Mobiele security stopt niet bij Android en iOS

donderdag, 2 juli 2026 (17:17) - Computable

In dit artikel:

De beveiliging van smartphones draait niet alleen om updates, versleuteling en beheer via MDM of EMM, maar steeds meer om de onzichtbare lagen daaronder. Dat blijkt uit onderzoek van de University of Birmingham en uit analyses van Amnesty International over de spywaremarkt. De kern van het probleem: een toestel is geen simpel apparaat, maar een keten van hardware, firmware, radioverbindingen, sim-functionaliteit en telecomnetwerken die grotendeels buiten het zicht van organisaties vallen.

De University of Birmingham wijst vooral op de baseband, de verborgen communicatielaag die Android- en iPhones verbindt met 2G-, 3G-, 4G- en 5G-netwerken. Deze software draait op een aparte chip, is meestal gesloten en moeilijk onafhankelijk te controleren. Onderzoekers gebruiken systemen zoals FirmWire om baseband-firmware in een gecontroleerde omgeving te testen; daarbij zijn inmiddels meer dan twintig kwetsbaarheden in 2G- en 4G-stacks blootgelegd, waarvan sommige later zijn verholpen door partijen als Google, Samsung en MediaTek.

Ook simkaarten blijken geen passieve identiteitsdragers, maar kleine computers met eigen risico’s. Afhankelijk van de implementatie kunnen ze acties starten zoals locatie delen, sms versturen of een browser openen. Volgens de onderzoekers bestaan aanvallen op sim en toestel uit drie hoofdvormen: fysieke compromittering, aanvallen via beheer van de operator en fouten in de simsoftware zelf. Daardoor kan een apparaat volledig compliant lijken binnen een bedrijfsbeleid, terwijl de onderliggende telecomketen nog steeds kwetsbaar is.

Die kwetsbaarheden zijn extra zorgwekkend door de commerciële spyware-industrie. Amnesty International beschrijft hoe bedrijven complete aanvalsketens verkopen, van exploits tot infectie-infrastructuur. Daardoor kunnen fouten in baseband, browser, sim of netwerkprotocollen worden omgezet in handelbare surveillancecapaciteit. Aanvallen kunnen plaatsvinden via directe nabijheid, bijvoorbeeld met malafide basisstations of wifi-netwerken, maar ook op grotere schaal via internetproviders of gateways die verkeer omleiden naar exploitservers.

Voor CIO’s, CISO’s en overheden betekent dit dat mobiele veiligheid een governance- en soevereiniteitskwestie is geworden. Niet alleen het toestel moet veilig zijn; ook leveranciers, firmware, telecomproviders, roamingpartners en standaardisatieprocessen vormen samen een beperkt verifieerbare vertrouwensketen. Formele exportcontrole of regulering biedt daarbij geen volledige garantie, zeker niet bij spyware die moeilijk technisch af te bakenen of onafhankelijk te auditen is.

De belangrijkste les voor organisaties is dan ook dat mobiele security breder moet worden bekeken dan alleen apparaatbeheer. Firmwaretransparantie, onafhankelijke testbaarheid, strengere eisen aan leveranciers en aandacht voor de hele telecomketen worden steeds belangrijker.

BEKIJK OOK:

Het Oranje Café: Maurice Steijn over transfer Dumfries naar Real Madrid: 'Daar moeten we als Nederland trots op zijn!'