Het lijkt erop dat er eindeloos veel manieren zijn waarop uw mobiele apparaat kan worden aangevallen. Met enge beelden van sluwe hackers die de beveiliging van onze mobiele apparaten ondermijnen, is het gemakkelijk te vergeten dat de meest voorkomende manier om een apparaat te compromitteren onzorgvuldige handelingen van de eindgebruiker zijn. Eén zo’n actie is het sideloaden van riskante applicaties op het apparaat.

Wat is sideloaden?

Sideloaden, in de context van mobiele beveiliging, is het proces van het toevoegen van een applicatie die niet is goedgekeurd door de ontwikkelaar van het besturingssysteem van het apparaat. Alle toepassingen in de App Store of Google Play Store zijn doorgelicht door de respectieve organisaties. Hoewel er gevallen zijn geweest van schadelijke apps die zijn gevonden in zowel de App Store als de Play Store (vaker de Google Play Store), fungeren de officiële app stores als een extra filter, waardoor de overgrote meerderheid van schadelijke apps de eindgebruiker niet bereikt.
Sideloading biedt toegang tot apps die om een van een aantal redenen niet beschikbaar zijn in de officiële app stores. Apps uit andere bronnen worden mogelijk niet gescreend op veiligheid en kunnen kwaadaardige bedoelingen hebben, maar vaak installeren gebruikers ze op hun apparaat, waardoor ze zichzelf blootstellen aan bedreigingen. In het geval van Apple-apparaten, vereist dit vaak (hoewel niet altijd) dat het apparaat wordt gejailbreakt.

Wat is het verschil tussen jailbreaken, rooten en sideloaden?

De term ‘jailbreaken’ kan van toepassing zijn op elk soort mobiel apparaat, maar verwijst over het algemeen naar Apple-apparaten. Apple handhaaft een hoog niveau van apparaatbeveiliging door alle apparaten te beperken om alleen apps toe te staan die zijn gedownload uit de officiële App Store. Jailbreaken is een methode om dit te omzeilen door de gebruikersrechten op het apparaat te verhogen. Gebruikers hebben nog steeds toegang tot alle normale functies van het apparaat, maar kunnen applicaties installeren van andere bronnen dan de App Store.
Google vergrendelt het Android OS niet zo sterk als Apple – hoewel de standaardconfiguratie geen sideloaded apps toestaat, is het mogelijk om een instelling te wijzigen om apps van derden toe te staan. Ons onderzoek toont aan dat ongeveer 20% van de apparaten deze instelling heeft ingeschakeld. Deze methode lijkt minder riskant dan jailbreaken, maar stelt het apparaat op precies dezelfde manier open voor bedreigingen.
Rooten wordt vaak verward als de Android-versie van jailbreaken. Hoewel rooten vergelijkbaar is met jailbreaken in de zin dat ze beide privilege-escalatie zijn, biedt rooten veel meer vrijheid aan Android-gebruikers. Zogenaamd omdat het root-toegang tot het apparaat biedt, maakt rooten veel grotere, superuser privileges mogelijk, zodat gebruikers drastische wijzigingen kunnen aanbrengen – tot en met het wijzigen van het besturingssysteem van het apparaat.

Welke apps zijn mijn werknemers aan het sideloaden?

Uw onderzoek toont aan dat er een grote verscheidenheid aan apps is die sideloaden op bedrijfsapparaten, maar we waren in staat om de top vijf van meest sideloaded apps te categoriseren:

Custom-built business apps

Custom-built apps bieden aanzienlijke voordelen voor organisaties doordat IT applicaties op maat kan maken om te voldoen aan de specifieke use cases van verschillende afdelingen binnen het bedrijf. Een van onze klanten bouwde en implementeerde bijvoorbeeld een op maat gemaakte app waarmee zorgpersoneel patiëntendossiers kon bijwerken en recepten kon bestellen vanaf het bed, waardoor de administratie tot een minimum werd beperkt en er meer tijd aan patiënten kon worden besteed.
Om op maat gemaakte apps te kunnen implementeren, moeten bedrijven meestal de officiële app stores omzeilen, omdat ze hun apps niet op grote schaal beschikbaar willen maken voor het publiek vanwege de gevoelige informatie die ze bevatten. Een HR-app met een personeelsdirectory bevat bijvoorbeeld persoonlijke informatie over het personeel, en interne bedrijfsnieuws-apps bevatten gevoelige bedrijfsinformatie. Het is begrijpelijk waarom IT een andere manier zou willen vinden om deze apps beschikbaar te maken voor hun gebruikers zonder de complexiteit te vergroten door gebruikersautorisatie toe te voegen.

