App-machtigingen zijn zoals een onzichtbare bewaker die bepaalt tot welke gegevens en toestellen apps toegang krijgen. Als men ooit een nieuwe app gedownload heeft of een nieuwe functie heeft geactiveerd, is de kans groot dat men een machtigingsprompt kreeg. Sommige machtigingen zijn geschikt voor de app. Maar sommige kunnen (al dan niet opzettelijk) het strikt noodzakelijke overschrijden. Andere kunnen ronduit schadelijk zijn. Begrijpen welke men moet toestaan en welke men moet blokkeren is bel
Een pop-up voor app-machtigingen is een dialoog tussen het mobiele besturingssysteem en onszelf. Deze verzoeken werden vroeger vóór de installatie gedaan. Moderne iOS-versies tonen echter machtigingsprompts pas tijdens het gebruik van de app, wanneer men de app voor het eerst gebruikt.
Sinds Android 6.0 zijn machtigingen in twee categorieën ingedeeld: normale machtigingen, zoals internettoegang, die stilzwijgend worden verleend bij de installatie zonder dat dit aan de gebruiker gevraagd wordt, en gevaarlijke machtigingen, zoals locatie, microfoon of contacten, die expliciet door de gebruiker goedgekeurd moeten worden tijdens de uitvoering (als men de functie voor het eerst gaat gebruiken). Nieuwere versies introduceren vaak ook extra machtigingen, zoals locatie op de achtergrond en meldingen, waarvoor aparte of meerstaps toestemmingsprocedures nodig zijn. Bij de uitvoering toont iOS alle gevoelige machtigingen op eenzelfde manier.
Machtigingen zijn voor ontwikkelaars essentieel om gebruikers een naadloze en veelzijdige ervaring te geven. Als een app telkens toegang tot toestelgegevens of functies zou moeten vragen, zou deze bijna onbruikbaar zijn. Zowel iOS als Android hebben de jongste jaren zinvolle ingebouwde beveiligingsmaatregelen geïntroduceerd om de risico’s te beperken die gepaard gaan met het verlenen van te veel privileges aan apps, maar de uiteindelijke beslissing ligt toch bij de gebruiker.
Opzettelijk of niet, sommige apps vragen soms meer toegang dan nodig. Door toestemming te verlenen zonder erover na te denken, kan men kwaadwillende ontwikkelaars toegang geven tot gevoelige smartphonegegevens (agenda, berichtenapps, sms’jes, bestanden en opslag, contacten, oproepgeschiedenis, locatie, microfoon en camera, enz.). Theoretisch kunnen ze zelfs het scherm lezen terwijl men typt. Zo zouden ze wachtwoorden van onze meest gevoelige accounts kunnen bemachtigen (internetbankieren ), eenmalige sms-codes onderscheppen, het toestel aanmelden voor betaalde diensten, een beeld schetsen van ons digitaal leven om aan adverteerders te verkopen, onze fysieke veiligheid in gevaar brengen door onze locatie te volgen, de camera en/of microfoon inschakelen om van een smartphone een afluistertoestel te maken, onze bestanden versleutelen en losgeld eisen, malware op het toestel installeren (infostealers, ransomware).
AI-assistent-apps (en apps die zich zo voordoen) zijn een toenemend risico wat betreft machtigingen. Veel apps vragen om permanente toegang tot de microfoon om het activeringswoord te herkennen, alsook toegang tot contacten, agenda en soms scherminhoud. AI-apps moeten met dezelfde kritische blik als elke andere categorie behandeld worden. Gezondheids- en fitnessgegevens vormen eveneens een risico. Apps met toegang tot die gegevens kunnen ze delen of verkopen wat ernstige gevolgen kan hebben, met implicaties voor verzekeringen, enz.
App-machtigingen hangen van de context af. Wat de ene nodig heeft om de verwachte gebruikerservaring te bieden, kan verschillen van de machtigingen die een andere app nodig heeft. Er zijn trouwens ook machtigingen die altijd argwaan zouden moeten wekken. Deze omvatten: toegangsdiensten, locatie op de achtergrond, sms-/oproepgeschiedenis en overlay-machtigingen.
Vooraleer men toestemming geeft of blokkeert, moet men steeds overwegen of een machtiging noodzakelijk is om de app te laten functioneren. Een andere goede regel is om toestemming slechts “eenmalig” of “tijdens gebruik” te verlenen. Alleen veiligheidsapps zoals “Find My” zouden 24/7/365 toegang moeten hebben. Veel apps vragen ons om de machtigingen regelmatig te controleren. Het kan echter een goed idee zijn om zelf ook proactief onze machtigingen te controleren.
Download apps uitsluitend uit legitieme appwinkels (Google Play/App Store). Lees eerst de recensies vooraleer een beslissing tot downloaden te nemen. Denk eraan om een mobiele beveiligingsoplossing van een gerenommeerde aanbieder te installeren.
Over ESET
ESET® biedt geavanceerde cybersecurity om aanvallen te voorkomen nog voor deze plaatsvinden. Door de kracht van AI en menselijke expertise te combineren, blijft ESET opkomende wereldwijde cyberbedreigingen voor, zowel bekende als onbekende, en beveiligt het bedrijven, kritieke infrastructuur en individuen. Of het nu gaat het om endpoint-, cloud- of mobiele beveiliging, zijn ESET’s AI-native, cloud-first oplossingen en services zeer efficiënt en gebruiksvriendelijk. ESET-technologie omvat robuuste detectie en respons, ultraveilige encryptie en multi-factor authenticatie. Met 24/7 real-time verdediging en sterke lokale ondersteuning houdt ESET de gebruikers veilig en bedrijven draaiende en dit zonder onderbreking. Het constant veranderende digitale landschap vraagt om een progressieve benadering van de beveiliging. ESET zet zich in met onderzoek van wereldniveau en krachtige threat intelligence, ondersteund door R&D-centra en een sterk wereldwijd partnernetwerk. Bezoek voor meer informatie of www.eset.com of https://www.est.com/be-nl/,volg onze sociale media, podcasts en blogs.
Meer lezen
