Een smartphone is tegenwoordig het meestgebruikte apparaat om online te zijn. We gebruiken het apparaat om te chatten, sociale media, e-mail en andere zaken, zoals werk of bankieren. Dat maakt een mobiele telefoon een geliefd doelwit voor digitale criminelen. Hoe houd je je smartphone vrij van malafide software?
Allereerst hangen de beveiligingsmaatregelen, die voor een smartphone geadviseerd worden, af van het soort smartphone dat je gebruikt. Het besturingssysteem iOS van de iPhone is veel beperkter dan het veel vaker voorkomende Android, dat door zijn openheid relatief een stuk kwetsbaarder is.
“Over het algemeen heeft de mobiele telefoon een prima beveiliging”, zegt Dave Maasland van internetbeveiligingsbedrijf ESET. “Het is niet zo dat er zich op allerlei momenten malware (malafide software, red.) in je telefoon nestelt zodra je je mobiel aanslingert. Paniek is nergens voor nodig, maar we moeten wel eerlijk zijn: mobiele telefoons kunnen ook kwetsbaar zijn.”
“Malware kan op verschillende manieren op je telefoon terechtkomen”, zegt Jornt van der Wiel van antivirusmaker Kaspersky Lab. Een mogelijkheid is dat de kwaadaardige software zich bevindt in de officiële appwinkels van Apple en Google, de beheerder van Android.
“Een mobiele telefoon is in principe superveilig, ook als je bankzaken wil doen”
Dave Maasland, algemeen directeur ESET
“Apple heeft een strenger beleid voor zijn App Store dan Google”, zegt Van der Wiel. “Je vindt daar minder vaak dubieuze apps. Het is bij Apple heel erg zeldzaam. Bij Google is het ook zeldzaam, maar gebeurt het relatief gezien een stuk vaker.”
“Android heeft absoluut een veel opener karakter dan iOS”, zegt Maasland. Hij legt uit dat apps op een iPhone als het ware hun eigen beperkte omgeving hebben, waardoor de ene app niet bij data van een andere app kan.
“Daarom is er op iPhone ook geen antivirusapplicatie mogelijk”, zegt hij. “Apple stelt ons niet in staat om dat te doen, omdat we niet met de ene app de andere kunnen scannen. Mocht je op iOS een app tegenkomen die dat belooft, dan is het oplichting, malware of iets anders vreemds.”
Het marktaandeel van Android en het feit dat het besturingssysteem in vergelijking een stuk opener is dan iOS, maakt dat criminele aanvallers zich vaker op Android richten. Hoewel Google het probeert te voorkomen, wil een kwaadwillende app zo nu en dan toch in de Play Store verschijnen.
“Maar de kans dat je met Android-malware in aanraking komt, is nog steeds veel lager dan bij Windows op je pc”, zegt Maasland. “Een mobiele telefoon is in principe superveilig, ook als je bijvoorbeeld bankzaken wil doen.”
Dit zijn de drie grootste risico’s voor je smartphone:
- Malafide apps: dubieuze appmakers proberen je te overtuigen om een malafide app te installeren. De app vraagt onnodig veel permissies, toont enorm veel advertenties of probeert je met venijnige trucjes gegevens of geld afhandig te maken. Soms komen dit soort apps in de officiële appwinkels terecht.
- Phishing: net als op pc’s proberen criminelen je via e-mail of sms op malafide links te laten klikken. Zij ‘hengelen’ naar betaalgegevens om je direct te bestelen, of naar andere persoonlijke gegevens om je te chanteren.
- Jailbreaking (iOS), rooting (Android): met dit proces krijg je toegang tot bredere rechten dan de fabrikant normaal toestaat. Malafide software kan daar misbruik van maken door meer en uitgebreidere permissies te verzamelen, zonder daar expliciet toestemming voor te vragen.
Wees kritisch op apps, ook in de officiële appwinkels
Hoewel er een kans bestaat dat malware in de officiële appwinkels terechtkomt, waarschuwen beveiligingsdeskundigen met name voor apps buiten de appwinkel. Op Android is het vrij eenvoudig om ook buiten de Play Store om apps te installeren, via zogenoemde .apk-bestanden. “Als je dat soort apps gaat gebruiken is er nauwelijks of geen controle door Google”, zegt Rense Buijen van internetbeveiliger Trend Micro.
Beveiligingsdeskundigen adviseren ook om goed te kijken naar apps die wél in de App Store en Play Store staan. “Over het algemeen kun je zeggen dat je minder risico loopt bij apps van bekende makers”, zegt Van der Wiel. “Het aantal downloads en wie de maker is, is een indicator, maar geeft geen 100 procent zekerheid.”
