Security (b)log: februari 2019

vrijdag 22 februari 2019

Trek in risico

“Guten Appetit!”, wensen Duitstaligen elkaar als ze gaan eten. Appetit vertaalt zich in ‘eetlust’, ze wensen elkaar dus een goede eetlust toe (opdat de bordjes straks leeg mogen zijn).

Vakbroeders, die zich net als ik regelmatig met risicoanalyses bezighouden, snappen waarschijnlijk al dat ik het hier ga hebben over risk appetite. Dat heeft niks met eten te maken, maar is een maat voor hoeveel ‘trek’ een organisatie in risico’s heeft. In goed Nederlands heet dat ‘risicobereidheid’. Hoeveel risico ben je bereid te nemen?

Misschien denk je dat een organisatie per definitie een lage risicobereidheid heeft of hoort te hebben. Toch is dat niet zo. Het hangt er sterk van af in welke business je zit. Een organisatie met veel privacygevoelige gegevens en de onderzoeksafdeling van een hightechbedrijf zijn doorgaans risicomijdend, wat betekent dat ze maar weinig risico willen nemen en dus veel (vaak kostbare) preventieve maatregelen treffen om zich ertegen te beschermen (ook wel mitigerende maatregelen genoemd). De verkoopafdeling van datzelfde hightechbedrijf kan er echter een heel andere risicobereidheid op nahouden. Denk bijvoorbeeld aan een bedrijf dat mobieltjes maakt. Die apparaatjes hebben een vrij korte time to market – er komen om de haverklap nieuwe modellen uit om de hongerige klandizie ter wille te zijn. Men kiest er dan voor om veel risico’s niet af te dekken, omdat dat teveel tijd en geld kost.

En dan is er nog de neutrale risicobereidheid, waarbij vooral wordt gewerkt met signalerende en correctieve maatregelen en waarbij de kosten en de baten ongeveer gelijk opgaan. Deze strategie zou je kunnen toepassen in een organisatie waar het niet heel erg is als de beschikbaarheid, integriteit of vertrouwelijkheid van gegevens geschaad wordt, maar waar je de boel achteraf wel moet kunnen rechtbreien. Ik zou me kunnen voorstellen dat het voor een schroevenfabriek niet zo heel erg is als er tijdelijk iets mis is met de administratie van geproduceerde schroeven, en dat daar dan ook niet massief wordt ingezet op preventieve maatregelen. Als de administratie aan het einde van de maand maar weer klopt.

Ik hintte er al naar: het is natuurlijk een kwestie van geld. Preventief is duur en een deel van die kostbare maatregelen zal nooit tot inzet komen (wanneer heb jij voor het laatst je airbag gebruikt?), waardoor een risico-eigenaar ervoor kan kiezen om het risico te accepteren. Niets doen is goedkoop (en gemakkelijk), maar kan je duur komen te staan. Belangrijk is dat er een weloverwogen keuze wordt gemaakt door de functionaris die daartoe bevoegd is. In grote organisaties kan het nog wel eens moeilijk zijn om die risico-eigenaar te vinden. Is het een teammanager? Een afdelingshoofd? De directeur? De business? Het is niet alleen een kwestie van hiërarchie, maar ook van functioneel op de juiste plek zitten. Je wilt niet dat “zomaar iedereen” risico’s kan accepteren, maar je wilt ook niet dat risico’s worden geaccepteerd door iemand die te ver van de materie af staat.

Risk appetite kun je visualiseren in een heatmap. Dat is een grafiek met langs de ene as de kans op een gebeurtenis en langs de andere as de impact/schade die het optreden van die gebeurtenis veroorzaakt. In het voorbeeld hiernaast is gekozen voor een bepaalde toedeling. Door met de kleuren te schuiven, verandert de risk appetite. Ga er gerust van uit dat risico’s die rood scoren worden aangepakt en dat met alle andere niets gebeurt. Dus hoe groter het rode gebied, hoe lager de risicobereidheid. En hoe minder rood, hoe meer durf.