Wat is het risico?

Sideloaden van apps is meestal een gevaarlijke praktijk, maar in dit geval is het een gangbare praktijk en de voorkeursmethode voor distributie. Een organisatie kan garanderen dat de app in kwestie is ontworpen zonder kwade bedoelingen en kan voldoen aan de gewenste beveiligingsniveaus. Als de organisatie de apparaten jailbreakt om de app toe te laten, kunnen er risicovolle apps worden gedownload en geïnstalleerd, dus is het waarschijnlijker dat er andere methoden worden gebruikt. Ofwel door het certificaatprofiel waarop de aangepaste app is ondertekend vooraf te installeren, ofwel door gebruik te maken van een Enterprise Mobility Management (EMM)-tool.
Bedrijven die aangepaste apps hebben, besteden de ontwikkeling vaak uit aan derden. Het probleem met deze externe ontwikkelaars is dat ze geen robuuste doorlichtingsworkflow hebben om prestatieproblemen en beveiligingsproblemen, zoals onveilige netwerkverbindingen, op te sporen. Wandera ontdekte onlangs een op maat gemaakte HR-trainingsapplicatie van een bedrijf die de gebruikersnamen en wachtwoorden van gebruikers die inlogden niet beschermde. Dit waren dezelfde gegevens die ze gebruikten om in te loggen op hun zakelijke e-mailaccounts.
Een ding om te overwegen – deze op maat gemaakte apps worden geoptimaliseerd voor het bestaande besturingssysteem, dus wanneer Apple of Android een OS-update uitrolt, kan een deel van de app-functionaliteit kapot gaan. Dit is waarom het gebruik van een service om de uitrol van OS-updates te controleren, nuttig is om ervoor te zorgen dat aangepaste apps optimaal blijven werken.
Risico – 1/5

Third-party app stores

De Apple App Store voor iOS en de Google Play Store voor Android zijn de twee grootste distributiekanalen voor mobiele apps. Maar er is een grote boze wereld van app-winkels van derden en apps die buiten deze twee grote spelers bestaan. In feite zijn er wereldwijd meer dan 300 app stores en dat aantal blijft groeien.
Volgens onze gegevens is een van de populairste apps van derden voor zakelijke iOS-apparaten Tutuapp, oorspronkelijk een Chinese app store die in 2017 een Engelse versie uitbracht. Tutuapp staat bekend om het hosten van aangepaste of gehackte versies van populaire games, waaronder een versie van Pokemon Go waarin de speler niet hoeft te bewegen om Pokemon te vinden en te vangen. De apps die op Tutuapp worden gehost, zijn niet zwaar doorgelicht op dezelfde manier als die op Google Play en de App Store.
Op Android is de installatie van app-winkels van derden niet zo gebruikelijk, omdat een gebruiker gewoon de website van de app kan bezoeken en deze rechtstreeks vanuit de browser kan downloaden, zolang de instelling is ingeschakeld om downloads van onbekende bronnen toe te staan.
Toch zijn dit de twee populairste externe app stores van waaruit Android gebruikers sideloaden:

1. Aptoide
2. Amazon Appstore

Amazon keurt alle apps goed voordat ze op de winkel worden gepubliceerd, op vrijwel dezelfde manier als Apple – wat suggereert dat de Amazon Appstore zelf relatief veilig is. Aptoide, aan de andere kant, is minder betrouwbaar.
Aptoide heeft wel een virus scan functie (aangeduid door een schild symbool bij het app icoon), maar zal nog steeds apps publiceren die niet zijn gescand, waardoor klanten worden opengesteld voor potentiële bedreigingen. Hoewel er geen aanwijzingen zijn dat de Aptoide-app zelf malware bevat, kunnen de apps die hij aanbiedt een bedreiging vormen.

Wat is het risico?

Hoewel de meeste apps van derde partijen in de app-winkel zelf vrij zijn van malware en relatief veilig zijn, vormen de gedragingen die zij mogelijk maken veel meer een bedreiging. Er kan veilig worden aangenomen dat iedereen die een app-winkel van derden sideloadt, van plan is een of meer apps te installeren die door hen worden gehost. Aangezien de meerderheid van deze app stores geen rigoureus veiligheidsonderzoek uitvoert van de apps die ze aanbieden, kan dit elk apparaat waarop ze zijn geïnstalleerd bijzonder kwetsbaar maken voor bedreigingen.
Risico – 5/5