Maasland adviseert gebruikers om kritisch te zijn naar de beoordeling en de reacties bij de app. Een goede beoordeling betekent niet automatisch een betrouwbare app. “Soms zie je een app staan die vijf sterren heeft, maar alleen maar reviews als ‘OK!’, ‘Great app!’, ‘Yes’ en ‘Bye bye!’. Die moeten gewoon vals zijn.”
“Voor je het weet, heb je tien apps geïnstalleerd die allemaal naar je data graaien”
Rense Buijen, technisch directeur Trend Micro
Eenmaal gedownload, vraagt een app vaak om bepaalde taken op de telefoon te mogen uitvoeren. Een app moet bijvoorbeeld permissie vragen om de microfoon te activeren als je ‘m wil gebruiken om te videobellen. “Ook malafide apps proberen op allerlei manieren permissies krijgen”, zegt Maasland.
Een app wil bijvoorbeeld toestemming om je sms’jes te kunnen lezen, terwijl dat voor de functionaliteit helemaal niet nodig is. Tegelijkertijd wordt sms ook voor veel gevoelige zaken gebruikt, zoals inloggen bij DigiD en TAN-codes bij ING (hoewel de bank dit proces uitfaseert). “Als je die permissie geeft, kan zo’n app toch bij je sms’jes.”
Buijen adviseert mensen kritisch naar apps te kijken. “Als jij een game installeert, zoals Tetris, moet die app dan jouw contacten kunnen uitlezen en jouw locatie kunnen peilen? Daar vraagt de app toestemming voor. Veel mensen klikken op ja en oké, maar je moet je afvragen wat je deelt en waarvoor het nodig is. Voor je het weet, heb je tien apps geïnstalleerd die allemaal naar je data graaien en potentieel voor problemen zorgen.”
Advies om je smartphone te beschermen:
- Download alleen apps uit de officiële App Store en Play Store, maar wees ook daar kritisch. Veel handige functies waarmee criminelen je proberen te lokken, zoals een zaklamp of scanner voor QR-codes, zitten al in je telefoon.
- Update al gedownloade apps. Makers voegen niet alleen nieuwe functies toe, maar nemen ook kwetsbaarheden en foutjes weg.
- Update ook je Android of iOS naar de nieuwste versie. Daarmee nemen fabrikanten kwetsbaarheden in de software weg. Informeer bij de aanschaf van een smartphone naar het updatebeleid van de fabrikant: de ene fabrikant ondersteunt smartphones langer met beveiligingsupdates dan de andere.
- Voor Android geldt: overweeg een virusscanner. Bekende internetbeveiligers bieden gratis en betaalde versies aan de je smartphone kunnen beschermen.
- Pas op voor oplichterspraktijken die ook op je pc voor kunnen komen, zoals phishing: e-mails waarin aanvallers met malafide links proberen je gegevens te achterhalen.
Malware op je telefoon: kun je het herkennen en hoe kom je ervanaf?
Het is lastig om malware te herkennen als het eenmaal op je telefoon terecht is gekomen. Een smartphone kan trager worden als een app dubieuze praktijken uitvoert, zegt Maasland. Maar een langzame telefoon wil niet per se zeggen dat het apparaat is besmet met malafide software.
In sommige gevallen is malware duidelijk zichtbaar. Het gaat dan om apps die onnodig veel advertenties vertonen, of na installatie op de smartphone ander opvallend gedrag vertonen. “Malware kan je scherm bijvoorbeeld overlappen met een pop-up, waarin het vraag je creditcardgegevens in te vullen voordat je Facebook kunt gebruiken. Dan vul je je gegevens in, maar die gaan natuurlijk naar de aanvallers.”
In de App Store van iOS werden onlangs meerdere apps ontdekt die gebruikers door middel van een vingerafdrukscan proberen op te lichten. De apps suggereerden met de scan bepaalde gegevens te kunnen uitlezen, bijvoorbeeld het meten van je hartslag. Maar de app toonde ook een betaling van bijna 100 dollar (88 euro), die gebruikers met hun vingerafdrukscan autoriseerden.
Wie vermoedt een twijfelachtige app geïnstalleerd te hebben, kan die app verwijderen. Vanwege het gesloten systeem van iOS is het gevaar daarmee vaak geweken, maar voor Android is dat niet automatisch het geval. “Apps zijn vaak best wel goed in het zichzelf kopiëren of met meerdere lagen werken, waarbij een deel nog ergens op je telefoon te vinden is”, zegt Maasland.
“Het probleem van malware: het maakt zichzelf onzichtbaar. Je kunt het niet vinden, het verstopt zich in andere bestanden of zorgt ervoor dat een icoontje niet klikbaar is.”
Maasland adviseert Android-gebruikers om een virusscanner te installeren, die de laatste resten van een app kan herkennen en kan verwijderen of isoleren. Ook kunnen gebruikers hun telefoon resetten naar de fabrieksinstellingen en zo met een ‘verse’ telefoon opnieuw beginnen.