Risicobereidheid speelt niet alleen in organisaties. Ook in je privéleven heb je ermee te maken. Ikzelf ben van nature risicomijdend, en dat botst soms als je een tienerzoon hebt die freerunning een leuk tijdverdrijf vindt. Gelukkig doet hij (nog) niet de heftige dingen die hij me soms op Youtube laat zien en waarbij ik het gevaar meteen aan mijn water voel. Toen hij jonger was, voelde ik mij de risico-eigenaar en verbood ik menige geplande actie. Naarmate hij ouder wordt, verschuift het risico-eigenaarschap naar hemzelf en vraagt hij bij twijfel om advies.

Risk appetite, ook goed voor thuis. Eet smakelijk.

In verband met vakantie verschijnt er volgende week geen Security (b)log.

En in de grote boze buitenwereld …

… komt er heel wat kijken bij het beveiligen van de ICT van de Belastingdienst.

https://computerworld.nl/security/109125-zo-beveiligt-de-belastingdienst-zijn-it-omgeving

... moet je bij Starbucks een valse naam opgeven.

https://www.welivesecurity.com/2019/02/13/why-you-should-choose-pseudonym-at-starbucks/

... kan een hacker relatief eenvoudig een schip tot zinken brengen.

https://threatpost.com/hacker-capsize-ship-sea/142077/

... kun je je verzekeren tegen AVG-boetes.

https://www.darkreading.com/insurer-offers-gdpr-specific-coverage-for-smbs/d/d-id/1333928

... hebben we nu naast cyberspace security ook space cybersecurity.

https://www.nccgroup.trust/uk/about-us/newsroom-and-events/press-releases/2019/february/ncc-group-launches-space-cyber-security-research-partnership-with-the-university-of-surrey/

... laat ook een iPhone zich vergrendelen op één app, bijvoorbeeld als je je kind een spelletje wilt laten spelen.

https://offspring.lifehacker.com/how-to-lock-your-iphone-while-your-kid-uses-an-app-1832756422

... valt er het nodige te verbeteren aan de configuratie van Office 365.

https://www.ncsc.gov.uk/blog-post/securing-office-365-better-configuration

... blijken sommige IoT-devices zomaar een microfoon te bevatten.

https://hotforsecurity.bitdefender.com/blog/google-in-hot-water-after-not-revealing-it-had-hidden-a-secret-microphone-in-home-alarm-product-20863.html

... hebben phishers weer een nieuw technisch trucje ontdekt.

https://www.helpnetsecurity.com/2019/02/20/phishers-new-trick-for-bypassing-email-url-filters/

... gaat de strijd tegen ransomware gestaag door.

https://www.helpnetsecurity.com/2019/02/20/gandcrab-decryption-tool/

... laten wachtwoordmanagers de door hen beheerde wachtwoorden achter in het computergeheugen. De producenten verdedigen dit min of meer.

https://www.helpnetsecurity.com/2019/02/20/flawed-password-managers-allow-malware-to-steal-passwords-from-computer-memory/

... zijn we nog niet af van Spectre.

https://www.darkreading.com/analytics/google-research-no-simple-fix-for-spectre-class-vulnerabilities/d/d-id/1333911

... legt de politie voor de zekerheid nog eens even uit wat hacken is.

https://www.politie.nl/themas/hacken.html

... kun je flink verdienen aan Europese programmeerfouten.

https://ec.europa.eu/digital-single-market/en/news/eu-bug-bounty-programme-open-source-software-gives-awards-eur-25000

vrijdag 15 februari 2019

Zo lek als een mandje

Iedere organisatie is zo lek als een mandje. Pardon? Ja, je leest het goed. Ook de onze. Maar we hebben toch wetten, beleid en vooral technische maatregelen, die dat moeten voorkomen? Ja, dat is óók waar. Maar al die organisaties maken onderdeel uit van de maatschappij en ze hebben daar ook op de een of andere wijze – vaak op een heleboel wijzen – interactie mee. Interactie betekent communicatie. En lekken is een vorm van communicatie.

