Digitale Informatieonttrekking uit Smartphones - Een Analyse van de Huidige Situatie

(1)

Media, Informatie en Communicatie

Onderzoeks- en adviesrapport

Afstudeerscriptie Mark Hodgins 500546304

Opdrachtgever : Carla Bombeld (Kenniskring E-Discovery) Praktijkbegeleider : Jan-Jaap Heine & Marjolein van der Linden Beoordelaars : Margriet van Eck-Poppe & Marjolein van der Linden

Informatie & Media 2 juni 2015

(2)

(3)

Inhoud

Voorwoord 6 Managementsamenvatting 7 Opzet 7 Smartphones 7 Informatieonttrekking 8 Actoren 9 Aanbevelingen 9 1 Inleiding 10

1.1 Waarom dit onderwerp? 10

1.2 Wie is de opdrachtgever? 11

1.3 Hoe is dit probleem ontstaan? 12

1.4 Waarom is het een probleem? 12

1.5 Wie is bij dit probleem betrokken? 12

1.6 Waarom deze benadering? 13

1.7 Probleemstelling en Doelstelling 13

1.7.1 Probleemstelling 13

1.7.2 Doelstelling 14

1.8 Deelvragen 14

1.8.1 Wat zijn smartphones en wat moeten we hier in deze context over weten? 14

1.8.2 Wat is gegevensonttrekking? 14

1.8.3 Wie zijn de betrokken partijen? 14

1.8.4 Wat kunnen we doen ter bescherming tegen gewenste of ongewenste

gegevensonttrekking? 14

2 Verantwoording onderzoek 15

2.1 Onderzoeksvormen 15

2.1.1 Deskresearch 15

2.1.2 Kwantitatief onderzoek - Enquêtes 15

Update na het afnemen van de enquêtes 16

2.1.3 Kwalitatief onderzoek - Interviews 18

Update na het afnemen van de interviews 18

Pieter Rees 19

Daniel Verstegen 19

Wouter Slotboom 19

3 Wat is een smartphone? 20

3.1 Inleiding 20

3.2 Wat is een smartphone? 20

3.3 Software 21

(4)

3.3.2 Datawaarde en -veiligheid 22 3.4 Fabrikanten 23 3.5 Besturingssystemen 24 3.5.1 iOS 25 Structuur 25 Jailbreak 26 3.5.2 Android 26 Structuur 27 Custom firmware 27

3.6 Applicaties van derden 28

3.7 Conclusie 29

4 Wat is gegevensonttrekking? 31

4.1 Wat is gegevensonttrekking? 31

4.2 Hoe worden gegevens onttrokken? 31

4.2.1 Gegevens als verdienmodel 31

4.2.2 Onderschepping van communicatie 33

4.2.3 Toegang tot het apparaat 34

4.2.4 Onttrekking via applicaties 35

4.3 Praktijkvoorbeelden van gegevensonttrekking 36

4.3.1 Angela Merkel en de NSA 36

4.3.2 Google Streetview 38

4.4 Conclusie 39

5 Wat zijn de betrokken partijen? 40

5.1 Wie heeft waardevolle informatie? 40

5.1.1 'Gewone' gebruikers 40

5.1.2 Journalisten en activisten 42

5.1.3 Verdachten en criminelen 43

5.2 Wie is op zoek naar informatie? 44

5.2.1 Informatieverkopers 44 5.2.2 Opsporing 45 5.2.3 Afluisteren 46 5.2.4 Spionage 46 5.2.5 Criminaliteit 47 5.2.6 Politieke doeleinden 47 6 Conclusies en aanbevelingen 48 6.1 Smartphones 48 6.2 Gegevensonttrekking 49

6.2.1 Gegevens als verdienmodel 49

6.2.2 Draadloze communicatie 50

6.2.3 Fysieke toegang tot het toestel 51

6.2.4 Applicaties met een verborgen agenda 53

6.3 Actoren 54

6.3.1 Gebruikers 54

(5)

6.3.3 Onttrekkers 56

6.4 Aanbevelingen 56

6.4.1 Afwegen eigen informatiewaarde 56

6.4.2 Voorlichting 57 6.4.3 Praktische maatregelen 58 6.4.4 Verantwoordelijkheid 58 7 Procesevaluatie 60 8 Literatuurlijst 62 9 Bijlage I - Enquêtevragen 66 9.1 Engelse versie 66 9.2 Nederlandse versie 69

10 Bijlage II - Interviewvragen professionals 73

11 Bijlage III - Ruwe resultaten interviews 75

12 Bijlage IV - Ruwe resultaten vragenlijst 76

13 Bijlage V - Geaccordeerd plan van aanpak 88

(6)

Voorwoord

Amstelveen, 2 juni 2015

Voor u ligt mijn afstudeerscriptie voor de opleiding Media, Informatie en Communicatie, afstuurrichting Informatie en Media. Na zes jaar studeren is het dan eindelijk zover, de opleiding wordt afgerond.

Ik wil hierbij mijn voornaamste dankwoord richten aan de opdrachtgever Carla Bombeld van het domein Digitale Media en Creatieve Industrie. Carla heeft mij ontzettend goed begeleid in de laatste fase van de opleiding en heeft mij veel waardevolle praktische en theoretische feedback kunnen geven. Zonder Carla was het afronden van deze scriptie waarschijnlijk een veel stroever proces geweest en daar wil ik haar voor bedanken.

Daarnaast wil ik Marjolein van der Linden danken voor haar steun tijdens de gehele opleiding en voor het meedenken over praktische oplossingen tijdens de laatste fase van de studie. Ook praktijkbegeleider Jan-Jaap Heine wil ik enorm bedanken voor zijn steun in de laatste twee weken.

Tot slot, ter verduidelijking van de aanpassingen sinds het inleveren van de conceptversie is er bij de papieren versie van dit rapport een begeleidende brief bijgevoegd welke ook digitaal te vinden is op de meegeleverde USB-stick: begeleidendebrief.doc.

Ik wens u veel plezier bij het lezen van dit rapport en hoop dat het een interessant perspectief kan bieden op de huidige situatie rondom onze informatieveiligheid en -onttrekking bij het gebruik van smartphones.

(7)

Managementsamenvatting

Opzet

Dit rapport behandelt door middel van literatuuronderzoek, interviews en een vragenlijst de centrale vragen: wat zijn smartphones, hoe vindt op deze smartphones

informatieonttrekking plaats en welke actoren zijn hierbij betrokken. Het grootste deel van het literatuuronderzoek wordt behandeld in de hoofdstukken die respectievelijk de zojuist genoemde onderwerpen behandelen.

Het literatuuronderzoek is voornamelijk online uitgevoerd om het rapport vorm te geven. Ter ondersteuning van de bevindingen zijn professionals uit het werkveld, onder andere applicatiebouwers en beveiligingsexperts, geïnterviewd over hun kijk op het onderwerp, de mogelijk te nemen maatregelen tegen (ongewenste) informatieonttrekking en over de bevindingen uit het literatuuronderzoek.

De centrale vraag ofwel de probleemstelling luidt als volgt: "Hoe ziet gegevensonttrekking er op smartphones uit, welke partijen hebben ermee te maken en wat kan er gedaan ter voorkoming van deze onttrekking?"

Uit deze probleemstelling is de volgende doelstelling voort gekomen: "Inzicht en adviezen bieden in de informatiewaarde, kwetsbaarheden en betrokkenen in het kader van gegevensonttrekking uit smartphones."

Om tot een waardige conclusie te komen voor deze probleem- en doelstelling is het onderzoek verdeeld onder de volgende (hoofd)deelvragen:

Wat zijn smartphones en wat moeten we hier in deze context over weten? Wat is gegevensonttrekking?

Wie zijn de betrokken partijen?

Wat kunnen we doen ter bescherming tegen gewenste of ongewenste gegevensonttrekking?

De interviews hebben plaatsgevonden met drie professionals uit het werkveld waar de vragenlijst is verspreid onder ruim 200 respondenten.

Smartphones

Het eerste hoofdstuk waarin daadwerkelijk onderzoek plaatsvindt, behandelt de definitie van de smartphone. Er wordt onder andere beschreven dat smartphones vele vormen aan kunnen nemen en zeer complex van ontwerp zijn. Verschillende fabrikanten kunnen ervoor kiezen verschillende hardware aan deze apparaten mee te geven. Maar ook draaien er op de apparaten verschillende vormen van de onderliggende

besturingssystemen, zoals iOS bij iPhones en Android bij alle verschillende Android apparaten.

