Tips voor het beveiligen van een app

Datalekken, phishing en malware, je leest er steeds vaker over in het nieuws. Het is daarom voor zowel consumenten als bedrijven belangrijk om apps te beveiligen en zo veilig mogelijk om te gaan met smartphones, het internet en data. 

In dit artikel lichten wij toe hoe je zowel als consument als bedrijf apps en smartphones kunt beveiligen. 

Gevolgen van onbeveiligde apps, onveilige apps en onbeschermd internetverkeer

Onbeveiligde apps, onveilige apps en onbeschermd internetverkeer kunnen een aantal gevolgen met zich meebrengen. Onderstaand hebben we drie soorten gevolgen uitgewerkt:

1. Datalekken

Bij een datalek vallen persoonsgegevens in handen van derden, die geen toegang tot die gegevens zouden mogen hebben. Een datalek ontstaat niet zomaar, wanneer je ICT-beveiliging niet op orde is, kan een cybercrimineel je klantgegevens stelen. Data kan ook lekken wanneer medewerkers onvoorzichtig omgaan met persoonsgegevens, zo vond een supermarkt in 2019 patiëntengegevens in een winkelkarretje. Een medewerker van het ziekenhuis had de achterkant van een werkdocument gebruikt als boodschappenlijstje.

2. Het installeren van malware 

Malware is een overkoepelende term voor schadelijke software (ook wel ‘malicious software’). Sommige varianten zijn uit op het vergaren van persoonlijke informatie, maar de meeste zijn uit op geld. Zo zijn er zelfs in de Google Play Store meerdere apps ontdekt die inloggegevens voor internetbankieren stelen. De app stores voeren altijd veiligheidscontroles uit en als app ontwikkelaar weten wij hier alles van. Zo doorlopen wij met onze apps een verificatieproces met Google (voor de Play Store) of Apple (voor de App Store). 

Ontwikkelaars van malafide apps presenteren hun apps in eerste instantie als veilige en nuttige applicaties, vaak duurt het dan ook een paar dagen voordat de app ‘kwaadaardig’ gedrag begint te vertonen. Zo weten de apps het verificatieproces van Apple en Google te omzeilen. 

Dit gebeurd niet enkel bij onbekende app ontwikkelaars, zo kreeg Uber in China te maken met een zwendel waarbij Uber chauffeurs extra premies konden verdienen door een goedkope iPhone te kopen, zich aan te melden voor nieuwe accounts en valse ritten te boeken. Om dit probleem tegen te gaan overtrad Uber de privacyregels van Apple door alle iPhones in China te voorzien van een label. Zo wist Uber wanneer iPhone-gebruikers de app voor een tweede keer installeerden. Dit label bleef ook op de iPhone wanneer de telefoon werd teruggezet naar de fabrieksinstellingen. 

Uber ging zelfs zo ver om code toe te voegen aan de app, waardoor de regelovertredende code onzichtbaar was voor gebruikers die de app openden vanuit het hoofdkwartier van Apple. Uiteindelijk werd dit ontdekt en werd Uber directeur Travis Kalanick op het matje geroepen door Apple directeur Tim Cook. 

3. In de val van een phishing scam

Waarschijnlijk heb je weleens gehoord van ‘phishing’. De term phishing is afgeleid van ‘vissen’, een verzamelnaam voor alle methoden die cybercriminelen gebruiken om gegevens te stelen of toegang te krijgen tot een netwerk of apparaat. Je kan je voorstellen dat criminelen een ‘hengel’ uitgooien en wachten tot een ‘slachtoffer bijt’. Voorbeelden van phishing zijn: 

• E-mail phishing: dit is de meest voorkomende vorm van phishing en deze vorm wordt al gebruikt sinds de jaren ‘90. E-mail phishing bestaat uit een schadelijke link in een e-mail. Vaak doet de aanvaller zich voor als een bekend bedrijf, zoals een bankinstelling of verzekeraar.  Smishing: dit is phishing via sms of WhatsApp. Vaak is er haast bij en gaat het om een ‘dringende beveiligingswaarschuwing’. Vervolgens wordt gevraagd om je gegevens bij te werken of je pincode te bevestigen. 

• Vishing: dit is elke vorm van phishing via een telefoongesprek. De benaming bestaat uit een combinatie van ‘voice’ en ‘phishing’. Oplichters bellen je op en vragen om persoonlijke of financiële informatie. Zo werd er in 2020 voor 2,5 miljoen euro opgelicht door oplichters die zich voordeden als Microsoft medewerkers.
• Spear phishing: de naam spreekt voor zich, in dit geval wordt de aanval gericht op één specifiek slachtoffer. 
• Whaling: dit is een nóg meer gerichte aanval, gericht op een ‘walvis’. Hier wordt vaak een directeur van een bedrijf of werknemer met een hoge positie mee bedoeld. Zo trapte in 2016 de directeur van FACC, een fabrikant van luchtvaartonderdelen, in een whaling aanvaling. De whaling aanval kostte het bedrijf bijna 50 miljoen euro en de directeur werd als gevolg ontslagen.