Neem nou een handelsonderneming. Die heeft te maken met klanten en met leveranciers. Met leveranciers moet zij communiceren over assortiment, inkoopprijzen, orderomvang, gewenste kwaliteit en vast nog een heleboel andere zaken. Naar haar klanten communiceert het bedrijf over assortiment en verkoopprijzen, en de klant laat weten hoeveel hij waarvan wil hebben. Dat ging vroeger allemaal per post, fax en vertegenwoordiger. Die laatste zal er nog wel zijn, maar dan wel hevig ondersteund door dezelfde moderne techniek die jij en ik gebruiken als we waar ook ter wereld iets willen kopen. Ik hoor trouwens net op de radio dat we, als consumenten, vorig jaar twintig procent méér online hebben besteld dan in het jaar ervoor.

Je moet dus communiceren met de buitenwereld en daarvoor moeten bepaalde systemen in contact staan met de buitenwereld, bijvoorbeeld je online (!) shop en je e-mail (wie herinnert zich nog de tijd dat we alleen interne e-mail hadden, wat trouwens ook al reuze handig was?). Die gedeeltelijke openstelling noemden wij vroeger onze ‘logisch gesloten technische infrastructuur’. Daarmee gaven we aan dat de systemen niet fysiek losgekoppeld waren van de buitenwereld, maar met bijvoorbeeld firewalls wel dichtgetimmerd waren. Alleen daar waar de organisatie een opening naar de buitenwereld wenste, werd dat – op gecontroleerde wijze – toegestaan.

Als je bepaalde kanalen openstelt, dan kun je die op twee manieren gebruiken: enerzijds zoals ze bedoeld zijn, en tja, anderzijds. Via e-mail kun je met je leverancier overleggen, maar een medewerker met kwade bedoelingen kan ook het klantenbestand naar de concurrent mailen. Dat is opzettelijk lekken, maar je kunt ook gegevens lekken zonder kwaad te willen: je mailt de in- en verkoopprijzen naar je privéadres om de gegevens thuis te bewerken, waarbij je even was vergeten dat e-mail niet veilig is, waardoor een concurrent het mailtje zou kunnen onderscheppen en zodoende waardevolle informatie in handen krijgen. USB-sticks vormen ook zo’n notoire bron van lekkage. Volledig te goeder trouw zet je daar gegevens op die elders nodig zijn, en in de trein glijdt dat ding uit je broekzak. Dan mag je blij zijn als de gegevens versleuteld zijn en je bedrijfsnaam niet pontificaal op dat ding staat, want voor je het weet sta je al datalekkend in de krant.

Je wilt je beschermen tegen twee soorten lekken: de per-ongelukjes en de doelbewuste. De eerste categorie kun je aanpakken met allerlei technische beperkingen, maar die andere groep kun je nooit helemaal tegenhouden. Sluit je de USB-poort af, dan gaan ze mailen. Ga je de mail strenger inregelen, dan gooien ze de informatie via een mobiel apparaat in de cloud. Desnoods printen ze het op vrijdagmiddag uit. Waar een wil is, is een lek.

Natuurlijk kun je er wel voor zorgen dat bepaalde functionarissen beperkt worden in hun mogelijkheden, bijvoorbeeld omdat zij toegang hebben tot wel érg veel en/of vertrouwelijke gegevens. Ze mogen niet extern mailen en hebben geen of beperkte internettoegang, om te voorkomen dat ze gegevens kunnen wegzetten. Op die manier voorkom je waarschijnlijk de meeste per-ongelukjes en voor de doelbewuste lekker maak je het een stuk moeilijker – maar niet onmogelijk. Voor die groep moet je dus méér doen: ervoor zorgen dat ze niet wíllen lekken. Door bijvoorbeeld tijdig te signaleren als iemand iedere dag weer baalt van z’n werk. De rancuneuze medewerker is een factor om rekening mee te houden. Maar er zijn nog talrijke andere redenen waarom mensen dingen doen die ze niet zouden moeten doen. Door daar oog voor te hebben en het gesprek aan te gaan, bereik je wellicht meer dan met het zoveelste technische foefje.