Maar niet alleen de eigenschappen die deze telefoons vanuit de winkel meekrijgen zijn belangrijk. Zeker in de context van dit onderwerp is gebleken dat de verschillende software of applicaties van derde partijen die te gebruiken zijn met deze smartphones het geheel aan mogelijkheden nog meer divers en complex maken.

(8)

Onderliggend aan deze applicaties van derden, zijn er twee grote spelers te herkennen op de huidige smartphonemarkt. We onderscheiden hier Apple en Google, die respectievelijk de besturingssystemen iOS en Android leveren. De standaardbeveiligingen van deze twee systemen blijken nog aanzienlijk van elkaar te verschillen. Waar Android een hoge mate van vrijheid kent voor de gebruiker, is iOS een wat meer gesloten systeem. Dit betekent dat de veiligheidsrisico's voor het gebruik van iOS toestellen minder zijn dan bij het gebruik van Android toestellen.

Informatieonttrekking

In dit onderdeel worden de verschillende vormen van informatieonttrekking beschreven die van toepassing kunnen zijn op smartphones (maar ook op andere apparaten). We herkennen de volgende vier belangrijkste methodes van onttrekking:

verzamelen van gebruikersinformatie, onttrekking uit draadloze communicatie, onttrekking uit de smartphones zelf, onttrekking uit applicaties van derden.

Ten eerste hebben we het bij het verzamelen van gebruikersinformatie over bedrijven die handelen in de informatie over ons smartphone- en internetgebruik. Deze bedrijven bouwen door middel van deze informatie profielen over gebruikers waarmee zij gericht advertentieruimte kunnen verkopen. Dit kan allerlei soorten informatie zijn maar zal voornamelijk bestaan uit de voorkeuren, de locaties, de interesses, het klikgedrag en het sociaal netwerk van gebruikers. We hebben het in dit geval niet altijd over ongewenste informatieonttrekking aangezien deze vorm binnen de wet gebeurt en gebruikers in de meeste gevallen akkoord gaan met de algemene voorwaarden van dergelijke diensten. Toch hebben gebruikers niet altijd door hoeveel informatie er daadwerkelijk over ze verzameld wordt. Voorbeelden van bedrijven die deze vorm toepassen zijn Facebook en Google.

Ten tweede kan de digitale communicatie die iemand verricht met een smartphone onttrokken worden aan het communicatiekanaal. We kunnen hierbij denken aan het afluisteren van het dataverkeer, het misbruiken van open netwerken, het zich toegang verschaffen tot de servers van leveranciers van diensten of telecomproviders en het op afstand hacken van toestellen. Deze vorm wordt vaak gebruikt voor criminaliteit en is niet altijd op te merken door de gebruiker.

Ten derde kan informatie uit de smartphones zelf onttrokken wanneer een kwaadwillende het toestel fysiek in zijn/haar bezit heeft. Dit is vaak het geval bij diefstal of verlies van de smartphone. Criminelen zullen dan de aanwezige informatie op het toestel kunnen afspeuren naar waardevolle informatie om bijvoorbeeld (identiteits)fraude mee te plegen.

Tot slot zien we dat applicaties van derden, vaak verkregen uit de applicatiewinkels voor een bepaald besturingssysteem, verborgen functies kunnen bevatten die misbruikt worden door kwaadwillenden om informatie te onttrekken. Deze informatie wordt vaak om criminele of frauduleuze redenen verzameld. Hier zien we duidelijk de verschillen tussen platformen iOS en Android terug aangezien de standaardbeveiligingen anders geregeld zijn en gebruikers van Android hierdoor meer risico lopen op deze manier informatie kwijt te raken.

(9)

Actoren

In dit onderdeel zien we dat er veel actoren meespelen als het gaat om

informatieonttrekking. Voornamelijk worden hier de gebruikers van smartphones beschreven omdat hier een duidelijk onderscheid te maken is tussen de verschillende risico's die mensen lopen om informatie te verliezen aan een kwaadwillende. Uiteindelijk blijkt dat je deze groep gebruikers kunt onderverdelen in twee grote groepen, de 'gewone' gebruiker en de 'risicogroep'.

Deze gewone gebruikers bestaan uit de gemiddelde Nederlander met een smartphone. Deze personen kunnen het slachtoffer worden van criminaliteit, afluisteren en bedrijven die hun informatie verzamelen om daar winst uit te halen. Interessanter zijn de

risicogroepen omdat zij vanwege hun beroep of andere werkzaamheden aanvullend het risico lopen slachtoffer te worden van onttrekking. Denk daarbij maar eens aan criminelen die afgeluisterd worden, politieke activisten die de aandacht van een tegenstander hebben, journalisten die gevoelig onderzoek doen of medewerkers van een bedrijf die werken met zeer concurrentiegevoelige informatie.

Tot slot, maar desondanks niet onbelangrijk, zijn er alle uitvoerders van

informatieonttrekking. Deze groep is heel groot en moeilijk te beschrijven vanwege de verscheidenheid aan motivaties om informatie te onttrekken uit smartphones. Maar een belangrijke kenmerk van partijen deze groep is dat zij allemaal aan bepaalde informatie waarde hechten. Afhankelijk van deze specifieke informatievraag, zullen deze partijen op zoek naar informatie van de voorgaande gebruikers en deze data, om wat voor reden dan ook, proberen te onttrekken. Een greep uit de mogelijke partijen die tot deze groep behoren zijn bedrijven die handelen in informatie, opsporingsinstanties die

(strafrechtelijk) onderzoek uitvoeren, inlichtingendiensten die burgers of andere partijen afluisteren of criminelen die misdaden willen plegen.

Aanbevelingen

Nu alle kenmerken van smartphones, informatieonttrekking en de actoren duidelijk zijn, zijn er een aantaal aanbevelingen gedaan op het gebied van bescherming en maatregelen. Het belangrijkste hierbij is dat de gebruiker zijn of haar eigen informatiewaarde inschat. Op deze manier kan een afweging worden gemaakt of aanvullende maatregelen ter bescherming van de informatie op de smartphone nodig zijn. Door middel van een korte analyse van de risico's die men loopt, kan er een beter afweging worden gemaakt welke maatregelen tegen onttrekking zouden kunnen beschermen en hoe deze toegepast kunnen worden.

Maar ook voorlichting speelt een grote rol in de bescherming tegen informatieonttrekking. Wanneer gebruikers zich bewust zijn van bepaalde risico's, door middel van

overheidscampagnes, onderwijs en duidelijke informatie en waarschuwingen van fabrikanten, kunnen zij afgewogen risico's maken over het gebruik van bepaalde netwerken, applicaties en andere functie van smartphones.

Tot slot bestaan er een aantal maatregelen die (alle) gebruikers zouden kunnen nemen, alhoewel deze maatregelen voor sommige (risico)groepen interessanter zouden kunnen zijn. Een greep uit deze maatregelen: het niet gebruiken van onbekende netwerken of applicaties, het versleutelen van (draadloze) communicatie, het versleutelen van gevoelige informatie op de smartphone, het toepassen van wachtwoorden en 'wissen op afstand'-functies op de smartphone, het niet aanpassen van de standaardsoftware van het toestel of het instellen van permissies voor applicaties.

(10)

1 Inleiding

Hieronder staat een aangepaste versie van het plan van aanpak voor dit analyserapport. Deze versie is aangepast om tussentijdse bijsturing in het onderzoek zelf te weer te geven en is uitgebreid met bronnen om het verhaal te ondersteunen. De structuur van de onderstaande tekst zal dan ook voor een groot deel de structuur van het plan van aanpak weergeven. Dit plan van aanpak is ter ondersteuning ook toegevoegd in bijlage V (zie pagina 88). Als eerste zal hieronder begonnen worden met de aanleiding to het

onderzoek, waarom is er gekozen voor dit onderwerp. Daarna kan er gelezen worden over de opdrachtgever en de probleem- en doelstellingen van dit rapport. Na dit inleidende hoofdstuk begint het onderzoeksgedeelte van het rapport bij hoofdstuk 3 (zie pagina 20).

1.1 Waarom dit onderwerp?

De aanleiding voor dit onderzoek is voornamelijk de grote media-aandacht geweest die onze digitale veiligheid, vooral sinds 2013 toen het nieuws over de NSA naar buiten kwam, heeft gekregen. Steeds meer blijkt men niet zeker te zijn van de privacy van digitale (online) informatie, zoals is gebleken uit de onthulling over het massaal afluisteren van onze telefoons, onder andere door het hacken van Nederlandse bedrijven op de mobiele communicatiemarkt (National Post, 2015).

