En dan nu even een miljard smartphones updaten

screenshot Android

Het is één van de grote, bijna ideologische, verschillen tussen Android-smartphones en iPhones. Android is grotendeels open en vrij terwijl iPhones, die draaien op besturingssysteem iOS, streng gecontroleerd en strak ontworpen zijn door Apple. De open filosofie van Android heeft er mede voor gezorgd dat dat systeem is uitgegroeid tot veruit het meest populaire ter wereld. Bijna een miljard Android-apparaten zijn op dit moment in gebruik volgens Google.

Deze week bleek wat het gevaar is van openheid. Onderzoekers van het Amerikaanse beveiligingsbedrijf Zimperium ontdekten een groot gat in de beveiliging van Android-telefoons en publiceerden dat via de Amerikaanse publieke omroep NPR. Simpelweg via het sturen van een MMS-bericht kunnen hackers binnendringen in Android-telefoons. Ze krijgen dan toegang tot gegevens, en kunnen de camera en microfoon aflezen.

https://www.youtube.com/watch?v=e1cDeK-Ln3c

Praktisch onmogelijk

De onderzoekers hadden voordat ze hun resultaten naar buiten brachten al Google op de hoogte gebracht. Dat had ook al snel een oplossing voor het beveiligingsprobleem: een update om het gat te dichten was zó gemaakt. Dat gebeurde in mei al. Alleen nu blijkt het praktisch onmogelijk te zijn om die update bij alle gebruikers te krijgen.

Het zit zo: Google geeft Android aan fabrikanten die er vervolgens zelf allerlei aanpassingen aan mogen doen. Ook bepalen fabrikanten zelf tot welke versies en updates klanten toegang hebben. Als er een beveiligingsupdate komt, stuurt Google de nieuwe software naar alle fabrikanten, die vervolgens beslissen of, hoe en wanneer ze die doorsturen naar gebruikers.

Grote fabrikanten zoals Samsung, HTC en LG doen dit over het algemeen snel en goed. Maar er zijn in totaal honderden fabrikanten die Android-telefoons maken. Niet allemaal zijn ze even snel met het doorsturen van de updates. Zij hebben daarbij namelijk vaak geen direct financieel belang. Sterker: het kóst de fabrikanten juist geld om alle toestellen te updaten.

Volgens de onderzoekers die het lek aan het licht brachten, is de kans groot dat daardoor uiteindelijk slechts de helft van alle Android-telefoons weer veilig wordt. Google erkent dat. Dat zou betekenen dat er een half miljard slecht beveiligde smartphones overblijven. Fijn voor internetcriminelen.

Update versturen

Google zelf wil niet vertellen hoe het fabrikanten zover wil krijgen om de update toch te versturen. Het bedrijf houdt het bij een algemene verklaring:

“De veiligheid van Android-gebruikers is extreem belangrijk voor ons en we hebben de oplossing voor het probleem al beschikbaar gesteld aan partners zodat die op elk toestel kan worden toegepast.”

Ook wijst het bedrijf op extra beveiling die het al langer standaard heeft ingebouwd in apps om misbruik te voorkomen, en dat het lek voorzover bekend niet is misbruikt door criminelen.

Dit probleem heeft Apple veel minder: volgens het bedrijf zelf heeft 85 procent van de iPhone-bezitters de nieuwste versie van iOS geïnstalleerd. Het is een stuk makkelijker om de boel te beveiligen als je zowel hardware als software in de hand hebt. Niet voor niets is volgens beveiligingsbedrijf F-secure 99 procent van alle kwaadaardige software voor smartphones gericht op Android.