Oké, misschien zijn niet álle organisaties zo lek als een mandje. Als je zó speciaal bent dat je het je kunt veroorloven om je systemen helemaal af te sluiten van de buitenwereld, dan heb je het wat lekken betreft goed geregeld. Maar dan kom je wel dicht in de buurt van de in beton gegoten computer die naar de zeebodem is afgezonken: superveilig, maar knap waardeloos.

En in de grote boze buitenwereld …

... heeft ook de politie last van lekkage.

https://www.security.nl/posting/597769/Politie+laat+onderzoeken+waarom+agenten+informatie+lekken

... komt lekken natuurlijk ook voor in spionagekringen.

https://www.justice.gov/opa/pr/former-us-counterintelligence-agent-charged-espionage-behalf-iran-four-iranians-charged-cyber

... mag de bloemist je niet vertellen wie jou dat valentijnsboeket stuurde.

https://blog.iusmentis.com/2019/02/14/mag-je-onder-de-avg-weten-wie-je-een-valentijnskaart-of-boeket-stuurde/

... voert te politie een online campagne om jongeren duidelijk te maken dat hun gedrag gemakkelijk kan uitmonden in cybercrime.

https://www.politie.nl/nieuws/2019/februari/13/00-9456-jongeren-een-klik-verwijderd-van-cybercrime.html

... is een gehackte hamburgerapp slecht voor je portemonnee.

https://nakedsecurity.sophos.com/2019/02/11/mcdonalds-app-users-hatin-it-after-losing-hundreds-to-thieves/

... heeft iemand een curieus proces tegen Apple aangespannen omdat hij de tweefactorauthenticatie niet meer kan uitzetten en daardoor economisch verlies lijdt en tijd verspilt.

https://www.macrumors.com/2019/02/09/apple-two-factor-authentication-lawsuit/

... was vorige week al in het nieuws dat Google je gaat waarschuwen als je ergens inlogt met een gecompromitteerd wachtwoord. Nu stelt iemand de vraag of dat juridisch en ethisch wel in de haak is.

https://josephsteinberg.com/googles-new-password-checkup-extension-is-powerful-but-is-it-legal-or-ethical/

... leggen nogal wat iPhone-apps precies vast wat jij in die app doet.

https://techcrunch.com/2019/02/06/iphone-session-replay-screenshots/

... geloven veel informatiebeveiligers dat de cloud niet veilig is.

https://www.helpnetsecurity.com/2019/02/08/infosec-pros-believe-data-isnt-secure-in-the-cloud/

... krijgen Amerikaanse helpdeskfraudeslachtoffers hun geld terug.

https://www.security.nl/posting/597502/70+slachtoffers+helpdeskfraude+krijgen+26_000+dollar+terug

... kun je natuurlijk ook een elektrische step hacken.

https://blog.zimperium.com/dont-give-me-a-brake-xiaomi-scooter-hack-enables-dangerous-accelerations-and-stops-for-unsuspecting-riders/

... heeft Enisa richtlijnen voor veilige mobiele apps gepubliceerd.

https://www.enisa.europa.eu/topics/iot-and-smart-infrastructures/smartphone-guidelines-tool

... kun je ook al aangeklaagd worden als je in een scam trapt.

https://www.bbc.com/news/uk-scotland-glasgow-west-47135686

vrijdag 8 februari 2019

Automatische piloot

Anderhalf jaar geleden kochten we een nieuwe auto. Voor het eerst een automaat, en niet eens omdat we dat wilden maar omdat hij in Nederland niet met schakelbak leverbaar was – iets met hoger benzineverbruik waardoor hij duurder zou uitpakken wat volgens de dealer niet valt uit te leggen.