Daarnaast is er de laatste jaren een gigantische groei geweest op de smartphonemarkt en wordt een alleen nog maar grotere groei verwacht. Het IDC heeft eind 2014 voorspeld dat we van bijna 1,3 miljard verscheepte smartphones in 2014 omhoog zullen gaan naar bijna 1,9 miljard in 2018 (IDC, 2014). Meer dan de helft (54%) van de Nederlanders bezit eind 2014 een mobiele telefoon waar data mee verzonden kan worden, ofwel een smartphone (Adformatie, 2014).

Mede door het bovenstaande dragen we steeds meer persoonlijke informatie over ons leven bij ons, waaronder onze financiën, ons persoonlijke leven onze contacten. De smartphone begint langzamerhand de computer en laptop de vervangen in een groot deel van onze dagelijkse taken. Het CBS schrijft in 2013 bijvoorbeeld al dat desktop computers tussen 2009 en 2013 steeds minder in het Nederlandse huishouden voorkomen, van bijna 85% in 2009 naar net onder 70% in 2013 (CBS, 2013).

Tegelijkertijd zien we dat het smartphonegebruik in diezelfde periode is gegroeid van een positie in iets meer dan 60% van de huishoudens naar iets minder dan 70% van de huishoudens en alles wijst erop dat deze ontwikkeling door zal zetten.

Het is inmiddels niet ongebruikelijk dat mensen een groot deel van hun e-mail verkeer, bankzaken en andere strikt persoonlijke communicatie via hun smartphone laten verlopen. Hierdoor ontstaat er een zeker risico op gegevensverlies of -diefstal. In 2013 werden alleen al 26.000 fysieke diefstallen van mobiele telefoons geregistreerd (NOS, 2014) en dat komt naar alle waarschijnlijk nog niet eens in de buurt van de informatie die (digitaal) van deze apparaten is onttrokken door onder andere hackers en

inlichtingendiensten.

Daar komt ook nog eens bij dat de beveiliging van deze apparaten veelal niet een prioriteit is bij de gebruikers of zij simpelweg niet op de hoogte zijn van de gevaren van

(11)

onzorgvuldig gebruik. Er bestaan op dit moment bijvoorbeeld geen virusscanners voor smartphones zoals deze voor de desktop computer of laptop bestaan. We laten vaak de instellingen met betrekking tot dataveiligheid en communicatieveiligheid op de

standaardwaarden staan. Dit kan voor allerlei andere partijen aantrekkelijk zijn omdat zij, om wat voor reden dan ook, waarde hechten aan deze persoonlijke informatie. Denk bijvoorbeeld aan de berichten uit 2013 die de onthullingen van Edward Snowden en WikiLeaks hebben beschreven (The Guardian, 2013). Onthullingen en documenten waar nog steeds bijna wekelijks nieuwe vondsten in worden gedaan wat betreft onze digitale privacy en de ondermijning hiervan.

Naast deze dreiging vanuit onze eigen overheden bestaat er ook dreiging vanuit andere kringen. Men ziet de economische schade van bijvoorbeeld skimming en phishing in Nederland al in tientallen miljoenen euro's per jaar lopen (Nederlandse Vereniging van Banken, 2015). Door de steeds grotere prevalentie van smartphones en de informatie die hier (vaak onbeschermd) op is opgeslagen, zou het geen verassende ontwikkeling zijn als de schadeposten op dit gebied alleen maar toenemen, al laten de cijfers op dit moment wel een daling zien ten opzichte van voorgaande jaren (Nederlandse Vereniging van Banken, 2015).

Kort samengevat, we beginnen ons steeds meer bewust te raken van onze verbondenheid, de hoeveelheid informatie die we in de cloud en op onze apparaten opslaan en de gevaren dat dit met zich mee brengt. Toch lijkt men, zoals bij elke technologische vooruitgang, diezelfde vooruitgang niet te kunnen bijbenen als het gaat om de valkuilen en gevaren. Dit is iets dat in de geschiedenisboeken steeds terugkomt wanneer je retrospectief menselijke ontwikkelingen bekijkt. Wisten we 100 jaar geleden tijdens de industriële revolutie bijvoorbeeld al dat we inmiddels het milieu zoveel schade aan zouden doen? Wisten we dat roken zo enorm slecht voor de gezondheid was? Waarschijnlijk niet, of het bewustzijn van deze gevaren was nog niet algemeen geaccepteerd. Vooruitgang is vaak een mooi concept en wordt snel omarmd wanneer het ons als mensheid iets oplevert maar de gevaren komen over het algemeen pas na een tijdje aan bod als we als mensheid weten wat de consequenties van ons handelen zijn.

Daarom is het belangrijk dat er over onze informatieveiligheid vroegtijdig en op grote schaal onderzoek wordt gedaan en de kennis over dit onderwerp wordt vergroot binnen de samenleving. Men wil immers de gevaren voor blijven en het mee-ontwikkelen van ons bewustzijn op dit gebied bevorderen om onverwachte verassingen voor te zijn. Dit heeft geleid tot mijn interesse in het doen van onderzoek dat ons kan helpen in het opstellen van richtlijnen, modellen en tegenmaatregelen om onze informatie te beveiligen en op een juiste manier met onze data om te gaan om een goede basis voor verdere ontwikkelingen te leggen.

1.2 Wie is de opdrachtgever?

De opdrachtgever in dit onderzoek is Carla Bombeld van het Lectoraat E-Discovery (http://ediscoverynl.dmci.hva.nl) aan de Hogeschool van Amsterdam. Dit lectoraat houdt zich bezig met de wetenschap van het onttrekken van informatie en het toepassen van digitale forensics ten behoeve van opsporing en beveiliging voor bedrijven en overheden. Vanwege de bestaande kennis op het gebied van 'gewone' computers is dit een ideale opdrachtgever om samen mee voort te bouwen op de bestaande onderzoeken en het rapport vervolgens te richten op een relatief nieuwe omgeving. Het doel van het onderzoek is dan ook om de fundering te leggen voor verdere uitwerking van bestaande modellen, kennis en adviezen. De opdrachtgever zal de resultaten van dit adviesrapport in

(12)

kunnen zetten doordat het straks als een basis dient voor verdere uitwerkingen als het gaat om uitgebreidere adviezen, modellen (zoals het EDRM-model) en praktische toepassingen.

1.3 Hoe is dit probleem ontstaan?

Zoals uit paragraaf 1.1 (zie pagina 10) blijkt, is het probleem over tijd ontstaan. Het was te voorspellen en ook een kwestie van tijd voordat het zou ontstaan maar men had

misschien niet verwacht dat de ontwikkeling van smartphones de laatste jaren zo'n sprong zou maken. Het is een geleidelijk proces geweest waarbij de ontwikkelingen die het probleem veroorzaken achterlopen op de technologische vooruitgang. Mede door deze vooruitgang, ontstaan er problemen, zoals bij veel technologische vooruitgang het geval is (geweest).

1.4 Waarom is het een probleem?

Men doet steeds meer met smartphones en zal de komende steeds meer gaan doen met deze apparaten zoals de cijfers van het CBS (2013) over de periode 2009 tot 2013 hebben laten zien. Maar de toepassingen waar men een smartphone voor gebruiken zullen ook verder uitgebreid worden. Denk aan de huidige voorspellende functies zoals het indexeren van persoonlijke informatie in Android telefoons en met behulp van informatie uit je persoonlijke e-mail of kalender proactief meldingen weergeven, ook wel Google Now genoemd (Google, 2015). Wat weet men over de veiligheid van informatie bij zulke functies en weet men zeker dat hierbij geen informatie terug gaat naar bijvoorbeeld de servers van Google over ons persoonlijk/zakelijk leven, locatie en gebruik van de apparaten of dat andere partijen tot deze laatstgenoemde informatie toegang hebben?

