Uiteindelijk gaat het om de betrouwbaarheid van de app die gebruikt wordt. Dat kan volgens mij alleen goed met device-attestation (door helaas, de fabrikanten van het OS, dus Apple of Google).

Dit is niet correct. Er is software beschikbaar die de App juist betrouwbaarder maken. Er wordt simpel gezegd een encryptie schil om de app heen gelegd. Niet alles kan Apple of Google worden neergelegd. Een device kan geroot zijn en dan moet je de app weerbaar maken tegen zo een device. De App mag je dan nog steeds laten werken of je staat niet toe dat het geinstalleerd kan worden op een rooted device.

Ook hier hangt het er weer vanaf af wat voor security technologie je in de App stopt.

Lang verhaal kort:
Er is meer te doen aan de betrouwbaarheid van de app dan alleen te wijzen naar Apple of Google.

Niet alleen de app zelf. Zowel voor Android als iOS/iPadOS kun je bijvoorbeeld de apps TeamViewer of AnyDesk downloaden. Daarmee kan iemand, die zegt een medewerker van jouw bank te zijn, en die jou ervan weet te overtuigen dat je zo'n app moet downloaden, installeren en opstarten, bijna alles wat jij kan.

Maar in toenemende mate zijn er ook echte malware apps die tot in de Google Play Store en de Apple App Store weten door te dringen - naast dat je binnenkort ook voor Apple toestellen apps kunt sideloaden (uit app stores die niet van Apple zijn).

Cybercriminelen zijn als water: zij zoeken het "laagste", in dit geval zwakste, punt. Naarmate beveiligingen elders verbeteren, zullen aanvallen zich steeds meer verplaatsen naar apparatuur van eindgebruikers, waarop de malware een AitM (Attacker in the Middle) aanval uitvoert ("legitiem" in het geval van apps zoals AnyDesk). Google en Apple maken dat lastig, maar niet onmogelijk - en slimme hackers vinden steeds nieuwe aanvalsroutes.

Wat je ook verzint, het blijft een kat-en-muisspel tussen valsnegatieven en valspositieven. Moet je bijv. TeamViewer als malware bestempelen, zoals veel slachtoffers melden in de app stores? En zo ja, waarom staan dat soort apps dan in die app stores?

Ofwel (1) de Apple- en Google app stores zijn onbetrouwbaar, maar dan zou je daar ook geen paspoort-apps of bank-apps moeten downloaden. Als (2) de bekende app stores wél betrouwbaar zouden zijn, dan zouden daar geen apps te vinden moeten zijn waar mensen mee geïmpersoneerd of op andere wijze opgelicht kunnen worden.

Helaas is (1) de praktijk. Dat is logisch, want er zijn legio mogelijkheden voor cybercriminelen om hun apps slechts onder specifieke omstandigheden kwaadaardig te laten worden - en die "omstandigheden" kunnen uit meerdere criteria bestaan. Mede daardoor is het voor Google en Apple onmogelijk om van alle kwaadaardige apps te voorkómen dat deze hun app stores bereiken. Het kost simpelweg veel te veel menskracht en tijd om elke app (én elke update daarvan!) te reverse engineeren (vooral als er van "obfuscatie" gebruik is gemaakt, wat ook bij legitieme apps gebeurt om te helpen voorkómen dat daar al te snel illegale look-a-likes van verschijnen).

De veel gehoorde instructie, om foute apps vóór download "te herkennen", namelijk "kijk naar de recensies", biedt geen enkele zekerheid en is idioot: er moeten kennelijk eerst slachtoffers vallen, en vervolgens: waarom blijft een app, na veel negatieve recensies (en vaak positieve neprecensies) in app stores staan? Hoe is het mogelijk dat bijvoorbeeld een kwaadaardige, overduidelijke nep-kloon, van Lastpass überhaupt in de Apple App Store beschikbaar wordt gesteld? (Zie https://www.security.nl/posting/828706/LastPass+waarschuwt+voor+malafide+%27LassPass%27+app+in+Apple+App+Store).

Mede door (1) zijn het "moderne" internetbankieren - en (nog nauwelijks in NL maar wel in steeds meer andere landen) "paspoort"-achtige apps - gebouwd op drijfzand (voor PC's met Windows, MacOS, Linux, *BSD etcetera, is software downloaden en installeren, voor mensen zonder uitgebreide digitale vaardigheden plus tijd en zin om ingewikkelde checks uit te voeren - en zelfs dan - zonder volledige zekerheid, helemaal Russisch Roulette).

CtrlAlt schreef dat hij, middels een AitM-app die de "deeplink" naar de echte eID app kaapt, een bankrekening op naam van een ander kon openen - iets waar de meeste banken VideoIdent voor inzetten. Als je zeker weet dat er nooit digitale video's van jou in verkeerde handen zijn gevallen (ook niet waar jij geen weet van hebt), is de kans kleiner dat je slachoffer wordt van VideoIdent-fraude - want dan zouden de criminelen een filmpje van een ander moeten opsturen, en dus ook de pasfoto op het (mogelijk volledig met AI gegenereerde) identiteitsbewijs -natuurlijk met jouw naam en geboortedatum daarop) moeten aanpassen.

Dat is vandaag al niet moeilijk meer, en wordt elke dag eenvoudiger. In zo'n situatie is het wellicht niet moeilijk om aan te tonen dat jij het niet was, maar om te beginnen zit jij met de ellende.

Dat klopt, helaas. Wat ook niet helpt is hoe abominabel het niveau van lezen, schrijven en rekenen van de jeugd is.

Nederlandse leerlingen scoren net 'voldoende' voor digitale geletterdheid
dinsdag 28 november 2023, 14:43 door Redactie

https://www.security.nl/posting/819870#posting820858