Schakelauto’s zijn voor ons altijd de norm geweest, de eerste ervaring met een automaat deden we op tijdens een vakantie in Amerika. Als je schakelauto’s gewend bent en (tijdelijk) automaat gaat rijden, dan gaan er altijd twee dingen mis. In de automaat komt er een moment dat je de niet aanwezige koppeling wilt intrappen en daardoor met je linkervoet het (extra brede) rempedaal intrapt, waardoor de inzittenden luid kreunend in hun gordels komen te hangen (je trapt de koppeling immers veel harder in dan je met de rem zou doen). En als je na de vakantie weer terug bent in je vertrouwde schakelauto, dan ga je bij het afremmen een keer vergeten om de koppeling in te trappen, waardoor je motor afslaat. Ik noem dit maar het Amerika-effect.

Dit gaat dus over fouten die je maakt doordat je met spullen werkt waaraan je niet bent gewend. Of, om het iets breder te trekken: doordat de omstandigheden anders zijn dat wat voor jou normaal is. Zo’n fout-door-verandering herinner ik me van lang geleden, toen Lotus Notes (nu IBM Notes) bij ons als mailprogramma werd ingevoerd. Vóór die tijd was je gewend om op F5 te drukken als je je inbox wilde verversen, zoals we dat heden ten dage nog steeds doen bij webbrowsers. In Notes betekende F5 destijds echter: uitloggen. Wie heeft niet zijn neus pijnlijk aan deze toets gestoten? Het duurde even voordat je de nieuwe toets (F9) in de vingers had. En met dank aan de browsers druk ik soms ook nu nog wel op F5 als ik mail wil ophalen, al heeft dat geen pijnlijke gevolgen meer (volgens de helptekst vernieuw je nu met F5 het overzicht van bestanden en mappen). En meestal laat je de mail natuurlijk vanzelf binnenkomen.

Leuk voorbeeld, maar dat is nog geen informatiebeveiliging (nou vooruit, er is een dun lijntje naar de B van beschikbaarheid, omdat je mail even niet beschikbaar was). Maar het volgende voorbeeld raakt beveiliging wél. Stel, bij het opstarten van een programma of bij het bezoeken van een site krijg je altijd een pop-up in beeld. Lees je die iedere keer? Nee, de bedenker van die tekst mag al blij zijn als je hem de eerste keer hebt gelezen. Alle volgende keren ga je ervan uit dat daar hetzelfde staat. Maar wat nu als er opeens iets heel anders staat, waar jij ongezien mee akkoord gaat? Misschien stond daar vroeger “Uw mail is ververst” en staat er nu: “Alle mail wordt verwijderd”. Toegegeven, dat ligt niet erg voor de hand, maar het gaat even om het idee van de verandering en de fouten die dat tot gevolg kan hebben.

In de wereld van de fysieke veiligheid zijn sprekendere voorbeelden te vinden. In 1983 kwam vlucht 143 van Air Canada bijna rampzalig tot een einde doordat bij het tanken van de Boeing 767 vergeten was dat dit hun eerste vliegtuig met metrische in plaats van imperiale eenheden was. En omdat de brandstofmeters niet werkten, moesten de piloten de boel handmatig berekenen, waarbij ze een verkeerde factor (die voor pounds in plaats van kilogrammen) gebruikten. Het vliegtuig kwam op een hoogte van 41 duizend voet (zo’n 12,5 km) zonder brandstof te zitten. De piloten slaagden er wonderwel in het vliegtuig succesvol te landen.

