Security in de mobiele wereld is geen evidentie. Er zijn miljoenen hackers die de toenemende populariteit van smartphone-apps willen misbruiken, terwijl mobiele toestellen bij uitstek instrumenten zijn die zowel privé als professioneel worden gebruikt. Dit alles leidt tot complexe problemen.
Uit een enquête van Harris Poll in opdracht van MobileIron blijkt dat de grens tussen privé en professioneel lang niet altijd duidelijk is, zeker voor de zogeheten ‘generatie M’, de 18- tot 35-jarigen die een groot deel van hun leven met mobiele toestellen hebben leren leven. “64 procent gebruikt mobiele toestellen buiten de kantooruren voor professionele doeleinden, en 82 procent gebruikt ze tijdens kantooruren wel eens privé”, aldus Hendrik Van De Velde, country manager van MobileIron in België.
Daarmee is de problematiek nog maar half geschetst. “58 procent van de werknemers voelt zich schuldig over het privégebruik tijdens kantooruren. Anderzijds zou 28 procent het bedrijf verlaten als de werkgever privé-gegevens op deze toestellen zou inkijken.” Er is dus een behoefte aan toepassingen die de grens tussen privé en professioneel beter beveiligen. “Maar die mogen de productiviteit niet laten dalen, anders haken de eindgebruikers af”, waarschuwt Van De Velde. Met hun mobile enterprise management software wil MobileIron precies deze twee objectieven realiseren.
MobileIron gebruikt geen sandboxing-techniek op het niveau van het besturingssysteem. “Dan verlies je bijvoorbeeld heel wat van de functionaliteit die native apps van iOS je bieden. Wij werken met een systeem van sandboxing van elke app afzonderlijk, en – via een systeem van reverse proxy’s – bouwen we een muur tussen de privé en professionele wereld, met een beveiligde tunnel onder de muur waar nodig. Volledig veilig en de eindgebruiker merkt er niets van.”
REVERSE ENGINEERING IN 2 MINUTEN
Een geheel ander aspect van mobile security is het groeiend aantal bedreigingen en cybercriminelen. Vooral de Android-toestellen krijgen het zwaar te verduren. Helaas zijn Android-apps niet alleen populair bij eindgebruikers maar ook bij hackers, met name door hun gebrekkige beveiliging.
“De beste manier om onze oplossingen te verkopen, is met een demo”, vertelt Heidi Rakels, ex-judoka en ceo van application security specialist Guardsquare. “Daarin tonen we hoe je in 2 minuten een bank-app kan ‘reverse engineeren’ en klonen. Meteen groeit het besef dat mobiele applicaties erg kwetsbaar zijn, en dat er meer beveiliging nodig is.”
Een deel van het probleem ligt in het verschil tussen statische en dynamische beveiliging. “Bij dynamische beveiliging kijkt men naar de bestaande bedreigingen en past men zijn software hieraan aan. Bij statische beveiliging beschermt men de app zelf tegen aanpassing door hackers. Zo voorkomt men dat die hackers de dynamische bescherming door reverse engineering kunnen uitschakelen.”
Deze statische bescherming kan slechts door een handvol leveranciers worden aangeboden omdat ze zeer moeilijk is om op te bouwen, zegt Heidi Rakels : “wij waren hiermee al bezig toen Android nog niet bestond : toen bouwden we al dergelijke software in Java. Concurrenten die ons nu willen bijbenen, moeten jaren expertise inhalen.”
Maar ook de hackers wordt het leven niet eenvoudig gemaakt. “Door een steeds veranderende configuratie van de beveiligingslagen moeten ze elke keer opnieuw manueel door alle lagen heen dringen. We zien af en toe blogs opduiken waarin ze triomfantelijk tonen hoe je door één van onze lagen geraakt, maar daarmee zijn ze nog lang niet binnen”, aldus Rakels.
Deze aanpak slaat aan in binnen- en buitenland, bij grote en kleine bedrijven. Rakels : “Gemiddeld krijgen we 70 aanvragen om onze software te kopen, van kleine ontwikkelaars tot grote financiële instellingen en service providers. Vooral uit China, India en Zuid-Korea krijgen we bijzonder veel aanvragen.”
Stef Gyssels
Fout opgemerkt of meer nieuws? Meld het hier