Is het einde van de update-termijn vrij spel voor cybercriminelen?

Iedere smartphonefabrikant ondersteunt uitgegeven toestellen doorgaans twee tot vijf jaar. In deze periode ontvangen toestellen Android- en beveiligingsupdates van de fabrikant. Loopt deze termijn af, dan raden de fabrikanten aan om een nieuwer exemplaar aan te schaffen. Is dat werkelijk noodzakelijk of vertelt de update-termijn alleen welke periode een smartphone tenminste houdbaar blijft?

De meeste smartphone-modellen ontvangen vandaag vaak twee jaar of meer aan updates. In die periode blijven fabrikanten Android- en beveiligingsupdates leveren aan gelanceerde toestellen. Daarna merken echter heel wat gebruikers dat hun toestel nog perfect in orde is.

Gelukkig beseffen fabrikanten vandaag zelf dat ze hun update-termijn moeten uitbreiden. Samsung is de echte pionier op dit gebied en verlengde beide termijnen tot vier jaar en gooit daar bij de nieuwste S22 toestellen zelfs nog een jaar bovenop. OnePlus en Oppo volgen dat voorbeeld enkel met hun beveiligingsupdates, Android-updates worden drie jaar lang gegarandeerd. Daarmee denken ze concurrenten die vasthouden aan de minimale periode een loef af te steken. Is vervangen dan echt noodzakelijk?

Onderverdeling bij het updatebeleid

De update-termijn staat dus onderverdeeld in twee categorieën: enerzijds is er een Android-updatebeleid (het besturingssysteem) en anderzijds zijn er beveiligingsupdates. Veel smartphonefabrikanten kiezen ervoor een verschillende update-termijn op beide categorieën te plakken.

Het Android-updatebeleid bepaalt in de regel welke versie van Android als laatste naar het toestel gebracht zal worden. Bij beveiligingsupdates daarentegen worden patches uitgerold die gevonden kwetsbaarheden in het besturingssysteem dichten.

Het Android-updatebeleid bepaalt in de regel welke versie van Android als laatste naar het toestel gebracht zal worden. Op dit moment is het in de regel zo dat Android ieder jaar een grote nieuwe versie van zijn besturingssysteem uitbrengt. Lanceerde het toestel dus in het voorjaar van 2022 dan zal het toestel doorgaans gelanceerd zijn met Android 12 dat eind 2021 het levenslicht zag.

Het is vrijwel zeker dat het besturingssysteem van je toestel niet gewoon de combinatie van Android en het versienummer zal noemen. Telefoonmerken passen het besturingssysteem op hun toestellen namelijk aan met bepaalde kenmerken die specifiek zijn voor het merk. Een eigen Android-schil creëren kan wat extra tijd vereisen, waardoor een Androidversie met vertraging naar jouw toestel kan uitrollen.

De tweede grote categorie zijn beveiligingsupdates. Beveiligingsupdates worden in een veel hoger tempo uitgegeven, maandelijks verschijnt er minstens één. Bij deze updates worden patches uitgerold die gevonden kwetsbaarheden in het besturingssysteem dichten. Let wel, draait de telefoon niet op de standaard Android-versie, dan duurt het doorgaans langer voordat de fabrikant de kwetsbaarheden dicht.

Een wettelijk kader rondom de lengte van de updatetermijn ontbreekt. Daar kan volgend jaar verandering in komen door een nieuwe Europese wet waardoor beveiligingsupdates minstens zeven jaar moeten uitrollen.

Geen beveiliging na update-termijn?

Het is belangrijk een smartphone goed veilig te houden, maar ook om zelf bij de les te blijven. Cybercriminelen concentreren zich sinds het laatste jaar namelijk vaker op de mobiele markt om bedrijfsnetwerken binnen te dringen.

Betekent dit nu dat alle remmen los worden gegooid vanaf het moment dat de update-termijn voor beveiligingsupdates vervalt bij jouw toestel? Het lijkt wel zo, maar dat is niet helemaal correct. Kwetsbaarheden in Android kunnen langer op je gsm blijven bestaan zonder oplossing. Bij grote problemen en kwetsbaarheden die echt je veiligheid te veel in gevaar brengen, ontvangen ook toestellen die geen ondersteuning meer krijgen vaak nog patches. Datzelfde geldt voor fabrikanten met een eigen Android-schil.

Bij grote problemen en kwetsbaarheden die echt je veiligheid te veel in gevaar brengen, ontvangen ook toestellen die geen ondersteuning meer krijgen vaak nog patches.

Met het draaien van applicaties zal je op termijn meer last ondervinden. In de regel blijft het mogelijk apps te gebruiken. Vanaf een gegeven moment zal het echter niet meer mogelijk zijn alle apps te draaien. Applicaties stoppen na een tijd namelijk de ondersteuning van verouderde Android-versies.

