Hoe RASP en gedragsbiometrie cruciaal worden voor mobiele beveiliging (video)

Vasco

Mobiele apps zijn met de opkomst van bankieren op de smartphones niet langer meer een leuk tijdverdrijf. Ze zijn deel gaan uitmaken van onze dagelijkse kernactiviteiten, waaronder geldzaken, die roepen om identiteitsbeheer en beveiliging. Steeds meer mensen maken zelfs exclusief gebruik van mobiele apparaten voor dit soort activiteiten. Dat maakt de apps voor cybercriminelen financieel interessant.

Consumenten in Europa zijn niet bepaald gewend om slachtoffer te worden van malware, laat staan bankenmalware die zich specifiek op smartphones richt. Helaas gebeurt dat steeds vaker, zoals beschreven in een recent artikel over hoe de Trojan BankBot zich richt op klanten van Nederlandse banken en wachtwoorden en pasinformatie buit maakt. De Trojan komt binnen via een op het eerste gezicht legitieme applicatie die lang via de Google Play Store beschikbaar was.

Het is slechts één voorbeeld van hoe het ecosysteem voor mobiele apps misbruikt wordt door cybercriminelen met een financieel motief. Consumenten merken mobiele malware steeds vaker niet op en hebben meestal geen idee dat hun apparaat besmet is. Althans, totdat hun bankrekening of digitale portemonnee leeg wordt getrokken. Meestal leiden deze malware de gebruiker om naar een imitatie van ‘hun eigen’ app voor online bankieren, waar ze nietsvermoedend hun identiteit en wachtwoorden prijsgeven. Eventuele SMS’jes die ter bevestiging binnenkomen, onderschept de malware eveneens.

Dit is voor de meeste gebruikers in Westerse landen een nieuwe situatie. “Malware gericht op mobiel online bankieren heeft in het verleden vooral de klanten van Russische banken en portemonnee-ontwikkelaars gedupeerd, maar valt steeds vaker specifiek Europese en Amerikaanse consumenten aan”, waarschuwt Frederik Mennes, hoofd van de Security Competence Center van VASCO. “Deze malware probeert identiteiten of creditcardgegevens te stelen door nepvensters te tonen of SMS’jes te onderscheppen. De opkomst van malware gericht op mobiel online bankieren in Europa en de VS betekent dat banken hun applicaties moeten gaan beschermen met RASP.”

Maar wat is RASP?

RASP staat voor Runtime Application Self-Protection en is een model die de security direct in de app zelf integreert, in plaats van als aparte laag over het besturingssysteem. Het probleem met zo’n aparte beveiligingslaag is namelijk dat als een crimineel erdoorheen komt, het hele apparaat en alle applicaties vrij spel zijn voor hem. Trojans werken omdat gebruikers - onbewust - hun toestemming verlenen om bepaalde beheerdersacties uit te voeren.

RASP-technologie gaat dit tegen door de security naadloos te koppelen aan de applicatie zelf. Het grijpt in bij vreemd gedrag en dwingt verdere authenticatie af. Omdat het modulair is en het geheel met de app kan worden geïntegreerd of als API aan de app kan worden gekoppeld, hoeft het niet specifiek voor elke app te worden ontwikkeld. Dat verkort de implementatie aanzienlijk.

Meerdere gevaren

Een ander voordeel van RASP ten opzichte van meer traditionele security is dat het meerdere vormen van cyberdreigingen tegengaat. Dit omdat RASP naar afwijkingen in functioneel- en gebruikersgedrag kijkt in plaats van naar specifieke uitgevoerde code. Belangrijk, omdat criminelen steeds meer mogelijkheden hebben om informatie te stelen of controle over het apparaat te verkrijgen.

Vasco2

Een geniepige vorm is de zogenaamde Man-in-the-App-aanval, die is afgeleid van de klassieke man-in-the-middle-aanval waarbij hackers tussen zender en ontvanger in zit en de informatie afluistert. Bij Man-in-the-App wordt in feite de applicatie zelf besmet, zodat de uitgezonden gegevens worden veranderd zonder dat de gebruiker dit ziet. Als deze een transactie start kan de malware bijvoorbeeld het rekeningnummer van de ontvanger wijzigen naar een eigen rekeningnummer, zodat de hacker het geld ontvangt.

Een andere - meer gebruikelijke - dreiging is de diefstal van passieve data. Mobiele apparaten slaan steeds meer gegevens lokaal op, waaronder onvoldoende of niet versleutelde gevoelige en waardevolle gegevens. Bovendien weten gebruikers in veel gevallen helemaal niet welke bestanden op hun smartphone rondslingeren omdat het browsen door bestanden niet de dagelijkse bezigheid is zoals je dat wel op desktopcomputers hebt. Niet alleen kan een crimineel bij een succesvolle hack rondneuzen in deze bestanden, maar hij kan in de meeste gevallen terugkomen.

Dan is er natuurlijk de klassieke malware, nog steeds een grote zorg voor mobile. Recent heeft Android Windows ingehaald als meest geliefde doelwit van malware-auteurs. Onderling zijn de verschillen in malware groot, met sommige die de smartphone gijzelen tot losgeld is betaald tot malware die constant apps met advertenties downloadt. In de meeste gevallen zal de malware pogen om root-toegang tot het apparaat te krijgen om zich dieper op het apparaat te nestelen, of de gebruiker verleiden om de juiste privileges te bieden met een neppe ‘update’ pop-up.

Als laatste kunnen hackers ook het besturingssysteem zelf kraken door zich op bepaalde kwetsbaarheden te richten. Ook dan krijgen ze bij succes volledige controle over het apparaat. Ze kunnen malware installeren, gegevens stelen, telefoonnummers spoofen, SMS’jes en contactlijsten lezen, enzovoorts.

SHIELD

VASCO heeft RASP-technologie genaamd SHIELD van de Noorse ontwikkelaar Promon toegevoegd aan zijn DIGIPASS for Apps-platform als beveiligingsmechanisme. DIGIPASS for Apps wordt door banken gebruikt als authenticatiemiddel voor gebruikers van de apps. De transacties zijn gegarandeerd beveiligd omdat RASP alle vreemde gedragingen oppikt van de app, het apparaat of de gebruiker.

Gedragsbiometrie

Een ander onderdeel dat VASCO in zijn oplossingen implementeert, is gedragsbiometrie. Bij traditionele biometrie wordt de gebruiker geïdentificeerd met een persoonlijk kenmerk, zoals stemgeluid, vingerafdruk of beide. Dit heeft echter negatieve gevolgen voor de gebruiksvriendelijkheid. Stemherkenning werkt niet goed als de omgeving lawaaiig is of als de gebruiker een sterk accent heeft. Maar gedragsbiometrie werkt door de interactie van de gebruiker met het apparaat bij te houden, zoals de manier waarop hij het scherm aanraakt en apps opent. Plotselinge afwijkingen kunnen duiden op een veiligheidsprobleem, en de beheerder kan dan passende stappen nemen.

RASP en gedragsbiometrie zijn cruciale ontwikkelingen op het gebied van mobiele security omdat ze het apparaat over de hele breedte beveiligen, maar ook iedere transactie afzonderlijk. Ze dichten immers niet slechts één route af die cybercriminelen aftasten, en criminelen komen er niet mee weg zich te richten op slechts één zwakheid. Dat is altijd al hun manier van werken geweest, waarbij het aantal uit te buiten zwakheden enorm is gestegen. Door RASP en gedragsbiometrie zullen ze hun methoden moeten aanpassen.

Michiel van Blommestein is journalist