Games

Na zelfgebouwde apps en app stores van derden, is de meest voorkomende reden voor het sideloaden van apps de installatie van games die niet beschikbaar zijn in de officiële app stores. Volgens onze gegevens gamet 10 procent van de werknemers dagelijks op hun bedrijfsapparaten.
Het meest opvallende voorbeeld van een populaire game die sideloaded moet worden, is Fortnite voor Android. Toen Epic Games de beslissing nam om de Google Play-winkel te omzeilen en het langverwachte spel alleen via zijn eigen website aan te bieden, waren wij (en andere beveiligingsexperts) er snel bij om de risico’s te communiceren, waaronder de normalisatie van risicovolle configuratie, de distributie van spoof Fortnite-games en op Fortnite gebaseerde phishing-aanvallen.
Kort daarna ontdekte het beveiligingsteam van Google een kwetsbaarheid in de Fortnite Installer. Dit kon worden misbruikt door andere apps op het apparaat om het verzoek om Fortnite van Epic Games te downloaden te kapen om stiekem iets anders te downloaden, waaronder malware of spyware. Epic’s verdienste is dat de kwetsbaarheid snel is gepatcht.

Wat is het risico?

Werkgevers kunnen het gevoel hebben dat het installeren van games op bedrijfsapparaten al schadelijk genoeg is voor de productiviteit. De potentiële dreiging die uitgaat van sideloaded games is echter aanzienlijk. Zonder de extra beveiligingslaag van Apple’s of Google’s app-screening, kunnen kwetsbaarheden en kwaadaardige inhoud onopgemerkt blijven, waardoor het apparaat wordt blootgesteld aan een veelheid aan bedreigingen. Zelfs een grote game-uitgever, Epic Games, kon de veiligheid van hun vlaggenschip voor mobiele games niet garanderen – en met ‘vroege releases’, gemodde versies en valse ‘gidsen’ is gaming een rijp doelwit voor kwaadwillenden.
Risico – 4/5

“Gratis” filmkijkers

Naarmate de datatransmissiesnelheden en de dekking van mobiel internet de afgelopen jaren zijn toegenomen, is ook het gebruik van mobiele apparaten voor het streamen van films en tv toegenomen. Het is gebruikelijk voor mobiele gebruikers om films volledig op hun apparaten te streamen, en dus is het aantal apps om inhoud aan te bieden gestegen.
Naast legitieme diensten, zoals Netflix of Amazon Prime Video (een app die vroeger regelmatig sideloaded werd, totdat deze in 2017 aan de Google Play Store werd toegevoegd), worden een aantal applicaties die het gratis bekijken van films aanbieden regelmatig sideloaded naar bedrijfsapparaten. De populairste hiervan voor iOS zijn MovieBox en CotoMovies (voorheen Bobby Movie of Bobby HD), waarbij 50% van de bedrijven ten minste een van de twee apps heeft geïnstalleerd. CotoMovies is een voorbeeld van een sideloaded app waarvoor de iPhone niet hoeft te worden gejailbreakt – maar de gebruiker moet wel de profielinstellingen op het apparaat wijzigen, wat het bijzonder kwetsbaar kan maken voor aanvallen.
Helaas zijn er een aantal problemen met deze apps – de belangrijkste daarvan is dat deze apps de films waarvoor ze reclame maken illegaal illegaal kopiëren. Apps die zijn goedgekeurd door Apple of Google staan geen illegale activiteiten toe, maar met sideloaded apps is er geen garantie.
Video streaming is bijzonder data-intensief, wat kan leiden tot potentiële data overage kosten indien niet gemonitord. Dit is een gevaar bij alle streaming-apps, ook bij legitieme. Sommige illegale streaming-apps kunnen echter een ander gegevensprobleem met zich meebrengen. Moviebox is een peer-to-peer-dienst, wat betekent dat terwijl een gebruiker een bestand downloadt, hij het ook uploadt – waarschijnlijk zonder het te weten.

Wat is het risico?

Gratis filmviewers hebben op het eerste gezicht een aantal problemen. Ze zijn zeker riskant vanuit het oogpunt van mobiele veiligheid, maar leveren ook problemen op voor het gegevensgebruik en de productiviteit. Erger nog, als je ze gebruikt om films te bekijken, doe je mee aan piraterij – niet bepaald iets waarvan je wilt dat het op een bedrijfsapparaat gebeurt.
Risico – 3/5

