Betekent geen Android-updates vrij spel voor cybercriminelen?

Iedere smartphonefabrikant ondersteunt uitgegeven toestellen doorgaans twee tot vijf jaar. In deze periode ontvangen toestellen Android- en beveiligingsupdates van de fabrikant. Loopt deze termijn af, dan raden de fabrikanten aan om een nieuwer exemplaar aan te schaffen. Is dat werkelijk noodzakelijk of vertelt de update-termijn alleen welke periode een smartphone tenminste houdbaar blijft?  

De meeste smartphone-modellen ontvangen vandaag vaak twee jaar of meer aan updates. In die periode blijven fabrikanten Android- en beveiligingsupdates leveren aan gelanceerde toestellen. Daarna merken echter heel wat gebruikers dat hun toestel nog perfect in orde is.

Gelukkig beseffen fabrikanten vandaag zelf dat ze hun update-termijn moeten uitbreiden. Samsung is de echte pionier op dit gebied en verlengde beide termijnen tot vier jaar en gooit daar bij de nieuwste S22 toestellen zelfs nog een jaar bovenop. OnePlus en Oppo volgen dat voorbeeld enkel met hun beveiligingsupdates, Android-updates worden drie jaar lang gegarandeerd. Daarmee denken ze concurrenten die vasthouden aan de minimale periode een loef af te steken. Is vervangen dan echt noodzakelijk?

Onderverdeling bij het updatebeleid

De update-termijn staat dus onderverdeeld in twee categorieën: enerzijds is er een Android-updatebeleid (het besturingssysteem) en anderzijds zijn er beveiligingsupdates. Veel smartphonefabrikanten kiezen ervoor een verschillende update-termijn op beide categorieën te plakken.

Het Android-updatebeleid bepaalt in de regel welke versie van Android als laatste naar het toestel gebracht zal worden. Bij beveiligingsupdates daarentegen worden patches uitgerold die gevonden kwetsbaarheden in het besturingssysteem dichten.

Het Android-updatebeleid bepaalt in de regel welke versie van Android als laatste naar het toestel gebracht zal worden. Op dit moment is het in de regel zo dat Android ieder jaar een grote nieuwe versie van zijn besturingssysteem uitbrengt. Lanceerde het toestel dus in het voorjaar van 2022 dan zal het toestel doorgaans gelanceerd zijn met Android 12 dat eind 2021 het levenslicht zag.  

Het is vrijwel zeker dat het besturingssysteem van je toestel niet gewoon de combinatie van Android en het versienummer zal noemen. Telefoonmerken passen het besturingssysteem op hun toestellen namelijk aan met bepaalde kenmerken die specifiek zijn voor het merk. Een eigen Android-schil creëren kan wat extra tijd vereisen, waardoor een Androidversie met vertraging naar jouw toestel kan uitrollen.

De tweede grote categorie zijn beveiligingsupdates. Beveiligingsupdates worden in een veel hoger tempo uitgegeven, maandelijks verschijnt er minstens één. Bij deze updates worden patches uitgerold die gevonden kwetsbaarheden in het besturingssysteem dichten. Let wel, draait de telefoon niet op de standaard Android-versie, dan duurt het doorgaans langer voordat de fabrikant de kwetsbaarheden dicht.

Een wettelijk kader rondom de lengte van de updatetermijn ontbreekt. Daar kan volgend jaar verandering in komen door een nieuwe Europese wet waardoor beveiligingsupdates minstens zeven jaar moeten uitrollen.

Geen beveiliging na update-termijn?

Het is belangrijk een smartphone goed veilig te houden, maar ook om zelf bij de les te blijven. Cybercriminelen concentreren zich sinds het laatste jaar namelijk vaker op de mobiele markt om bedrijfsnetwerken binnen te dringen.

