image

Column: Wordt Tux de smartphone-verlosser?

maandag 30 januari 2012, 11:24 door Redactie, 20 reacties

Wie niet half dementerend een donkerblauw looprekje voortduwt of net uit het ei is gekropen, bezit ongetwijfeld een smartphone. De rechthoekige aai-glazen worden zowel bij intieme aangelegenheden als grote evenementen massaal uit de broekzak getrokken. Als verstokte eigenaar van twee klassieke Nokia's (post-koelkastmodel) voelde ik mij in de vaart der volkeren meegezogen en besloot dat het tijd was voor een slimmere telefoon. Daarnaast is het vanuit een security standpunt natuurlijk verstandig om te zien waar de komende jaren de "actie" zal plaatsvinden en dat is volgens de verkondigers van het mobiele malware-evangelie ongetwijfeld de smartphone.

Als security-bewuste consument is het eerst de uitdaging om een geschikte telefoon te vinden. De zoektocht begon bij het platform. Apple heeft met de iPhone de trend gezet, maar de digitale gevangenis van wijlen Steve Jobs voelt te beklemmend. Het is Apple dat de ervaring bepaalt en als consument ben ik overgeleverd aan wat wel en niet in de app-store wordt toegelaten. Het is allesbehalve een open platform, zowel qua vrijheid als beleving. In dat opzicht is een smartphone allesbehalve een pc, zoals vaak gezegd wordt. Wat Apple wel aardig doet is het uitbrengen van updates en zorgen dat die voor de meeste telefoons beschikbaar zijn. Een belangrijk criterium om een smartphone op te selecteren.

Dit is echter een ander verhaal met Google Android. Talloze verschillende toestellen en fabrikanten, die als het hen uitkomt, wat meestal niet het geval is, beveiligingsupdates uitbrengen. Het komt echter voor dat sommige modellen die in de winkel liggen al geen updates meer ontvangen. Voor alle app-verslaafden zijn die telefoons een absolute no-go. Het installeren van een app op een kwetsbare Android telefoon is hetzelfde als het openen van een .exe die je via de e-mail hebt ontvangen. Vroeger of later gaat het een keer mis. Vorig jaar is het meerdere keren gebeurd dat er apps verschenen die de lekken in Android smartphones misbruikten. Gebruikers dachten een onschuldige app te installeren, maar via de kwetsbaarheden op hun ongepatchte mobiel kon de app het toestel volledig overnemen, en dan is het bonanza voor de mobiele cybercrimineel.

Toch is Android het platform waar ook security en privacy-apps op verschijnen en waar de meeste gebruikers zich inmiddels op begeven. Het moest dus een Android worden, maar wel eentje die op updates kon rekenen en waar het liefst ook security en privacy-apps voor beschikbaar zijn. De keuze viel op de Goolge Nexus S. Betaalbaar, ondersteund door Google, dus updates zouden geen probleem moeten zijn, maar het allerbelangrijkste, security.

De bekende beveiligingsonder Moxie Marlinspike, die wel iets weg heeft van een blanke Bob Marley, ontwikkelde namelijk WhisperCore. Een veilige versie van het Android besturingssysteem. WhisperCore biedt volledige versleuteling van de smartphone en bevat daarnaast een firewall. Het enige nadeel is dat het systeem alleen op Google Nexus One en Nexus S modellen werkt.

De encryptie was voor mij de grootste lokker, net als mijn laptops is het logisch om een telefoon met persoonlijke gegevens te versleutelen. De encryptie werkt echter alleen als de telefoon is uitgeschakeld. Bij het opstarten van de mobiel moet een passphrase worden opgegeven. Dit houdt bemoeizuchtige douanebeambten, smartphonedieven of jaloerse ex-en op afstand. Het idee van een telefoon is nog altijd dat die aan staat, zodat anderen je kunnen bellen. De verborgen waarde van WhisperCore werd de firewall. In tegenstelling tot bijvoorbeeld Windows, waar firewalls traditioneel tegen inkomend verkeer beschermden, houdt de WhisperCore firewall uitgaand verkeer tegen. Mijn Nexus had de vervelende neiging om continu contact op te nemen met Google, via allerlei diensten die ik niet gebruikte en zelfs had uitgeschakeld.