De cryptocurrency-markt

In de afgelopen paar jaar hebben cryptocurrencies zoals bitcoin een hoge vlucht genomen. Nu mensen bijna van de ene op de andere dag miljonair zijn geworden, is iedereen op zoek naar het volgende succes. Dit heeft een markt gecreëerd die klaar is voor misbruik – niet in het minst vanwege de kwikzilveren aard van cryptocurrency en de manier waarop het wordt verhandeld.
Er bestaat een aanzienlijk aantal apps voor het handelen in cryptocurrency, en ze vormen de vijfde meest voorkomende categorie app die op apparaten wordt sideloaded. De meest voorkomende cryptocurrency-app die sideloaded wordt op iOS-apparaten is Binance.
Gecontroleerde financiële handelsapps zijn ongelooflijk waardevolle doelwitten voor kwaadwillenden – er wordt veel financiële informatie overgedragen en er is het potentieel voor aanzienlijke winst (en aanzienlijk persoonlijk verlies voor een onvoorzichtige gebruiker). Bedreigingen voor deze apps kunnen de vorm aannemen van kwetsbaarheden die worden gemist door nalatige ontwikkelaars of nepversies van de app die alle daarin ingevoerde informatie zullen stelen.
Een andere app die argwaan wekt, is Kucoin. Het is op de Google Play Store, maar niet de App Store. Voor iOS, het kan worden sideloaded, maar vereist een profiel te worden geïnstalleerd, en werd gemaakt door “Meridian Medical Network Corp.” – Ongebruikelijke verzoeken zoals deze kunnen vaak een waarschuwingsteken zijn. Er is ook ten minste één geval geweest van een valse Kucoin-app die is gemaakt.

Wat is het risico?

Zoals met alle andere meest voorkomende categorieën van sideloaded apps, is er een inherent risico als gevolg van een gebrek aan toezicht op de beveiliging van de individuele apps. Elke toevallige exploits zal worden opgejaagd en blootgesteld, en er zullen opzettelijk kwaadaardige apps die er zijn dat de onvoorzichtige gebruiker kan installeren waardoor ze in gevaar van persoonlijke financiële schade.
Risico – 2/5 voor de organisatie – 4/5 voor de eindgebruiker van de app

Al het andere

We hebben alleen de top vijf meest voorkomende soorten sideloaded apps behandeld – er zijn tal van andere die gebruikers kunnen installeren om extra toegang tot hun apparaat te krijgen, of om het beleid te omzeilen dat Google en Apple in hun respectieve app stores handhaven. Hulpmiddelen voor het rooten, inhoud voor volwassenen en zelfs pdf-lezers blijken kwaadaardige inhoud te bevatten, en als ze worden ge-sideloaded is er maar weinig garantie dat een app veilig is. Dit alles versterkt het punt dat goed toezicht en zichtbaarheid van vitaal belang zijn om volledige mobiele veiligheid te garanderen.

Wat kan ik doen?

Ten eerste hebben we alle AppID’s verzameld van de apps die in dit artikel worden genoemd (te vinden onderaan deze pagina), zodat u een oogje in het zeil kunt houden op uw apparaten – u zou in staat moeten zijn om alle geïnstalleerde AppID’s te bekijken als u een EMM-oplossing gebruikt.
Ten tweede moet u overwegen te investeren in een beveiligingsoplossing die opkomende bedreigingen voortdurend kan controleren en blokkeren op uw hele vloot, waar ze ook worden geactiveerd op het apparaat. Met betrekking tot sideloaded apps moet u op zoek naar een oplossing die gevaarlijke instellingen op het apparaat markeert (zoals het toestaan van downloads van onbekende bronnen of jailbreaken), apps blokkeert die u als ongewenst hebt gemarkeerd en u op de hoogte stelt van toepassingen die gevaarlijke activiteiten vertonen, zoals exfiltratie van gegevens.
Als u meer wilt weten over het beschermen van uw organisatie tegen mobiele bedreigingen, neem dan vandaag nog contact op met een van onze mobiliteitsexperts.

3rd Party App Stores

Tutuapp

iOS: com.tutuapp.tutuapphwenterprise, com.wjxhw.yhyy
Android: com.feng.droid.tutu
Aptoide
Android: cm.aptoide.pt

Games

Fortnite Installer
Android: Com.epicgames.portal

GratisFilm Apps

Movie Box
iOS: com.sull.videofun, com.vshare.move, com.tweakbox.moviebox
BobbyHD/Cotomovies
iOS: bobb.bcc.com, com.tweakbox.bobbymovie, bobby.bcc.movie, bobby.movie.bcc

Cryptocurrency

Binance
iOS: com.binanceInternational.app, com.bijie.Binance, com.forbnbsignedinternational.app, com.NATELOO20180329.internalApp, com.InternaluseSignbnbCloud.bnbapp, com.internalUseSign180322.app
Kucoin
iOS: Com.koins.nb, com.kucoin.KuCoin.App