Is Windows Phone echt zoveel veiliger dan Android?

Eerder deze maand beschuldigde Microsoft-topman Terry Myerson Google, van het niet up-to-date houden van de beveiliging op Android-toestellen. Maar heeft Microsoft wel recht van spreken? Is Android echt zoveel slechter beveiligd dan de door Microsoft ontwikkelde Windows Phone?

Zowel Windows Phone als Android hebben in het verleden tal van beveiligingsproblemen en bugs gehad. Het meest recente probleem was Freak, een bug die invloed had op de beveiligde https-verbinding. Dit is een verbinding die op zo'n manier beveiligd wordt, dat wanneer deze onderschept wordt hij niet te lezen is. Hierdoor werd de verbinding opeens niet zo veilig meer. Kwaadwillenden konden vrij gemakkelijk internetverbindingen aftappen en op deze manier wachtwoorden en andere persoonlijke informatie stelen. Freak trof eigenlijk elk besturingssysteem, het systeem waar alle apparaten op draaien, waaronder ook de software van onder meer Android en Windows Phone. De bug werd in maart ontdekt en inmiddels zijn er diverse updates geweest om het lek te dichten. Microsoft was de laatste van de drie grote spelers – Microsoft, Google en Apple –  die het probleem ontdekte. Op basis van deze gebeurtenis, lijkt de beschuldiging van Microsoft tegenover de beveiliging van Android onterecht te zijn.

Toch is deze beschuldiging niet geheel uit de lucht gegrepen. Eerder dit jaar werd een beveiligingsprobleem ontdekt in WebView. WebView is het deel in het systeem van Android dat gebruikt wordt om pagina's van websites in een applicatie te laden. Deze applicatie hoeft niet per se een browser te zijn, denk bijvoorbeeld aan de websites die je opent in Facebook. Alle versies van Android voor 4.4 KitKat werden hierdoor getroffen. Aangezien 39,8 procent van de Android-gebruikers op dit moment nog gebruik maakt van deze versie van het besturingssysteem, is het opvallend dat Google aangaf dit probleem niet op te lossen. “We maken normaal gesproken geen patches voor versies ouder dan Android 4.4”, liet het bedrijf weten. Het is echter nooit bekend geworden wat hackers met deze bug kunnen bereiken en er zijn ook geen meldingen geweest over het gebruiken van het lek.

In 2013 waarschuwde Microsoft haar gebruikers dat er een probleem kon zijn in het protocol voor Wi-Fi authenticatie. De beheerder van het netwerk moest een digitaal certificaat gebruiken, anders konden kwalijkgezinden gegevens van de gebruiker voor het Wi-Fi-netwerk kopiëren en er zo voor zorgen dat de gebruiker op hun netwerk terecht kwam, met alle gevolgen van dien. Dit gevaar gold voor zowel Windows Phone 7.8 als 8. Opvallend is dat dit niet de fout was van Microsoft, maar van het Protected Extensible Authentication Protocol PEAP-MS-CHAPv2, een encryptie die door Windows Phone gebruikt wordt om ervoor te zorgen dat een bestand niet door anderen gelezen kan worden. De oplossing was echter gemakkelijk: laat smartphone’s niet automatisch verbinding maken met Wi-Fi en log opnieuw in bij het netwerk.

De beveiliging op zich

Naast de beveiligingsproblemen die Android en Windows Phone hebben gehad, zijn er ook vaak grote problemen te vinden in de besturingssystemen. Om gebruik te kunnen maken van een smartphone of tablet zijn applicaties nodig en daar kunnen veel problemen vandaan komen, zeker in het geval van Android. Google is niet erg strikt op het gebied van applicaties, zo zijn de apps ook van andere bronnen krijgen dan de Play Store. Bovendien wordt niet elke applicatie grondig onderzocht door Google, waardoor het gemakkelijk is om er een lek mee te creëren. Het is dan ook van belang om alleen applicaties te downloaden van bronnen die te vertrouwen zijn.

Microsoft was tot voor kort strikter: zij keken elke applicatie na op eventuele gevaren voor de gebruiker. Hierdoor was het een stuk moeilijker om beveiligingsproblemen via een app het apparaat in te krijgen. Maar Microsoft heeft onlangs de deur geopend voor Android en iOS-applicaties. Hiermee kunnen alle eerder genoemde gevaren van Android-apps dus ook naar de Windows Phone komen en dat kan voor problemen gaan zorgen.

Verder komt de beveiliging van Windows Phone en Android op veel punten overeen. Beide besturingssystemen laten het apparaat encrypten, tot aan de microSD toe. Android heeft wel een ander puntje ter beveiliging van haar gebruikers: het systeem laat toe dat de camera uitgeschakeld wordt, wat Windows Phone 8 en 8.1 niet doen. Hiermee kan ervoor gezorgd worden dat hackers de gebruiker niet zomaar kunnen filmen zonder dat de eigenaar van de smartphone hier iets vanaf weet. Daarentegen kan bij de Windows Phone Wi-Fi helemaal worden uitgeschakeld, iets wat met Android dan weer niet kan. Bovendien laat de Windows Phone app stores blokkeren of er restricties op zetten en ook dat kan bij Android niet.

Hier kwamen de eerder genoemde problemen dan ook uit voort. Wil de gebruiker een applicatie downloaden? Dan moet deze een extra bevestiging toevoegen, om te bewijzen dat hij of zij het echt is. Android-gebruikers weten dat dit op haar platform niet hoeft, wat de deur opent voor kwaadwillenden. Zij kunnen immers elke applicatie op een smartphone zetten, zonder dat de gebruiker dit door heeft. Windows Phone heeft in haar beveiliging dus wel een paar features die Android niet heeft, maar zeker op het gebied van applicaties is het de vraag hoe lang deze voordelen nog van toepassing zullen zijn.

Om het allemaal even in perspectief te zetten: beveiligingsproblemen met Android zijn altijd op grotere schaal te vinden dan die in Windows Phone. Dat komt met name door de hoeveelheid bestuurssystemen die in gebruik zijn. Android heeft een wereldwijd marktaandeel van ongeveer 78 procent, tegenover de 2,7 procent die de Windows Phone heeft. Een bug bij Android heeft dus veel meer impact dan een bug bij Windows Phone. Dit kan twee dingen betekenen: misschien hoor je daarom vaker iets over een bug in Android dan bij Windows Phone en misschien zijn Android devices daarom wel vaker het doelwit van kwaadwillenden. Wat het sowieso betekent is dat het voor Google veel meer van belang is om lekken te dichten, omdat ze anders klanten zullen verliezen. Terry Myerson heeft dus zeker een punt met zijn aanval op Google inzake haar beveiligingsproblemen, maar Microsoft is zelf ook geen heilig boontje op dit vlak.