf allerlei aanpassingen mogen doen. Ook bepalen fabrikanten zelf tot welke versies en updates klanten toegang hebben. Als er een beveiligingsupdate komt, stuurt Google de nieuwe software naar alle fabrikanten, die vervolgens beslissen of, hoe en wanneer ze die doorsturen naar gebruikers.

Grote fabrikanten zoals Samsung, HTC en LG doen dit over het algemeen snel en goed. Maar er zijn honderden fabrikanten die Android-telefoons maken. Niet allemaal zijn ze even snel met het doorsturen van de updates. Zij hebben daarbij namelijk vaak geen direct financieel belang. Sterker: het kóst de fabrikanten juist geld om alle toestellen te updaten.

Volgens de onderzoekers die het lek aan het licht brachten, zit het erin dat daardoor uiteindelijk slechts de helft van alle Android-telefoons weer veilig wordt. Google erkent dat. Dat zou betekenen dat er een half miljard slecht beveiligde smartphones overblijven. Fijn voor internetcriminelen.

Google vertelt niet hoe het fabrikanten zover wil krijgen om de update toch te versturen. „Het zijn alleen de partners en fabrikanten die de patches naar hun klanten kunnen sturen en niet Google zelf”, zegt een woordvoerder. Het bedrijf houdt het verder bij een algemene verklaring: „De veiligheid van Android-gebruikers is extreem belangrijk voor ons en we hebben de oplossing voor het probleem al beschikbaar gesteld aan partners zodat die op elk toestel kan worden toegepast.” Ook wijst het bedrijf op extra beveiliging die het al langer standaard heeft ingebouwd in apps om misbruik te voorkomen.

Het probleem van versplintering heeft Apple veel minder: volgens het bedrijf heeft 85 procent van de iPhones de nieuwe versie van iOS geïnstalleerd. Er zijn zo’n tien types iPhones in omloop. Het is makkelijker om de boel te beveiligen als je zowel hardware als software in de hand hebt. Niet voor niets is volgens beveiligingsbedrijf F-secure 99 procent van alle kwaadaardige software voor smartphones gericht op Android.