Er zijn verschillende redenen waarom deze uitbreiding van de hoeveelheid informatie dat verzameld kan worden gevaarlijk kan zijn en daar zal in dit rapport aandacht aan besteed worden. Er had namelijk ook geschreven kunnen worden over de voordelen van deze gigantische hoeveelheden opgeslagen informatie, zoals het toepassen van big data, het persoonlijk kunnen richten van advertenties, de mogelijkheden dat informatie heeft geboden aan opsporing- en inlichtingendiensten, e.d.. Maar, zoals eerder in dit hoofdstuk al aangekaart, deze vooruitgangen en nieuwe toepassingen lopen vooruit op de

beveiliging van onze informatie en daarom is het van belang dat er proactief onderzoek wordt gedaan naar de gevaarlijke kant van dit onderwerp. Voor de voordelen van het verzamelen van allerlei informatie hoef je eigenlijk alleen maar in het bedrijfsleven te kijken naar de oneindig lijkende ontwikkelingen als het gaat om het gebruik van onze informatie. Daarvoor zou je bedrijven als Google en Facebook als voorbeeld kunnen nemen.

1.5 Wie is bij dit probleem betrokken?

Het probleem doet zich voor bij iedereen die betrokken is bij het gebruik van een smartphone. Hierbij hoef je niet meteen een dergelijk apparaat te bezitten maar kun je ook belanghebbende zijn: ontwikkelaar, producent, opsporingsinstantie,

inlichtingendienst, onderneming, crimineel, activist, recherche, of politiemedewerker maar de belangrijkste groep blijft natuurlijk wel de gebruiker en hier zal in dit onderzoek de focus op liggen. Verderop in dit rapport is een geheel hoofdstuk gewijd aan alle actoren die met de verschillende vormen van informatieonttrekking te maken kunnen krijgen (zie

(13)

hoofdstuk 5 op pagina 40) en dit dient dan ook als een van de belangrijkste onderdelen van deze analyse.

1.6 Waarom deze benadering?

Tot slot is het belangrijk dat vermeld wordt waarom dit rapport zich alleen richt op de negatieve aspecten van informatieonttrekking en niet de positieve kanten. Er zou namelijk ook aandacht besteed kunnen worden aan alle vormen van informatieonttrekking die voordelen bieden voor de consument, de maatschappij als geheel en specifieke onttrekkers zoals opsporingsinstanties en justitie.

Deze keuze is gemaakt op basis van de insteek dat er veel informatieonttrekking

plaatsvindt waar consumenten geen weet van hebben. Om een weloverwogen beslissing te kunnen maken over welke vormen van onttrekking gewenst zijn en welke ongewenst, is het belangrijk dat iemand eerst begrijpt wat er precies gebeurt, hoe het gebeurt en waarom het gevaarlijk is. Pas dan kan iemand de juiste beslissing maken als het gaat om het toestaan of tegengaan van informatieonttrekking en begint de afbakening tussen gewenste en ongewenste onttrekking vorm te krijgen, specifiek voor deze gebruiker. Dit rapport dient dan ook om inzicht te bieden in de verschillende gevaarlijke vormen van informatieonttrekking, de actoren die hierin meespelen en de technieken die hiervoor gebruikt worden.

Nog een factor die meespeelt in deze beslissing is dat informatieonttrekking, zoals uit het voorgaande ook indirect duidelijk wordt, in veel gevallen automatisch gebeurt. Dit betekent dat als je er op de een of andere manier een voordeel uit kan halen, je als consument vaak geen handelingen voor hoeft te verrichten. Maar het omgekeerde is waar als het gaat om de nadelen. In deze gevallen moet je vaak juist wel handelingen verrichten om de onttrekking tegen te gaan. Er vanuit gaande dat informatieonttrekking toch wel plaatsvindt (deze aanname maak ik om er heel veel partijen zijn die baat hebben bij het verzamelen en verwerken van allerlei data en wij onbewust deze data overal achterlaten), is het dus belangrijk dat gebruikers of consumenten en goede afweging kunnen maken over de informatie die zij loslaten, waarom zij deze loslaten en hoe deze informatie vervolgens gebruikt kan worden.

Dit onderzoek zal dan ook de focus leggen op de negatieve consequenties van

informatieonttrekking en de positieve aspecten van deze technieken links laten liggen. Uiteraard zal er bij het behandelen van de negatieve aspecten ook duidelijk worden dat er bepaalde voordelen uit te halen vallen maar deze zullen vanwege de keuze voor deze benadering niet verder uitgewerkt worden.

1.7 Probleemstelling en Doelstelling

Hieronder staan de centrale onderzoeksvragen van dit rapport beschreven. In volgorde van vermelding: de probleemstelling, de doelstelling en de ondersteunende deelvragen.

1.7.1 Probleemstelling

"Hoe ziet gegevensonttrekking er op smartphones uit, welke partijen hebben ermee te maken en wat kan er gedaan ter voorkoming van deze onttrekking?"

(14)

1.7.2 Doelstelling

"Inzicht en adviezen bieden in de informatiewaarde, kwetsbaarheden en betrokkenen in het kader van gegevensonttrekking uit smartphones."

1.8 Deelvragen

1.8.1 Wat zijn smartphones en wat moeten we hier in deze context over weten?

Wat is een mobiel apparaat?

Welke standaarden zijn er op het gebied van smartphones? Hoe ziet de ontwikkeling van smartphones eruit?

Welke rol spelen applicaties van derden bij smartphones?

1.8.2 Wat is gegevensonttrekking?

Wat is gegevensonttrekking?

Hoe kan men gegevens onttrekken uit een mobiel apparaat? Welke vormen van onttrekking bestaan er?

Wat zijn hierbij de verschillen tussen een onttrekkingtechniek en een onttrekkingstool? Welke gegevens zijn vatbaar voor onttrekking?

1.8.3 Wie zijn de betrokken partijen?

Welke partijen zijn slachtoffer van gegevensonttrekking en in welke vormen? Welke partijen hebben baat bij gegevensonttrekking en in welke vormen?

1.8.4 Wat kunnen we doen ter bescherming tegen gewenste of ongewenste gegevensonttrekking?

Wat zijn de kwetsbaarheden van smartphones? Met welke beveiliging worden smartphones geleverd?

Wat kan men doen om de standaard beveiliging te verbeteren? Wat kunnen kwetsbare partijen doen om zich te beschermen tegen gegevensonttrekking?

Kunnen er algemene adviezen worden opgesteld met betrekking tot het beveiligen van smartphones?

(15)

2 Verantwoording onderzoek

In dit hoofdstuk zal behandeld worden hoe het onderzoek tot stand is gekomen.

Hieronder vallen zaken zoals de keuze voor bepaalde onderzoeksmethoden, de uitvoering en afbakening van bepaalde onderzoeksvormen en de relatie tussen de verschillende typen onderzoek.

2.1 Onderzoeksvormen

In deze paragraaf wordt beschreven welke typen onderzoek gebruikt zijn voor dit rapport, waarom deze zijn gebruikt, hoe ik de bruikbaarheid van de resultaten heb bepaald en wat eventuele sterke of zwakke punten van deze onderzoeksvormen zijn.

2.1.1 Deskresearch

Ten eerste is er veel gebruik gemaakt van deskresearch. Vanaf de oriëntatiefase van deze afstudeeropdracht is deskresearch een groot onderdeel van het proces geweest.

Deskresearch is een uitgelezen vorm van onderzoek om snel, breed en vanuit verschillende perspectieven kennis te nemen van een onderwerp.

Omdat het thema van deze afstudeeropdracht op dit moment zeer populair is en ik niet de enige ben die hier onderzoek naar uitvoert, heeft oriënterend deskresearch het hele proces goed op gang weten te brengen. Er is veel achtergrondinformatie over het thema te vinden, zeker op het internet, waardoor een goede basis snel gelegd kon worden.

Voornamelijk de hoofdstukken Smartphones, Betrokken Partijen en Gegevensonttrekking zijn voor een zeer groot deel met deskresearch tot stand gekomen. De drie grotere deelvragen zullen dus allemaal in meer of mindere mate op deze vorm van onderzoek gebaseerd zijn, met de nadruk op de inleidende deelvragen over de smartphones zelf.

2.1.2 Kwantitatief onderzoek - Enquêtes

Voor het ondersteunen van het deskresearch is er daarnaast gebruik gemaakt van kwantitatief onderzoek. Deze vorm van onderzoek was vooral relevant voor de inzichten in de behandeling van de relevante groep met de grootste algemene deler, de

smartphonegebruikers. Omdat dit een grote groep is, waarvan we eigenlijk maar oppervlakkige gegevens nodig hebben bij het behandelen van dit thema, was deze groep uitermate geschikt voor het gebruik van kwantiteit onderzoek in de vorm van enquêtes.