Ook tijdens het internetten werden continu allerlei URLs en locaties aangeroepen waar ik niet om had gevraagd. Door de firewall moest ik bij een doorsnee website wel 20 keer iets toestaan of verbieden voordat de pagina geladen werd. Vervelend, maar het maakt duidelijk dat de smartphone werkelijk een privacyvergiet is. Nu is privacy toch al een ondergeschoven kindje. De Firefox-versie voor het platform is veel minder uitgebreid dan de desktopversie, zowel qua instellingen als plugins. Daarnaast blijkt WhisperCore door een bug niet met Firefox te werken, waardoor ik gedwongen ben om de standaard Android-browser te gebruiken, wat toch geen fijn gevoel is. Zeker nu Google heeft aangekondigd dat het gegevens van inlogde gebruikers gaat consolideren tot één profiel, en daar vallen Android-gebruikers ook onder, aangezien die bijna altijd zijn ingelogd..

Pinguïn
Tot mijn grote vreugde las ik dat Linux naar de smartphone komt. Tux en ik zijn op de desktop nooit goede vrienden geworden. Na twee kleine decennia Windows, heb ik de overstap naar de vriendelijke pinguïn nooit kunnen maken.

Toch wil ik Tux op de smartphone zeker een kans geven. Tux staat volgens experts en gebruikers voor openheid, maar ook security en privacy. Precies wat ik in een smartphone zoek. De enig beer op de weg is dat deze Tux-versie door Samsung ontwikkeld wordt. En zodra het bedrijfsleven zich met de smartphone bemoeit, komt het belang van de gebruiker niet op de eerste plaats.

En daardoor zit ik nu in een spagaat. WhisperSystems is door Twitter overgenomen en op de website niet meer te downloaden. Nu bestaat de kans dat het systeem weer terugkomt, voorlopig zit ik echter zonder updates. Een andere optie is bijvoorbeeld Cyanogenmod. Maar wie garandeert dat deze versie goed getest is en geen beveiligingslekken bevat?

Ik wil een mobiel besturingssysteem van organisaties zoals Ubuntu of Mozilla, of desnoods van Linus Torvals himself, waar integriteit en gebruikersbelangen voorop staan. Zeker nu waar de Googles van deze wereld de consument als een privacyspons zien die ze zover mogelijk kunnen, en zich ook laat, uitknijpen. Wat dat betreft is het in deze tijd nog lang niet zo gek om zonder smartphone, half dementerend een blauw looprekje aan te duwen.

Joran Polak - Hoofdredacteur Security.nl

Reacties (20)
30-01-2012, 11:49 door Anoniem
Tja het viel me al op bij het bericht over de Google privacy policy wijziging / unificatie dat men weinig aandacht besteedde aan het Android platform. Dit is eigenlijk het belangrijkste item en waarbij je ook heel moeilijk afscheid van Google kan nemen. Je telefoon bevat een schat aan privacy gevoelige data. Je bent verplicht om ingelogd te zijn om gebruik te kunnen maken van de market / updates.

Buiten dat zou het als eind gebruiker mogelijk moeten zijn om zelf te bepalen of je informatie deelt met een applicatie. Nu is het zo dat er melding gemaakt wordt dat wanneer je applicatie x installeerd dat je dan aan de applicatie bijv. toegang moet verlenen om te kunnen gebruiken. Het is opvallend om te zien welke toegang applicatie plegen nodig te hebben om te functioneren.