We hadden een beetje koudwatervrees bij die auto, maar ja, we vonden hem wel erg mooi. We troostten ons met de wetenschap dat we nog een tweede, handgeschakelde auto hadden. We zouden het schakelen dus niet verleren. Maar zou dit het Amerika-effect niet juist in de hand werken? Dat valt in de praktijk mee: bij het starten van de automaat wil ik een enkele keer de koppeling intrappen, maar eigenlijk nooit onder het rijden. En bij de andere auto heb ik nog nooit de koppeling vergeten.

Heb jij voorbeelden van een verandering die gevolgen had voor informatiebeveiliging? Ik hoor ze graag!

En in de grote boze buitenwereld …

... zijn er in heel Europa inmiddels 59 duizend datalekken gemeld. Nederland heeft zowel in absolute zin als per hoofd van de bevolking verreweg de meeste meldingen.

https://www.dlapiper.com/en/uk/news/2019/02/dla-piper-gdpr-data-breach-survey/

... gebruiken slimme phishers Google Translate om de herkomst van hun mail te verhullen.

https://threatpost.com/clever-phishing-attack-enlists-google-translate-to-spoof-facebook-login-page/141571/

... hoort een met de stem bestuurde assistent meer dan zijn baasje.

https://www.kaspersky.com/blog/ultrasound-attacks/25549/

... mag Facebook niet meer onbeperkt in de data van zijn Duitse leden graaien.

https://www.nytimes.com/2019/02/07/technology/germany-facebook-data.html

... gaat Google Chrome je waarschuwen als je een uitgelekt wachtwoord gebruikt.

https://www.wired.com/story/password-checkup-chrome-extension/

... kunnen 115 duizend Canadezen niet bij hun cryptomunten omdat de baas van het bedrijf, waar het geld is gestald, zou zijn overleden. En hij is/was de enige met toegang tot het systeem.

https://www.nrc.nl/nieuws/2019/02/05/126-miljoen-aan-cryptomunten-onbereikbaar-na-dood-eigenaar-a3652911

... laat de EU kindersmartwatches uit de markt halen vanwege ernstige privacy-problemen.

https://www.zdnet.com/article/eu-orders-recall-of-childrens-smartwatch-over-severe-privacy-concerns/

... werden Britse bankrekeningen geplunderd, ondanks het gebruik van tweefactor-authenticatie.

https://www.telegraph.co.uk/technology/2019/02/01/metro-bank-hit-cyber-attack-used-empty-customer-accounts/

... kunnen Android-toestellen worden aangevallen met een plaatje.

https://www.security.nl/posting/596723/Androidtoestellen+kwetsbaar+voor+aanval+met+PNG-afbeelding

... hebben helpdeskfraudeurs (‘Microsoftbellers’) een artikel op Wikipedia aangepast om hun ‘klanten’ ervan te overtuigen dat zij hun hulp nodig hebben.

https://www.security.nl/posting/596865/Aangepaste+Wikipedia-artikelen+gebruikt+voor+helpdeskfraude

... vindt het kabinet dat slachtoffers van cybercrime beter moeten worden geholpen.

https://www.security.nl/posting/597011/Kabinet+wil+slachtoffers+van+cybercrime+beter+gaan+helpen

vrijdag 1 februari 2019

Android-malware

Een lezer merkte op dat ik herhaaldelijk oproep om een virusscanner op je Android-toestel te installeren, maar dat hij niemand kent die dat daadwerkelijk doet en dat hij ook niemand kent die ooit een virus op zijn toestel had. Bovendien is hij bang dat een virusscanner zijn toestel traag zou maken en had hij diverse artikelen gelezen die in het beste geval voorstelden om “af en toe” een scan uit te voeren, maar meestal werd het onderwerp helemaal doodgezwegen. En of ik daar eens een blog aan zou willen wijden. Met alle plezier!