Waarom was dit zo? Kwantitatief onderzoek is het meeste geschikt voor het uitdrukken van getallen. Aan de hand van deze getallen kunnen uitspraken of, misschien in het geval van minder overtuigende resultaten, aannames worden gedaan over een bepaalde groep. In dit geval was het belangrijk dat er bepaalde informatie zou worden gewonnen over de smartphonegebruikers om inzichten te bieden in het gemiddelde gedrag van deze groep. Deze personen hoefden niet tot in de diepte onderzocht te worden en het was verder ook niet belangrijk om opinies of beoordelende resultaten te winnen. Daarom kon er prima gewerkt worden met behulp van kwantitatief onderzoek. Voor het ondervragen van de professionals, van wie we juist graag de opinies en beoordelingen over het thema wilden hoeren, was het daarom ook geschikter om gebruik te maken van kwalitatief onderzoek.

De exacte vorm van het kwantitatief onderzoek zal dan ook een vragenlijst zijn, bestaande uit ongeveer twintig vragen, waarbij een mix is gebruikt van vragen die op een

(16)

vijfpuntsschaal kunnen worden beantwoord, ja/nee vragen en korte stukken tekst voor nadere uitleg. Het invullen van de vragenlijst duurt ongeveer vijf minuten. Volgens Steekproefcalculator (2015) zou bij een standaard foutmarge van 5%, een

betrouwbaarheidsniveau van 95% en een onderzoekspopulatie van (in Nederland)

ongeveer 5 miljoen de ideale steekproefomvang ongeveer 385 respondenten zijn. Nog een korte opmerking is dat de enquête vertaald is van het Nederlands naar het Engels. Dit heb ik bewust gedaan omdat een gedeelte van mijn collega's op het werk een Engelstalige of Spaanstalige achtergrond hebben. Toch blijven de resultaten van deze respondenten relevant omdat zij allemaal woonachtig zijn in Nederland en dus behoren tot de doelgroep.

Op het bovenstaande getal is dan ook op gemikt maar ik hou bij de resultaten een slag om de arm aangezien dit een vrij grote steekproef is. Wanneer ik bijvoorbeeld de 200 zou halen dan ben ik zelf al heel tevreden. De resultaten zijn verwerkt in Google Spreadsheets en de daaruit voortvloeiende tabellen en diagrammen worden in de bijlagen van dit rapport bijgesloten, naast hun toepassing ter ondersteuning van de verschillende hoofdstukken van het rapport. De resultaten worden dus in het rapport zelf , met enkele belangrijke voorbeelden, wel al uitvoerig behandeld.

Update na het afnemen van de enquêtes

Helaas is het niet geheel gelukt om het streefgetal van 385 respondenten te vinden om de vragenlijst in te vullen. Aan het einde van de invulperiode blijken er 216 respondenten mee te hebben gedaan aan het onderzoek. Vanwege enkele tegenslagen in het opstellen, nakijken en uitsturen van de enquête, bleek halverwege de invulperiode helaas ook dat binnen mijn eigen netwerk een tekort aan geschikte respondenten te vinden was.

Door het bovenstaande heb ik (helaas) gebruik moeten maken van een financiële tegemoetkoming respondenten te motiveren de vragenlijst in te vullen. Voor een bedrag van €181.50 heb ik de hulp van Thesistools (http://www.thesistools.com) in kunnen schakelen om nog eens 100 respondenten te werven uit hun panel. Dit is een belangrijk punt om aan te stippen omdat er uiteraard twijfels kunnen bestaan over de

representativiteit van deze respondenten. Gelukkig bestaat bij het uitsturen van de vragenlijst de mogelijkheid om bepaalde vereiste eigenschappen van de steekproef mee te geven. Zo is er gekozen voor:

inwoners van Nederland (België uitgesloten van deelname), alle leeftijden,

alle postcodes, mannen en vrouwen.

Zodoende ontstaat er hopelijk toch een redelijke afspiegeling van de Nederlandse bevolking. Daarnaast is het wel belangrijk mee te wegen dat, volgens het Adformatie (2014) maar 54% van de Nederlandse bevolking een smartphone bezit. Wanneer we de geschatte steekproefgrootte van 385 zouden corrigeren aan de hand van dit percentage, komen er 208 respondenten de grootte van de steekproef te vertegenwoordigen. Dit sluit dan weer beter aan bij de meer dan 180 respondenten uit de werkelijke steekproef die een smartphone bezitten. Zie voor een verduidelijking de afbeelding hieronder:

(17)

Afbeelding 1: Bezit smartphones onder de respondenten uit mijn onderzoek.

Zoals uit de volgende afbeelding blijkt, is er een redelijk goede spreiding van bijvoorbeeld de leeftijd onder smartphonegebruikers ontstaan.

Afbeelding 2: Leeftijdsspreiding respondenten vragenlijst.

Zoals te zien is in de bovenstaande diagram bestaat er wel een piek in de jongere

leeftijdscategorieën (25-35) vanwege het feit dat mijn eigen netwerk voornamelijk in deze groep terechtkomt. Een kleine daling is daarnaast te zien in de groep 35-40 jaar. Dit is niet een perfecte afspiegeling van de Nederlandse samenleving maar desondanks ben ik tevreden met de resultaten omdat er in ieder geval respondenten uit alle

(18)

2.1.3 Kwalitatief onderzoek - Interviews

Zoals in de vorige paragraaf al kort beschreven, was de keuze voor verschillende vormen van kwalitatief onderzoek naast kwantitatief logisch vanwege de noodzaak om expertise mee te nemen in de conclusies van het rapport

Er zijn, met betrekking op het behandelde thema, aardig wat personen en organisaties die veel te vertellen hebben. Deze persons of interest zijn ook heel gevarieerd in hun

specialismen, vakkennis en beweegredenen om zich op dit vlak te begeven. We kunnen het bijvoorbeeld hebben over de onttrekkers van gegevens, de slachtoffers van gegevensonttrekking of derde partijen die misschien alleen waarnemen.

Het is mogelijk zo dat de opinies van deze verschillende partijen allemaal zeer

uiteenlopend kunnen zijn. Omdat kwalitatief onderzoek in dit soort gevallen heel relevant kan zijn, is ervoor gekozen om deze onderzoeksmethode hiervoor in te zetten. De

resultaten van deze onderzoeksmethode zullen dan ook niet een op zichzelf staand onderdeel van het rapport zijn maar meer ondersteunend materiaal behorende bij het deskresearch en de conclusies zijn. Het voornaamste doel hiervan is om de deelvragen over de betrokken partijen en de adviezen te ondersteunen, met uitschieters naar de deelvragen over de bescherming en onttrekking.

De exacte vorm van het onderzoek wordt het afnemen van persoonlijke interviews. Deze interviews zullen worden afgenomen bij drie verschillende professionals, alle drie uit met verschillende specifieke kennis over het thema. Deze drie interviews zullen per geval ongeveer 45 tot 90 minuten duren en volledig op audio opgenomen worden. De opnames zijn in de bijlagen van dit rapport te vinden en meegeleverd op een USB-stick.

De interviews zijn bedoeld om de resultaten van het deskresearch te behandelen en algemene vakkennis op te doen aan de hand van de ervaringen, meningen en de

specialismen van de respondenten. De gesprekken worden in een neutrale en persoonlijke omgeving afgenomen waardoor het redelijk informeel blijft. De resultaten van deze onderzoeksvormen worden meegenomen ter ondersteuning van het eerdere deskresearch en om adviezen uit te brengen in het concluderende hoofdstuk.

Update na het afnemen van de interviews

Een vereiste van het afnemen van interviews ter ondersteuning van een afstudeerscriptie is het vinden van genoeg respondenten om genoeg diversiteit en bruikbaarheid in de resultaten te kunnen vinden.

In eerste instantie bestond voor dit rapport het plan om drie respondenten te interviewen. De verantwoording voor het gebruik van minder dan de aanbevolen hoeveelheid was dat deze drie respondenten zulke relevante en verschillende kennis zouden hebben dat aanvullende interviews niet nodig zouden zijn.

Hiervoor waren, via de opdrachtgever en via mijn eigen netwerk, drie tot vier high value respondenten nodig. Helaas hebben de meeste respondenten het af laten weten, soms wel na kort e-mailcontact. Dit was uiteraard een enorme tegenslag in het uitvoeren van het onderzoek. Als een laatste redmiddel ben ik alsnog binnen mijn eigen netwerk op zoek gegaan naar geschikte personen en heb ik toch drie hele interessante gesprekken kunnen voeren.

