Een betere gebruikerservaring kan beveiligingsproblemen met smartphones verminderen

Veel mensen beseffen de omvang van de gevoelige informatie op hun smartphones niet en zijn van mening dat deze draagbare apparaten: inherent veiliger dan pc's, volgens recente rapporten.

Terwijl ze de belangrijkste problemen opsommen waarmee smartphones te maken hebben, geven rapporten van Zimperium en Cyble beide aan dat geen enkele hoeveelheid ingebouwde beveiliging voldoende is om te voorkomen dat aanvallers een apparaat compromitteren als de eigenaar onderneemt geen stappen om het te beveiligen.

"De grootste uitdaging, vind ik, is dat gebruikers er niet in slagen om een ​​persoonlijk verband te leggen tussen deze best practices op het gebied van beveiliging en hun eigen persoonlijke leven,"

Avishai Avivi, CISO bij SafeBreach, vertelde Lifewire via e-mail. "Zonder te begrijpen dat ze een persoonlijk belang hebben bij het beveiligen van hun apparaten, zal dit een probleem blijven."

Mobiele bedreigingen

Nasser Fattah, voorzitter stuurgroep Noord-Amerika bij Gedeelde beoordelingen, vertelde Lifewire via e-mail dat aanvallers achter smartphones aan gaan omdat ze een zeer groot aanvalsoppervlak bieden en unieke aanvalsvectoren bieden, waaronder sms-phishing of smishing.

Bovendien zijn reguliere apparaateigenaren het doelwit omdat ze gemakkelijk te manipuleren zijn. Om software te compromitteren, moet er een niet-geïdentificeerde of onopgeloste fout in de code zijn, maar click-and-bait social engineering-tactieken zijn altijd groen, Chris Goettl, VP Product Management bij Ivanti, vertelde Lifewire via e-mail.

De Zimperium-rapport merkt op dat minder dan de helft (42%) van de mensen oplossingen met hoge prioriteit heeft toegepast binnen twee dagen na hun release, 28% had tot een week nodig, terwijl 20% maar liefst twee weken nodig had om hun smartphones.

"Eindgebruikers houden over het algemeen niet van updates. Ze verstoren vaak hun werk (of speel)activiteiten, kunnen het gedrag op hun apparaat veranderen en kunnen zelfs problemen veroorzaken die langer ongemak kunnen veroorzaken", meende Goettl.

De Cyble rapport noemde een nieuwe mobiele trojan die codes voor tweefactorauthenticatie (2FA) steelt en wordt verspreid via een valse McAfee-app. De onderzoekers doorgronden dat de kwaadaardige app wordt verspreid via andere bronnen dan de Google Play Store, dat is iets dat mensen nooit zouden moeten gebruiken, en vraagt ​​om te veel toestemmingen, wat nooit zou moeten zijn toegekend.

Pete Chestna, CISO van Noord-Amerika bij Checkmarx, is van mening dat wij het zijn die altijd de zwakste schakel in beveiliging zullen zijn. Hij is van mening dat apparaten en apps zichzelf moeten beschermen en genezen of anderszins bestand moeten zijn tegen schade, aangezien de meeste mensen er geen last van hebben. Zijn ervaring is dat mensen zich bewust zijn van de best practices op het gebied van beveiliging voor zaken als wachtwoorden, maar ervoor kiezen deze te negeren.

"Gebruikers kopen niet op basis van veiligheid. Ze gebruiken [het] niet op basis van beveiliging. Ze denken in ieder geval nooit aan veiligheid voordat er persoonlijk slechte dingen met hen zijn gebeurd. Zelfs na een negatieve gebeurtenis zijn hun herinneringen kort,' merkte Chestna op.

Apparaateigenaren kunnen bondgenoten zijn

Atul Payapilly, Oprichter van aantoonbaar, bekijkt het vanuit een ander oogpunt. Het lezen van de rapporten herinnert hem aan de vaak gemelde AWS-beveiligingsincidenten, vertelde hij Lifewire via e-mail. In deze gevallen werkte AWS zoals ontworpen, en de inbreuken waren eigenlijk het gevolg van slechte machtigingen die waren ingesteld door de mensen die het platform gebruikten. Uiteindelijk veranderde AWS de ervaring van de configuratie om mensen te helpen de juiste machtigingen te definiëren.

Dit resoneert met Rajiv Pimplaskar, CEO van Dispersieve netwerken. "Gebruikers zijn gefocust op keuze, gemak en productiviteit, en het is de cyberbeveiligingsindustrie verantwoordelijkheid om te onderwijzen en een omgeving van absolute veiligheid te creëren, zonder de gebruiker in gevaar te brengen beleven."

De industrie zou moeten begrijpen dat de meesten van ons geen beveiligingsmensen zijn, en van ons kan niet worden verwacht dat we de theoretische risico's en implicaties begrijpen van het niet installeren van een update, meent Erez Yalon, VP Beveiligingsonderzoek bij Checkmarx. "Als gebruikers een heel eenvoudig wachtwoord kunnen opgeven, zullen ze dat doen. Als software kan worden gebruikt, hoewel deze niet is bijgewerkt, zal deze worden gebruikt', deelde Yalon via e-mail met Lifewire.

Goettl bouwt hierop voort en is van mening dat een effectieve strategie zou kunnen zijn om de toegang van niet-conforme apparaten te beperken. Bijvoorbeeld een gejailbreakt apparaat, of een apparaat met een bekende slechte toepassing, of een versie van het besturingssysteem dat: waarvan bekend is dat het is blootgesteld, kunnen allemaal worden gebruikt als triggers om de toegang te beperken totdat de eigenaar de beveiligingsfout corrigeert pas.

Avviv is van mening dat apparaatverkopers en softwareontwikkelaars veel kunnen doen om de gebruiker te helpen minimaliseren waaraan uiteindelijk wordt blootgesteld, zou er nooit een wondermiddel of een technologie zijn die echt kan vervangen wetware.

"De persoon die op de kwaadaardige link kan klikken die alle geautomatiseerde beveiligingscontroles heeft doorstaan, is dezelfde die het kan melden en kan voorkomen dat hij wordt beïnvloed door een zero-day of een technologische blinde vlek," zei Aviv.