De tijd dat een applicatie ondersteuning ontvangt, wordt de laatste jaren alsmaar korter. Ontwikkelaars proberen namelijk steeds aan hun app te sleutelen en nieuwe functies naar gebruikers uit te rollen. Deze functies maken gebruik van de hardware van nieuwe toestellen en in oude toestellen ontbreekt op een gegeven moment de benodigde hardware.

Cybercriminelen richten zich tot mobiele markt om bedrijfsnetwerk binnen te dringen

De risico’s

Het risico dat je loopt door met een toestel rond te lopen dat geen updates meer ontvangt, hangt af van wat je als gebruiker ermee uitspookt. Gebruik je geen internet op het toestel, dan zal het moeilijk zijn voor hackers om in te breken op je toestel. Al is het dan eerder de vraag of het verstandig is om werknemers op pad te laten gaan met bedrijfstoestellen die niet langer van internettoepassingen gebruik kunnen maken.

Aanvalstechnieken die niet internetgevoelig zijn, blijven wel nog een risico vormen. Het gaat dan om phishing via sms, smishing, of oplichters die met een telefoongesprek gegevens proberen los te krijgen. Moderne toestellen zijn doorgaans beter beschermd tegen dit risico door een ingebouwde phishing-detectietool.

Geen eeuwig leven

Als het geen optie is om de internetverbinding uitgeschakeld te laten, dan zal het afhangen van de geïnstalleerde Android-versie wat de mogelijkheden zijn.

Heeft je toestel Android-versie 7.1.1 of ouder, dan kan het toestel nog minder voor je betekenen. Heel wat websites met LE-certificaten zijn voor deze Android-versie namelijk niet langer toegankelijk. Check in dat geval of je toestel nog een nieuwere Android-versie kan installeren. Is dat niet het geval, dan overweeg je misschien beter een nieuwer toestel.

Klinkt deze Android-versie als een verre utopie en draait je toestel nog op Android 4.3 of lager, dan zijn de beveiligingsrisco’s onoverkomelijk. Alle toepassingen op deze smartphones die de standaardbrowser openen, zijn namelijk onveilig door kwetsbaarheden in WebView. Het is overigens niet altijd duidelijk dat de standaardbrowser wordt geopend, doordat veel apps deze verbinding draaien in de achtergrond.

Zelf beslissen

De houdbaarheidsdatum van een toestel is simpelweg niet tot in de eeuwigheid te verlengen. Loop je nog met een prehistorisch model, dan blijft het verstandiger een nieuw toestel aan te schaffen.

Al blijkt ook dat de update-termijn die smartphonefabrikanten garanderen eerder een richtlijn is dan een absolute vuistregel. Op een gegeven ogenblik zal je zelf ondervinden dat te veel functies of apps niet langer te gebruiken zijn en kan je rustig op zoek gaan naar een nieuw toestel.

Top drie smartphones voor maximaal 400 euro om budget voor vrij te maken

Ben je na het lezen tot de vaststelling gekomen dat je smartphone aan vervanging toe is? Vind dan inspiratie in onze gids waarin we opsommen welk bedrijfstoestel je best koopt met een maximum budget van 400 euro.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_ga	2 years	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
_gid	1 day	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
cli_user_preference	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
CONSENT	2 years	YouTube plaatst deze cookie via ingesloten YouTube-video's en registreert anonieme statistische gegevens.
cookielawinfo*	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
itdaily_lang	1 year	Deze cookie is nodig om de landnotificatie te verbergen. De landnotificatie wordt getoond als je vanuit een land de website bezoekt, waardoor we ook een specifieke Techzine-editie aanbieden. Die melding kan je verbergen middels deze cookie.
itdaily_theme	1 year	Deze cookie slaat op of je de darkmode of de normale versie wilt inschakelen.
PHPSESSID	1 day	Deze cookie komt vooruit uit standaard PHP-applicaties. De cookie wordt gebruikt om een gebruikerssessie op te slaan en te identiiceren. Het is een sessiecookie die direct wordt gewist bij het sluiten van de browser.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
viewed_cookie_policy	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
wordpress_*	30 days	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.
wp-*	1 day	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.

Cookie	Duration	Description
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
itdaily_views	1 hour	Dit is een basis cookie om bezoekersaantallen per artikel te berekenen.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
VISITOR_INFO1_LIVE	5 months 27 days	Een cookie dat door YouTube wordt geplaatst om de bandbreedte te meten en dat bepaalt of de gebruiker de nieuwe of de oude spelersinterface krijgt.
YSC	session	YSC-cookie wordt ingesteld door YouTube en wordt gebruikt om de weergaven van ingesloten video's op YouTube-pagina's bij te houden.

Betekent geen Android-updates vrij spel voor cybercriminelen?