5 tips voor het beveiligen van je smartphone en apps

Als consument kan je de volgende voorzorgsmaatregelen nemen: 

1. Hou alles altijd up-to-date

Het tijdig installeren van updates voor je software en apps is erg belangrijk. Zodra je smartphone of een van je apps aangeeft dat er een update paraat staat, raden wij je aan deze direct te installeren. 

2. Let op waar een app toestemming voor vraagt

Wanneer je een app voor het eerst opstart, is het verstandig om goed op te letten waar de app precies toestemming voor vraagt. Je krijgt namelijk vaak de mogelijkheid om toegang tot je persoonlijke gegevens te weigeren, zoals je contactenlijst, foto’s of Facebook-profiel. Denk dus altijd goed na of je dit wel wilt voordat je hiermee akkoord gaat.

3. Download alleen apps uit de officiële app stores

Het is belangrijk om alleen apps uit de officiële app store van jouw telefoon te downloaden. Apps in de officiële app stores worden namelijk gecontroleerd voordat deze beschikbaar worden gesteld en hoewel deze controle niet 100% waterdicht is, is dit beter dan geen controle. Daarnaast wordt de malware meestal geactiveerd via valse ‘Google Play’ updates. Je kan namelijk niet zomaar apps van buiten de Google Play Store installeren. Malware ontwikkelaars zijn hiervan op de hoogte en gebruiken daarom vervalste ‘update schermen’ in de Google Play-huisstijl. Dat kan er als volgt uit zien:  

Afbeelding via ThreatFabric

Op het rechterscherm is te zien dat je eerst handmatig moet instellen dat je apps uit niet-vertrouwde bronnen kan installeren. Download daarom nooit zomaar apps buiten de Google Play Store om en geef geen toestemming om apps uit externe bronnen te downloaden, tenzij je 100% zeker bent van je zaak. 

4. Maak gebruik van een VPN

Een mobiele VPN, oftewel een virtueel privénetwerk, beschermt je verbinding door een beveiligde versleutelde ‘tunnel’ te maken voor je dataverkeer. Je gegevens worden versleutelt en doorgestuurd naar een beveiligde VPN-server. Zodra deze je gegevens ontvangt, ontsleutelt de server de gegevens en worden ze veilig doorgegeven aan de juiste bestemming.

Zonder de juiste sleutel zien de versleutelde gegevens eruit als onzin, dit houdt in dat wat je doet niet bijgehouden kan worden door derden. Daarnaast ziet iedereen buiten de versleutelde tunnel alleen het IP-adres van de VPN-server, waardoor jouw virtuele locatie wordt verborgen. 

5. Klik alleen op links vanuit vertrouwde bronnen

Phishing komt helaas steeds vaker voor en zoals eerder in dit artikel al werd uitgelegd, komt phishing steeds vaker voor. Het is daarom belangrijk om nooit zomaar op een link te klikken of een bijlage te openen die je niet verwacht of vertrouwd. Wanneer je een bedrijf hebt, is het verstandig om medewerkers te informeren over de risico’s van phishing. 

6. Vergrendel je smartphone en je apps

Het spreekt voor zich, maar toch doet niet iedereen het: bescherm je smartphone met een code. Het is nog veiliger is om dit te combineren met een biometrische login, zoals een vingerafdrukscan of gezichtsscan. Heb je nog geen code? Begin dan vandaag met het beveiligen van je smartphone en stel er een in via de Instellingen van je telefoon. Naast het beveiligen van toegang tot de smartphone zelf, kan je ook je apps beter beveiligen met tweestapsverificatie. Met tweestapsverificatie is enkel een wachtwoord onvoldoende om in te kunnen loggen. Tegenwoordig hebben steeds meer apps en diensten (zoals Google en WhatsApp) deze extra beveiligingsmogelijkheid. 

Tips voor bedrijven

Hoewel smartphones en tablets algemeen minder risico vormen dan desktop wanneer het gaat om datalekken, moet de beveiliging van apps niet worden genegeerd. 

Beveiliging betreft een maatwerkproduct, zo vraagt niet elke oplossing om hetzelfde type beveiliging. Stel je hebt een tas, daar zit in de meeste gevallen geen slot op, maar wanneer er vertrouwelijke documenten in zitten of als de tas vol zit met diamanten, dan zou er wel een slot op moeten zitten. Wij gaan graag het gesprek met je aan en adviseren je over de veiligheidsrisico’s en mogelijke oplossingen. Neem gerust vrijblijvend contact met ons op. 

Heb je al een oplossing of staat jouw oplossing op het punt van livegang? Bekijk dan eens onze pagina over ons Service Level Agreement (SLA) met beveiliging. Ons SLA is inclusief 24/7 incidentenmanagement: als er iets gebeurd, dan staan wij klaar. 

Naast de bovenstaande tips is het natuurlijk altijd belangrijk om goed na te denken over hoe je zelf (en eventuele medewerkers) omgaan met data. Zorg ervoor dat toestellen altijd veilig worden gebruikt en laat deze nooit rondslingeren.