Het zou een mooie oplossing kunnen zijn om uit de greep van Google te geraken mocht de pinguin besluiten om in je broek / vest / jaszak te geraken...
30-01-2012, 11:49 door Walter
En zodra het bedrijfsleven zich met de smartphone bemoeit, komt het belang van de gebruiker niet op de eerste plaats.
Ik wil een mobiel besturingssysteem van organisaties zoals Ubuntu of Mozilla
Spreken deze twee zinnen elkaar niet ene beetje tegen?
Ubuntu wordt echt door een commerciele bedrijf uitgegeven. Mozilla dan weer niet, maar ook daar zit het bedrijfsleven erg sterk achter.
Wel ben ik het echter met je eens dat Android en iOS beiden de nodige problemen hebben (zoals keurig omschreven in het artikel). Jammer vind ik het wel dat je WP7 niet hebt meegenomen in je vergelijking. Je bent een kleine 3 decennia Windows gebruikt (ik denk naar redelijke tevredenheid, anders had je meer moeite gestoken in de overstap naar een ander OS). Ik hoor behoorlijk goede verhalen over WP7 en zit er aan te denken het mijn volgende telefoon te maken.
30-01-2012, 12:36 door Anoniem
Er zijn al een aantal jaren linux telefoons op de markt bekenste voorbeeld misschien wel is de Openmoko Neofreerunner. Probleem is dat het developer modellen zijn en het dus op een kleine ontwikkelgroep kan rekenen. Best ironisch dus dat mensen graag een veilige telefoon willen maar blijkbaar niet de moeite willen nemen om het zelf te maken terwijl de middelen zo binnen handbereik zijn.
30-01-2012, 12:59 door Anoniem
Inderdaad jammer dat je Windows Phone 7 (WP7) overslaat. Ik gebruik het nu zo'n half jaar en werkt heel prettig. Helaas heb je daar ook weer te maken met een (gesloten) marketplace waar je de apps vandaan moet halen. Toch werkt die heel prettig, en komen er in rap tempo applicaties bij. Bijna alle populaire apps die je op de iPhone en Android hebt, zie je bij WP7 terug.
30-01-2012, 13:04 door Stoffel
Toevallig heb ik de NokiaLumia van m'n zoon uitgebreid bekeken.
Alles wat je zou willen zit er op.
Een prettig, intuïtief toestel.
30-01-2012, 15:39 door Anoniem
Ach.. zodra een Linux telefoon gemeengoed -lees meest gebruikte OS wordt- zullen daar ook virussen voor gaan komen. Ik denk dat enige verscheidenheid prima is in deze markt. Oh.. en linuxtoestellen zijn er al lang trouwens. http://maemo.org/ (Nokia) en diversen open source/getweakte versies van Ubuntu draaien ook op een aantal toestellen. Is android ook niet in de basis gewoon linux trouwens?
30-01-2012, 16:25 door Anoniem
Kweenie.... volgens mij is Android een versie van Linux. Dus hoezo komt? Toch niet helemaal goed geïnformeerd lijkt het.

Er komt dus naast de distibutie Android een andere Ubuntu oid. O, was die er al niet? Nokia N900 met een fantastische Debian kernel, geforkt naar meamo, Laten we hopen dat hiermee niet weer een versplintering van de app market komt. De mods van de diverse X-Dev mensen zijn feitelijk mini forkjes op de originele Android, echter in de basis met dezelfde linux kernel, of een OC, overclock linux kernel. Ik betwijfel of die naast tweaken er extra security inbouwen.

Verder heeft Avast een aardige firewall die je zou kunnen gebruiken op de droid toestel, echter het grootse gevaar ben je zelf. Want wie installeert nu exotische app nummer "Blote vrouwen kijken"?
30-01-2012, 17:08 door Anoniem
Interessant artikel. Ikzelf loop ook al met een oude Nokia 6021 rond en ben aan het kijken naar een nieuwe smartphone waarbij ik niet alles met google, apple of ms deel. Ik ben ook zeer benieuwd naar een opensource systeem voor een smartphone hoewel ik toch wel een beetje bang ben dat dat nog heel lang gaat duren. Ik ben benieuwd naar de reacties en of iemand goede tips heeft.
30-01-2012, 17:09 door Anoniem
Waarom komt bijvoorbeeld canonical niet met mobile telefoons?,of Fedora of open suse?.
Zij kunnen toch overwegen om ook een versie van hun Linux distributie voor mobiele telefoons te maken?.
30-01-2012, 17:11 door Anoniem
"Toch wil ik Tux op de smartphone zeker een kans geven. Tux staat volgens experts en gebruikers voor openheid, maar ook security en privacy."

Volgens mij zal iedere expert je vertellen dat beveiliging vooral ook een kwestie is van configuratie, hardening van het operating system en ga zo maar door. Een slecht geconfigureerde linux zal misschien nog steeds niet erg kwetsbaar zijn voor generieke malware, vooral ten gevolge van het grote marktaandeel van windows, maar voor hackers is het net zo'n gatenkaas als windows, solaris of macosx.

Ik ben nogal verbaasd dat security.nl hier doodleuk linux (ongeacht distributie, configuratie en dergelijke) als "veilig" bestempeld.
30-01-2012, 17:31 door Anoniem
"Wie niet half dementerend een donkerblauw looprekje voortduwt of net uit het ei is gekropen, bezit ongetwijfeld een smartphone."

Ik ken genoeg mensen die om verschillende redenen geen smartphone hebben. Batterijduur, betrouwbaarheid en een kleiner formaat komen goed uit, als je in de bouw werkt, bij defensie, of in ander beroep dat niet op kantoor wordt uitgeoefend.