(19)

Pieter Rees

Het eerste gesprek vond plaats op 11 mei 2015, in het Benno Premselahuis van de Hogeschool van Amsterdam, met collega student en vriend Pieter Rees

(www.pieterrees.nl). Dit was een zeer relevant gesprek omdat ik Pieter al een tijd ken en weet dat hij goed op de hoogte is van de laatste ontwikkelingen op het gebied van front-end ontwikkelen en webdesign. Pieter heeft daarnaast een item gemaakt voor de National Misdaadmeter van de AVROTROS over het beschermen van webwinkels met het oog op digitale criminaliteit. Het volledige programma kan via de volgende link bekeken worden:

http://bit.ly/1cT5dEg.

Daniel Verstegen

Het tweede gesprek vond ook plaats op 11 mei 2015, bij de respondent thuis, in

Amsterdam West. Wederom ging het hier om een goede vriend van mij, Daniel Verstegen. Daniel is geen student maar heeft zichzelf het vak applicatieontwikkeling voor

smartphones aangeleerd. Daarnaast is hij bovengemiddeld geïnteresseerd in

beveiligingvraagstukken en geeft hij presentaties op beurzen en andere evenementen over het beveiligen van netwerken, mobiele apparaten en andere

consumentenelektronica. Zo is hij binnenkort te zien op Night of the Nerds (http://www.nightofthenerds.com) met een demonstratie over kwetsbaarheden in draadloze netwerken.

Wouter Slotboom

Het laatste gesprek vond plaats op 22 mei 2015, in het Marriott Hotel in Amsterdam. Het ging hierbij om een gesprek met beveiligingsexpert en -voorlichter Wouter Slotboom (https://twitter.com/wouter4811). Wouter noemt zichzelf een ethisch hacker en is dan ook een expert als het gaat om het vinden van kwetsbaarheden en maakt er zijn werk van om consumenten, bedrijven en overheidsinstanties hierover voor te lichten en te

assisteren in het nemen van tegenmaatregelen. Wouter is bijvoorbeeld samen met Daniel binnenkort te zien op het hierboven genoemde evenement.

Kort samenvattend, ondanks het niet behalen van de aanbevolen hoeveelheid interviews, ben ik wel van mening dat de gesprekken interessant en ondersteunend genoeg waren om meerwaarde aan dit rapport te bieden en de ontstane conclusies vanuit verschillende perspectieven te belichten.

(20)

3 Wat is een smartphone?

3.1 Inleiding

Om een goed beeld te krijgen van hoe informatieonttrekking plaats kan vinden op een mobiel apparaat, en dan specifiek een smartphone, is het belangrijk dat we eerst de smartphone gaan definiëren. Dit eerste hoofdstuk behandelt daarom de basisinformatie welke nodig is om te begrijpen hoe een smartphone werkt, wat er allemaal mee gedaan kan worden en waarom dit interessant is in de context van informatieonttrekking.

Onder andere de verschillende fabrikanten van huidige smartphones komen aan bod, de besturingssystemen waar deze apparaten op draaien, welke software daar mogelijk standaard onderdeel van uit kan maken en de software die andere partijen kunnen leveren voor deze toestellen. Na dit hoofdstuk zal een begrip van de onderliggende technologieën en applicaties van smartphones leiden tot een beter begrip van de twee volgende hoofdstukken, respectievelijk over de onttrekking en de verschillende actoren die hiermee te maken hebben.

3.2 Wat is een smartphone?

Er zijn op dit moment veel verschillende soorten mobiele apparaten en dit worden er steeds meer. Met mobiele apparaten wordt meer dan alleen de smartphone zelf bedoeld. De technologie onderliggend aan de smartphone heeft de laatste jaren enorme sprongen gemaakt en de inzetbaarheid van diezelfde technologie is steeds breder geworden. Men denkt bij een mobiel apparaat dan ook vaak alleen aan een smartphone of een tablet maar inmiddels zijn er heel veel andere apparaten die draaien op basis van de technologie die oorspronkelijk ontwikkeld was voor alleen de smartphone of de vroege voorlopers daarvan. Zo zijn er tegenwoordig toepassingen voor allerlei soorten apparatuur zoals tablets, smartwatches (zoals de nieuwe iWatch van Apple), huishoudelijke apparatuur zoals thermostaten, mediaspelers en een schat aan andere producten.

Door de verscheidenheid aan toepassingen voor de mobiele markt wordt de

achterliggende technologie gebouwd om zo divers mogelijk inzetbaar te zijn. De inhoud van een mobiele telefoon is daarom eigenlijk niet meer dan een bij elkaar gevoegde verzameling chips in onderdelen (How Stuff Works, z.j.). Al deze onderdelen hebben hun eigen toepassing. Bijvoorbeeld, de microprocessor vormt de feitelijke hersenen van het apparaat, de camera maakt foto’s, de microfoon dient om mee te bellen en geluid op te nemen, het beeldscherm geeft alles weer en zo zijn er nog meer onderdelen die verschillende functies vervullen.

Deze verschillende onderdelen maken samen het mobiele apparaat op, vandaar ook de vele verschillen tussen de apparaten op de huidige markt. Een fabrikant kan er

bijvoorbeeld voor kiezen om alleen een groot scherm en WiFi-connectiviteit in een apparaat in te bouwen en levert daarmee een tablet; de mobiele communicatie antenne ontbreekt hierbij. Was dat laatste ingebouwd, dan hadden we het apparaat geclassificeerd als een smartphone. Dit terwijl de onderdelen in het apparaat misschien precies hetzelfde zijn als een ander product van deze fabrikant dat wel kan bellen maar zonder de mobiele communicatie antenne classificeren we hem toch anders. Je kan het bouwen van een

(21)

mobiel apparaat dus eigenlijk zien als een soort puzzel, naar wens van de fabrikant aan te passen. Men begint met het hart van het apparaat, de microprocessor, en voegt daar naar gelang andere onderdelen aan toe zoals de communicatiechip, de cameralens en -chip, het scherm, de opslag, enzovoorts.

Dit bovenstaande feit is cruciaal voor het begrijpen van de complexiteit van de apparaten en de vele verschillende vormen waarin deze producten zich voor kunnen doen. Toch is er een aantal gemeenschappelijke eigenschappen waardoor we, al is het misschien alleen voor ons gemak en voor marketingdoeleinden, deze apparaten classificeren. Het zit hem hier in de fabrikant en leverancier van het apparaat. Dit zijn namelijk de kenmerken op basis waarvan consumenten deze apparaten herkennen en definiëren.

3.3 Software

In de tekst hierboven hebben we het over de fysieke technologie achter de smartphone gehad. Maar wanneer we specifieker zouden spreken over bijvoorbeeld Android vs. iOS of Google vs. Apple dan komen we dichter in de buurt van de meer praktische en dagelijkse classificering van de smartphone. Consumenten onderscheiden vaak in deze twee

categorieën, aangezien de marketing van de toestellen hierop gebaseerd is. Natuurlijk kan er dan nog steeds onderscheiden worden in fabrikant, maar dit is meer het geval bij de Android toestellen aangezien met Android alleen het besturingssysteem wordt bedoeld en daar veel verschillende varianten van bestaan als het gaat om de hardware. Dat is dan ook meteen het grote verschil met de toestellen van Apple welke alleen door Apple zelf worden geproduceerd. Alle iOS (de tegenhanger van Android) apparaten zijn dan ook van fabrikant Apple en het aanbod toestellen is veel beperkter. Over het algemeen hebben we het hier over een of twee toestellen per jaar. Bij Android loopt dit inmiddels in de vele tientallen per jaar. Toch zijn in 2014 deze twee groepen samen goed voor 84% van het marktaandeel wereldwijd (Adformatie, 2014) maar we zullen later zien dat de verdeling van het marktaandeel van deze twee systemen niet geheel eerlijk is. In paragraaf 3.4 (pagina 23) beschrijft deze fabrikanten verder. Besturingssystemen worden in paragraaf 3.5 (pagina 24) verder behandeld.

