Denkt u dat uw mobiele app veilig is? Denk daar nog maar eens over na...

Het geruisloze karakter van mobiele aanvallen is wat ze zo schadelijk maakt

Gebruikers zijn jammer genoeg nog steeds hun eigen ergste vijand, omdat ze zichzelf niet afdoende beschermen in de digitale mobiele markt van vandaag. Volgens een rapport van Infosecurity Magazine vergrendelt slechts 45% van de gebruikers zijn telefoon met een pincode, wachtwoord of biometrische beveiliging. Toch is 83% van de consumenten in Amerika heel erg, erg of enigszins bezorgd over identiteitsdiefstal, volgens de jaarlijkse enquête van TransUnion. In amper 6 maanden tijd werd de afdeling slachtofferhulp van TransUnion meer dan 400.000 keer gebeld voor hulp tegen fraude, en dit aantal neemt steeds verder toe.

Mobiliteit is de sleutelfactor voor een optimale ervaring, en daardoor zijn de mogelijkheden voor fraude dankzij de kracht en capaciteiten van de mobiele telefoon onvoorstelbaar groot geworden. Je hoort overal over fraude: in gaming, het bankwezen, de reiswereld, detailhandel, entertainment, gezondheidszorg enz. Voeg daarbij het feit dat nieuwe aanvalsmogelijkheden door het gebruik van mobiele apparaten en de 5,86 miljoen apps die er vandaag op de markt zijn sterk toenemen, en het wordt duidelijk wat de impact kan zijn op uw dagelijks leven. Fortune heeft de beweringen van Wintego over hun vermogen om WhatsApp te hacken met behulp van Man-in-the-App om al uw persoonlijke gegevens te stelen op een rijtje gezet. Dat zou de lezer ervan moeten overtuigen dat standaard of helemaal geen beveiliging een serieus probleem is.

Navraag bij meerdere personen wijst echter uit dat zij het idee hebben dat appstores veilige apps verstrekken en dat mobiele telefoons over het algemeen veilig zijn. Dat is dus allesbehalve het geval, zoals de hierboven vermelde problemen levendig illustreren. Gebruikers vormen een gevaar voor zichzelf, en de meeste mobiele apps zijn tegenwoordig zeer kwetsbaar.

In werkelijkheid bestaat er geen enkele app die immuun is voor aanvallen van hackers. Het maakt niet uit of ze beveiligd zijn met een wachtwoord, en ook niet of dit wachtwoord 'complex' is of zelfs een tweefactorauthenticatie vereist. Niets van dit alles is belangrijk, omdat de schadelijkste aanvallen op het mobiele platform geruisloos hun werk doen: jailbreaking, rooting, code-injectie, app-cloning, screen scraping en brute force-aanvallen. Al deze mooie namen betekenen dat de hacker (zonder dat u het beseft) toegang kan krijgen tot de versleutelde gegevens op uw telefoon en binnen uw apps, een overlay-afbeelding kan weergeven, informatie die in het tekstveld wordt getypt, kan onthouden en de tekst die vervolgens weer aan de gebruiker wordt getoond kan wijzigen. In essentie betekent dit dat hackers kunnen wijzigen hoe een applicatie werkt en taken kunnen uitvoeren die uw persoonlijke gegevens, geld en andere bezittingen in gevaar brengen.

Wintego beweert dat ze mobiele telefoons en apps zo kunnen beïnvloeden dat ze op ieder moment alle gegevens die ze maar willen te pakken kunnen krijgen. Met andere woorden, u hoeft geen security-freak te zijn om erg bezorgd te worden. Alle apps kunnen gehackt worden. Bedenk maar hoeveel schade een bad guy bijvoorbeeld kan toebrengen aan een 'smart' huis bestuurd via een mobiele app.

Wat zou u ervan vinden als er een uitgebreide en toch eenvoudige manier bestond om mobiele applicaties te beschermen en ervoor te zorgen dat de slechteriken niet aan uw informatie kunnen komen? RASP of Runtime Application Self-Protection is een relatief nieuwe technologie die snel kan worden toegepast in bestaande apps en apps die nog in ontwikkeling zijn. Zonder in te gaan op de technische details, kan RASP een applicatie pakken en er een beschermende laag of 'wrapper' overheen leggen die uw app afschermt tegen een hele reeks aanvalsmogelijkheden zoals malware of Man-in-the-App. Het kan misbruik van de kwetsbaarheden van besturingssystemen blokkeren, ongeacht de authenticatie die u nu gebruikt. In mijn ogen is dit het startpunt voor de beveiliging van alle mobiele apps.

Met het oog op alle cyberaanvallen die er tegenwoordig zijn, publiceerde Bloomberg een artikel dat beschrijft hoe de 'Fed', de centrale bank van de VS, bezig is met het formuleren van een plan om nieuwe veiligheidsmaatregelen te treffen. Banken kunnen daardoor een basislijn gebruiken om zich tegen de voortdurende cyberdreigingen af te schermen. Bij de 'Fed' is men van mening dat de digitale kwetsbaarheden steeds frequenter en agressiever worden en dat er slechts één grote aanval nodig is om het hele financiële systeem lam te leggen. Permanent testen en voortdurende bescherming worden vandaag verwacht, maar zullen morgen verplicht worden om de voortdurende cyberdreigingen in de markt aan te pakken. De beste manier om klanten te beschermen en vertrouwen te creëren is door het nemen van proactieve en preventieve maatregelen om gegevens te beschermen. En u, hoe beschermt u uw app?

Jan Valcke, President & COO VASCO Data Security