Laten we eerst eens naar de omvang van de dreiging kijken. Het onafhankelijke IT-beveiligingsinstituut AV-Test schrijft in zijn Security Report 2017-2018 dat er in maart 2018 ruim 26,5 miljoen malware-programma’s voor Android bekend waren, met een maandelijkse groei van ruim een half miljoen. Daar hoort wel een kanttekening bij over de aard van deze malware. Bij Windows-computers is het zo dat malware het operating system (OS) zelf, Windows dus, negatief kan beïnvloeden. Android (en trouwens ook iOS) zijn anders gebouwd: van buitenaf heb je geen toegang tot het OS, en dat geldt ook voor malware – mits je je toestel niet hebt geroot/gejailbreakt. De invloed van malafide apps blijft dus beperkt tot andere apps en de gebruiker.

De gebruiker? Ja, de gebruiker. Dat is namelijk degene die apps installeert en misschien een keer niet in de gaten heeft dat hij een malafide app geïnstalleerd heeft. Je gaat op zoek naar een app met een bepaalde functionaliteit, krijgt er een paar voorgeschoteld en kiest nou nét die ene met kwade bedoelingen. Aan de buitenkant is dat niet te zien. Apps moeten machtiging (toestemming) vragen om bepaalde dingen te mogen, zoals bestanden benaderen, camera en microfoon gebruiken en locatiegegevens opvragen. Misschien heb je niet altijd in de gaten dat een bepaalde machtiging vreemd is in combinatie met de (vermeende) functionaliteit van de app. Maar waarom zou een calculator toegang tot je bestanden moeten hebben?

Google doet z’n best om de Play Store schoon te houden, maar hun tool, Play Protect, slaagt daar volgens AV-Test maar matig in. Terwijl diverse beveiligingsapps er in november vorig jaar in slaagden om 100% te scoren, behaalde Play Protect een schamele 66,9% in de real world test (met vers van het internet geplukte malware) en 79,6% in de referentietest (tot vier weken oude malware).

Wat willen de criminelen achter die malware van ons? Ransomware speelt geen grote rol in de mobiele wereld, dat blijft toch vooral het domein van Windows-computers. Daarentegen zetten de boeven volop in op banking trojans, waarmee ze toegang tot je bankrekening – en dus je geld – krijgen. Ook cryptominers zijn lucratief, zeker op toestellen met een krachtige processor. Want ook die leveren geld op.

Over krachtige processoren gesproken: volgens de testresultaten hoef je echt niet te vrezen voor een slome telefoon als je een virusscanner op je toestel zet. Uit eigen ervaring: ik heb ‘slechts’ een middenklasse-toestel (Motorola G5S) én een virusscanner. En ik ben zeer tevreden over de performance van mijn toestel. Omdat ik een gratis app gebruik, krijg ik wel af en toe reclame voor betaalde functies voorgeschoteld, maar dat neem ik voor lief.

Er valt dus iets bij ons te halen en de app-winkel is onvoldoende beveiligd. Bovendien hoeft het niets te kosten (in termen van geld en performance) om je daartegen te beschermen. Ik zou zeggen: wat houdt je nog tegen? Dat je nog nooit hebt gehoord dat iemand een virus op z’n toestel had? Tja, al die mensen wéten misschien alleen niet dat ze besmet zijn, hè. En bovendien: resultaten uit het verleden bieden geen garantie voor de toekomst.

Nog even een paar tips voor het beveiligen van je Android-toestel op een rijtje:

· Gebruik alleen apps uit de Play Store van Google.

· Root je toestel niet.

· Beveilig je toestel (pincode of vingerafdruk; gezichtsherkenning is vaak nog onvoldoende ontwikkeld)

· Wees kritisch bij het verlenen van machtigingen aan apps.

· Installeer een virusscanner…

Noot: er zijn momenteel nog geen actuele rapporten (over 2018) beschikbaar. Deze wereld verandert snel, waardoor conclusies uit oudere rapporten mogelijk achterhaald kunnen zijn.