3.3.1 Gemeenschappelijke functies

Voordat we met een uitgebreidere beschrijving van de fabrikanten en besturingssystemen doorgaan is het belangrijk dat we verder gaan kijken naar wat we allemaal met deze apparaten kunnen. Dit is belangrijk omdat het in de context van dit rapport gaat om gegevensonttrekking van deze toestellen en we dus willen weten welke informatie er zoal onttrokken kan worden. Daarnaast zijn veel van de functies overlappend, dat wil zeggen dat de meeste functies toepasbaar zijn op zowel de Android toestellen als de iOS toestellen. Smartphones hebben inmiddels vele toepassingen die zeer uiteenlopen in functie. Sinds de eerste ontwikkeling van de applicaties (apps) op de telefoon zoals we die ook kennen van de computer, zijn de mogelijkheden exponentieel gegroeid. Het is nu voor iedereen mogelijk om een applicatie te ontwikkelen die voorziet in een bepaalde behoefte van een specifieke gebruiker.

Deze applicaties hebben de manier waarop we met deze telefoons omgaan drastisch veranderd. Waar we vroeger bijvoorbeeld gebruik maakten van SMS om korte tekstberichten te versturen, is bijna alles nu overgegaan op communicatie via het datanetwerk omdat dit onbeperkt gebruikt kan worden zonder extra kosten. Applicaties zoals WhatsApp (ontwikkelaar: Facebook) en iMessage (ontwikkelaar: Apple) hebben zelfs het verdienmodel van telecomproviders wereldwijd weten aan te passen, zo groot is de

(22)

invloed van deze applicaties geweest. Men verwacht zelfs een nog grotere verschuiving wanneer het door Facebook opgekochte bedrijf WhatsApp zal beginnen met het aanbieden van een bellen-functie (CheatSheet, 2015). WhatsApp alleen al is van 200 miljoen actieve gebruikers in april 2013 binnen twee jaar gegroeid tot 800 miljoen actieve gebruikers in april 2015 (Statista, 2015) en de invloed van deze groei is enorm geweest op de rest van de markt. Uit de volgende afbeelding is deze groei van Facebook duidelijk af te lezen.

Afbeelding 3: De groei van gebruikersaantallen op Facebook tot Q1 2015 (Statista, 2015).

We zien dus dat ontwikkelaars en fabrikanten steeds aan het ontwikkelen zijn en zeer snel gebruik maken van de nieuwste technologie en bijbehorende mogelijkheden. Zodoende worden steeds meer functies die misschien een jaar geleden nieuw en innovatief waren, gemeengoed in de volgende serie producten. Waar de mobiele telefoon tien jaar geleden alleen diende om te bellen en SMS’en, vinden we het nu normaal dat je met een

smartphone je e-mail kunt lezen, je bankrekening kunt beheren en al je social media accounts bij kunt houden.

Daarnaast zie je dat veel fabrikanten en ontwikkelaars heel snel zijn in het overnemen van deze functies van elkaar, waardoor een nieuwe techniek vaak maar kort echt uniek is voordat het wordt overgenomen door alle andere spelers op de markt. Zo raken we steeds sneller gewend aan nieuwe mogelijkheden en zijn deze ook steeds sneller voor gebruikers beschikbaar.

3.3.2 Datawaarde en -veiligheid

Maar persoonlijke communicatie is niet het enige dat is veranderd door de komst van uitgebreidere en meer verbonden telefoons. We hebben bijvoorbeeld ook de opkomst gezien van mobiel bankieren. Tegenwoordig is normaal dat we via een applicatie op de telefoon binnen enkele seconden geld naar elkaar kunnen overmaken (ING, 2015). Eigenlijk is elke aanbieder van een dienst, financieel of anderszins, dat zijn diensten op het internet aanbiedt inmiddels wel overgestapt naar de smartphone. Je doet tegenwoordig niet meer mee als je geen website hebt dat geoptimaliseerd is voor smartphones of een mobiele applicatie aanbiedt.

(23)

Maar deze snelle ontwikkeling is om twee redenen gevaarlijk geweest. Ten eerste, de ontwikkeling gaat sneller dan ooit voorzien. Het gaat zelfs zo snel dat er niet altijd goed nagedacht wordt over de gevaren en mogelijk misbruik in de toekomst. Applicaties worden zeer snel ontwikkeld en het meegaan met de markt op dit vlak kan in sommige gevallen prioriteit hebben boven de veiligheid van het gebruik van de applicatie. Hierover heb ik een aantal vragen gesteld aan mensen uit het werkveld, welke verderop in dit rapport worden beschreven in hoofdstuk 6 (pagina 48).

Maar daarnaast blijken ook steeds vaker encryptie- en beveiligingssleutels, welke onderliggend gebruikt worden voor de veiligheid van onze digitale communicatie, geen dataveiligheid te kunnen garanderen. Dit is bijvoorbeeld gebleken uit de Heartblead-lek. Pas na lang gebruik kwam men erachter dat de SSL encryptie, waar het gros van de huidige websites en mobiele applicaties gebruik van maakt, via een man-in-the-middle attack kwetsbaar was, en in sommige gevallen nog steeds is (De Volkskrant, 2015). Kort samengevat, een man-in-the-middle attack is een aanval van een hacker waarbij het communicatieproces tussen de server en de gebruiker wordt onderschept en de

communicatie zodoende aangepast kan worden, zonder dat zender of ontvanger hier erg in hebben. Dit leidt vaak tot het manipuleren van de communicatie om misbruik te maken van de verbinding.

Bovenstaande maakt duidelijk dat snelheid ten koste gaat van veiligheid. Pas wanneer er een probleem optreedt, kijken we naar de gevolgen hiervan. Maar, zoals uit een aantal case studies zal blijken, kan er al aanzienlijke schade zijn ontstaan. In hoofdstuk 5 (pagina 40) wordt meer over de gevolgen en actoren op dit gebied zal worden gesproken.

3.4 Fabrikanten

Er zijn een aantal grote spelers op de huidige smartphonemarkt, schrijft Adformatie (2014). De bekendste op dit moment is misschien wel Apple. Dit lijkt bij nader inzien toch een sterk staaltje marketing aangezien zij zeker niet het grootste marktaandeel hebben van alle leveranciers (eind 2014 maar 14,8%). Op dit vlak is Google zeker de grootste. Hoewel zij het grootste deel van de telefoons die onder hun merknaam Android niet zelf produceren, levert eind 2014 toch 81.7% van de smartphone makers toestellen met het besturingssysteem van Google (IDC, 2014). Naast Apple en Google zijn er nog vele andere spelers, waaronder Nokia, Samsung, Huawei en een zeer groot aantal kleinere spelers. Al deze fabrikanten bedienen verschillende delen van de markt en de segmentatie op het gebied van smartphones is dan ook zeer groot. Er is een eindeloos spectrum aan prijsklassen, variërend van toestellen van 50 euro tot toestellen die voor 1000 of meer euro over de toonbank gaan.

De doelgroepen voor deze verschillende toestellen zijn dan ook sterk gesegmenteerd. Maar er wordt niet alleen op prijs gesegmenteerd, er wordt ook op functies

gesegmenteerd en dat is in deze context misschien wel het belangrijkst. We zien

bijvoorbeeld smartphones die zijn gericht op muziekliefhebbers (de iPhone bijvoorbeeld, oorspronkelijk een variatie van de welbekende iPod), we zien smartphones die gemaakt worden voor gamers (de Sony Experia Z3v, welke met een PlayStation 4 verbonden kan worden om buitenshuis alsnog te gamen op de gamesconsole die thuis staat),

smartphones die gemaakt worden voor videoliefhebbers, smartphones met grote schermen voor de internetjunkie en de alleskunner-smartphones, vaak het duurste segment van de markt. Al deze verschillende soorten apparaten maken gebruik van verschillende technologie, besturingssystemen en bezitten verschillende functies.

(24)

Afbeelding 4: Functies waarvoor de respondenten de smartphone gebruiken.

De grootste spelers zijn hierbij toch weer toonaangevend. De smartphones van bijvoorbeeld Apple horen bij de alleskunners. Dit zijn de vooraanstaande, meest technologisch geavanceerde en op veel vlakken de trendsettende apparaten. De Apple iPhone en bijvoorbeeld de Samsung Galaxy S5 zijn hierbij de echte topmodellen. Deze apparaten kenmerken zich doordat zij de nieuwste functies aanbieden, gebruikmaken van de nieuwste en meest geavanceerde technologie en in het algemeen voorop lopen als het gaat om hard- en software. Maar mede dankzij deze moderne technologie zijn deze toestellen ook het meest vatbaar voor fouten, digitale criminaliteit en diefstal.