Betekent dit nu dat alle remmen los worden gegooid vanaf het moment dat de update-termijn voor beveiligingsupdates vervalt bij jouw toestel? Het lijkt wel zo, maar dat is niet helemaal correct. Kwetsbaarheden in Android kunnen langer op je gsm blijven bestaan zonder oplossing. Bij grote problemen en kwetsbaarheden die echt je veiligheid te veel in gevaar brengen, ontvangen ook toestellen die geen ondersteuning meer krijgen vaak nog patches. Datzelfde geldt voor fabrikanten met een eigen Android-schil.

Bij grote problemen en kwetsbaarheden die echt je veiligheid te veel in gevaar brengen, ontvangen ook toestellen die geen ondersteuning meer krijgen vaak nog patches.

Met het draaien van applicaties zal je op termijn meer last ondervinden. In de regel blijft het mogelijk apps te gebruiken. Vanaf een gegeven moment zal het echter niet meer mogelijk zijn alle apps te draaien. Applicaties stoppen na een tijd namelijk de ondersteuning van verouderde Android-versies.

De tijd dat een applicatie ondersteuning ontvangt, wordt de laatste jaren alsmaar korter. Ontwikkelaars proberen namelijk steeds aan hun app te sleutelen en nieuwe functies naar gebruikers uit te rollen. Deze functies maken gebruik van de hardware van nieuwe toestellen en in oude toestellen ontbreekt op een gegeven moment de benodigde hardware.

De risico’s

Het risico dat je loopt door met een toestel rond te lopen dat geen updates meer ontvangt, hangt af van wat je als gebruiker ermee uitspookt. Gebruik je geen internet op het toestel, dan zal het moeilijk zijn voor hackers om in te breken op je toestel. Al is het dan eerder de vraag of het verstandig is om werknemers op pad te laten gaan met bedrijfstoestellen die niet langer van internettoepassingen gebruik kunnen maken. 

Aanvalstechnieken die niet internetgevoelig zijn, blijven wel nog een risico vormen. Het gaat dan om phishing via sms, smishing, of oplichters die met een telefoongesprek gegevens proberen los te krijgen. Moderne toestellen zijn doorgaans beter beschermd tegen dit risico door een ingebouwde phishing-detectietool.

Geen eeuwig leven

Als het geen optie is om de internetverbinding uitgeschakeld te laten, dan zal het afhangen van de geïnstalleerde Android-versie wat de mogelijkheden zijn.

Heeft je toestel Android-versie 7.1.1 of ouder, dan kan het toestel nog minder voor je betekenen. Heel wat websites met LE-certificaten zijn voor deze Android-versie namelijk niet langer toegankelijk. Check in dat geval of je toestel nog een nieuwere Android-versie kan installeren. Is dat niet het geval, dan overweeg je misschien beter een nieuwer toestel.

Klinkt deze Android-versie als een verre utopie en draait je toestel nog op Android 4.3 of lager, dan zijn de beveiligingsrisco’s onoverkomelijk. Alle toepassingen op deze smartphones die de standaardbrowser openen, zijn namelijk onveilig door kwetsbaarheden in WebView. Het is overigens niet altijd duidelijk dat de standaardbrowser wordt geopend, doordat veel apps deze verbinding draaien in de achtergrond.

Zelf beslissen

De houdbaarheidsdatum van een toestel is simpelweg niet tot in de eeuwigheid te verlengen. Loop je nog met een prehistorisch model, dan blijft het verstandiger een nieuw toestel aan te schaffen.

Al blijkt ook dat de update-termijn die smartphonefabrikanten garanderen eerder een richtlijn is dan een absolute vuistregel. Op een gegeven ogenblik zal je zelf ondervinden dat te veel functies of apps niet langer te gebruiken zijn en kan je rustig op zoek gaan naar een nieuw toestel.

Ben je na het lezen tot de vaststelling gekomen dat je smartphone aan vervanging toe is? Vind dan inspiratie in onze gids waarin we opsommen welk bedrijfstoestel je best koopt met een maximum budget van 400 euro. 

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.