Wat mij betreft mag het taalgebruik iets zakelijker en professioneler, YMMV.
30-01-2012, 18:30 door SLight
Of omdat sommige mensen geen smartphone nodig hebben en niet al te veilig vinden.
30-01-2012, 19:00 door Anoniem
Zelf gebruik ik Cyanogen samen met alle apps van The Guardian Project. Altijd de nieuwste versie van Android samen met de beste privacy. Als je gsm eenmaal geroot is, kun je sowieso firewalls installeren.
30-01-2012, 19:10 door Anoniem
Of omdat sommige mensen geen smartphone nodig hebben en niet al te veilig vinden.
Daar was ik er een van.
De enige reden waarom ik er een heb is vanwege de gps (ga namelijk verhuizen).
De kaarten daarvan zijn lokaal geinstalleerd dus je heb geen verbinding nodig.
Er staan nog een paar apps op maar die hebben ook geen verbinding nodig.

Internetten doe ik wel op mijn laptop. Mocht ik die niet bij me hebben, kan altijd nog de telefoon gebruiken als ik dringend iets moet opzoeken.

Weet iemand of de symbian s60v5 nog een beetje veilig is?
De malwarefabriek komt naar de smartphone (als die er al niet is) en nou hoop ik dat deze symbian overslaat omdat deze (binnenkort) toch niet meer verkocht gaat worden.
30-01-2012, 19:27 door Anoniem
alsof linux telefoons een nieuw fenomeen zouden zijn...

onder welke steen heeft de auteur gezeten afgelopen jaren?

heb jaren lang een linux telefoon gehad die zijn tijd jaren vooruit was en al bijna 10 jaar geleden op de markt kwam met touchscreen, gps/navigatie, handschriftherkenning/ pop /imap client etc...

https://secure.wikimedia.org/wikipedia/en/wiki/Motorola_A780
30-01-2012, 19:34 door N4ppy
Ah ja linux, dat zo'n veilige kernel heeft http://www.security.nl/artikel/40002/1/Ernstig_lek_in_Linux-kernel.html
Daar gaat altijd alles goed
http://www.security.nl/artikel/38446/1/Linux.com_gehackt.html
30-01-2012, 19:35 door Anoniem
100% veilig zal het wel nooit worden, maar je kunt allicht proberen het vergiet enigszins te dichten. Voor android komen er ook steeds meer privacy bewuste developers (nu nog wat meer van zulk soort gebruikers!).

Niet om de fan-boy van het een of ander uit te hangen, maar voor android kom je met Cyanogenmod met PDroid en Droidwall een heel eind. Vergeet WhatsApp en ga aan de slag met Gibberbot, wel wat meer werk voor de doorsnee smartphone gebruiker. Maar we zijn hier per slot van rekening wat meer paranoïde mensen, toch? ;)

Kleine toelichting:
Cyanogenmod; gemodificeerd android besturingssysteem, meer opties dan standaard en met minder voorgeinstalleerde "rotzooi" apps.
Droidwall; een firewall voor je android.
PDroid; geeft jou de mogelijkheid om te bepalen welke toegang een app tot je telefoongegevens krijgt. Hier kan je dus ook bogus informatie doorgeven.
Gibberbot; een op XMPP gebaseerde chat client, maar dan met encryptie.Tevens deel je niet hele adresboek met de makers van WhatsApp.

Joran, veel knutsel uren met je nieuwe speeltje toegewenst!
02-02-2012, 12:24 door Dev_Null
Onafhankelijk van welk soort en merk operating system je smartphone ook zal bevatten, onthoud een ding:

Your cellphone is a government issued tracking device
(Old-Thinker News | Feb 1, 2012 - By Daniel Taylor)
http://www.oldthinkernews.com/?p=2511

Oh ja, en je kunt met je "(to)smart phone ook nog Feestboeken, gamen en oh ja bellen (voor de jongere generatie lezers en digibetenonder ons) :-P
09-02-2012, 11:37 door meneer
Voor geïnteresseerden: Het merproject ontwikkelt momenteel nemo mobile. Dat is de voortzetting van het open source MeeGo project, dat weer de fusie was van twee mobiel linux platforms (Nokia's Maemo en Intel's Moblin). Nemo draait al heel aardig op de aloude N900 en ook is er een versie voor de N9(zou ik niet doen, MeeGo is nu nog beter)/N950 en voor atom tablets.
Op http://wiki.merproject.org/wiki/Nemo al wat info en wekelijks verschijnt er een nieuwe build op http://repository.maemo.org/meego/Nemo/
10-12-2014, 13:42 door Anoniem
heb nog immer me Nokia N900 ingebruik met daarop Debi@n.
het was er dus al , en zal ongetwijfeld weer terug keren.
afwachten maar.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.