Het gevaar van dit laatste is vrij voor de hand liggend, immers wanneer je een duur nieuw toestel uitbrengt is deze ook gewild bij dieven. Het probleem hiervan is dat niet alleen de telefoon wordt gestolen maar ook alle informatie die aanwezig is op het toestel. Zeker wanneer het gaat om een toestel met veel (nieuwe) functies, is er een verscheidenheid aan informatie die zeker niet onderschat moet worden. Wanneer je bijvoorbeeld nu een van de nieuwste iPhone modellen kwijt zou raken dan hebben we het niet alleen meer over je telefoonnummers en de inhoud van je berichten maar mogelijk ook over de inlogcodes van je e-mailaccounts, de inlogcodes van je bankapplicatie, in sommige gevallen zelfs een in de hardware opgeslagen afdruk van je vinger(s). Al deze informatie in een mooi gebundeld formaat is inmiddels veel waardevoller dan het toestel zelf. Vorige jaar werd er zelfs geschreven dat op de zwarte markt de inlogcodes van je sociale media accounts meer opleveren dan een gestolen creditcardnummer (New Media Knowledge, 2014).

3.5 Besturingssystemen

Zoals hierboven wordt beschreven, zijn er een aantal grote spelers op de markt voor smartphonesoftware. De twee bekendste en meest gebruikte besturingssystemen zijn Android van Google en iOS van Apple. Daarnaast zijn er nog een aantal grote, wel minder populaire, spelers op deze markt: Nokia’s Symbian, Microsoft’s Windows Mobile en BlackBerry OS van gelijknamige fabrikant BlackBerry. We zullen ons hier voornamelijk richten op de twee grootste spelers en deze besturingssystemen hebben dan ook allebei

(25)

een eigen onderdeel gekregen in dit hoofdstuk. In de diagram hieronder kun je ook aflezen hoe de verdeling was onder mijn eigen steekproef, wat de cijfers in paragraaf 3.5.1 over het marktaandeel gedeeltelijk zal ondersteunen, hoewel in mijn eigen onderzoek de iPhone gebruikers oververtegenwoordigd zijn.

Afbeelding 5: Type smartphonebezit onder de respondenten uit mijn onderzoek.

3.5.1 iOS

iOS is een van de meest gebruikte besturingssystemen op dit moment, na Android (respectievelijk 14,8% en 81,5%). Het draait in vrijwel dezelfde vorm op alle apparaten die Apple op de markt brengt. Dit betekent dat het een zeer gestandaardiseerde vorm van een besturingssysteem is. Het draait onder andere op de iPod, iPad en iPhone (Apple, 2015), alle drie apparaten met zeer verschillende doeleinden. Door iOS op alle apparaten te gebruiken, kunnen applicaties en functies onbeperkt uitgewisseld worden. Wanneer er een update uitkomt voor iOS, dan komt deze in het algemeen uit voor alle apparaten tegelijk. Dit maakt het voor de ontwikkelaar makkelijker om software te ontwikkelen en voor de gebruiker eenvoudig om applicaties op meerdere toestellen te gebruiken. Maar daarnaast maakt het voor de kwaadwillende ook mogelijk om informatie te onttrekken van een groter aantal apparaten tegelijk. Updates komen ongeveer elk jaar uit, tegelijkertijd met de release van nieuwe toestellen, en tijdens hetzelfde jaar worden kleinere updates uitgebracht die eventuele problemen of beveiligingslekken oplossen.

Structuur

iOS is gebaseerd op het Darwin platform en werkt in principe, in uitgeklede vorm,

hetzelfde als de besturingssystemen van Apple die zijn ontwikkeld voor de PC markt, zoals OS X. Het mobiele besturingssysteem is opgebouwd uit vier lagen (Apple, 20140, die het besturingssysteem van alle iOS apparaten vormen. Deze zijn in aflopende mate beveiligd. Een applicatie zal alleen toegang krijgen tot de lagen die nodig zijn voor het gebruik en Apple voert een strikt beleid als het gaat om de toegang tot deze verschillende lagen (Venture Beat, 2013). Applicaties van derden moeten altijd worden goedgekeurd voordat deze in de App Store mogen verschijnen, en hebben daardoor nooit toegang tot meer vitale onderdelen van het besturingssysteem dan nodig is. De binnenste laag van het besturingssysteem zal dan ook niet zomaar toegankelijk zijn voor applicaties van derden.

(26)

Jailbreak

Niet alle smartphonegebruikers, zeker de technisch handigere smartphonegebruikers, zullen altijd gecharmeerd zijn van de beperkingen die de fabrikant van het toestel meelevert. Dit zie je bij zowel de gebruikers van Apple als van Google. Bij beide systemen bestaat er de mogelijkheid om ingebouwde lagen te omzeilen en beveiligingen deels te verminderen. Bij de iOS toestellen noemt men dit Jailbreaken. Dit houdt in het kort in dat door een fout in de software van het toestel uit te buiten, er toegang verkregen kan worden tot de meest gevoelige lagen van het besturingssysteem. Door deze zwakte (ook bekend als een exploit) uit te buiten, kan een aangepaste versie van het oorspronkelijke besturingssysteem naar het apparaat verstuurd worden en het standaardfunctioneren van het apparaat aangepast worden met niet-geverifieerde code. Hierdoor worden functies beschikbaar die de fabrikant nog niet ontwikkeld heeft of bewust niet geïmplementeerd heeft.

Gebruikers voeren om verschillende redenen een Jailbreak uit. Zij missen bepaalde functionaliteit op het apparaat, willen functionaliteit implementeren die de fabrikant vanwege bedrijfsmatige of beveiligingsredenen niet wil uitvoeren, willen gewoon experimenteren en de hard- en software voor andere doelen inzetten zoals het

ontwikkelen van eigen code en hiermee spelen of zij willen gebruik maken van software zonder ervoor te betalen. Deze vorm aan aanpassing van de standaardsoftware zie je ook terug op Android toestellen en daar zal ik het in het volgende onderdeel ook kort over hebben.

Een bijverschijnsel van deze toegang tot alle lagen van het besturingssysteem is dat het apparaat ook open komt te staan voor toegang van buitenaf. Toegang die misschien wel ongewenst is en tot gevaarlijke situaties kan leiden. Een voorbeeld hiervan is dat bij een Jailbreak het root password open kan komen te staan. Het root password is het meest belangrijke wachtwoord op het hele toestel omdat het toegang geeft tot alle belangrijke functies van de telefoon. Iemand die het root password heeft, heeft in feite controle over alle functionaliteit van de smartphone.

Een gebruiker die een Jailbreak uitvoert en verzuimt dit wachtwoord aan te passen, loopt het risico dat anderen via een netwerkverbinding of fysiek toegang tot het toestel informatie kunnen onttrekken aan het apparaat. Los van de bovenstaande risico's op het gebied van Jailbreaken heeft Apple een zeer degelijke beveiliging op de eigen toestellen geïmplementeerd. Een greep uit de maatregelen die Apple neemt:

standaard encryptie toepassen op het bestandssysteem;

het automatisch wissen van data als de pincode te vaak fout wordt ingetoetst; het versturen van de actuele locatie naar de gebruiker bij de diefstal;

restricties toepassen op applicaties van derden.

Toch is iOS niet geheel vrij van beveiligingsrisico's aangezien geen enkele beveiliging perfect is maar daar zal ik het hoofdstuk 4 (pagina 31) verder over hebben.

3.5.2 Android

Naast iOS is Android een van de grootste aanbieders van besturingssystemen op de markt voor smartphones en andere mobiele apparaten (IDC, 2015). Deze software wordt door niet alleen door Google op haar eigen toestellen uitgebracht maar wordt door veel andere producenten op smartphones, tablets en andere apparaten gebruikt. Het is hiermee een veel breder inzetbaar platform dan de software van Apple, welke alleen op de eigen apparaten wordt ingezet. Android is desondanks vergelijkbaar met systemen van Apple

(27)

aangezien de meeste applicaties die voor de software van Google worden ontworpen op een breed scala aan apparaten te gebruiken zijn zoals dat op iOS ook het geval is. Dit betekent dat een applicatie voor een Samsung apparaat net zo goed zal werken op een apparaat van Google zelf, mits de hardware de functies van de software ondersteunt.

Het systeem van Android is, in tegenstelling tot dat van iOS, gebaseerd op een open-source licentie. Dat betekent kort gezegd dat de onderliggende software vrij aanpasbaar is en door iedereen is in te zetten om eigen code toe te voegen of bestaande code te verwijderen om een eigen pakket samen te stellen. In de praktijk worden de meeste apparaten toch geleverd met een deel open-source code en een deel

gelicenseerde code, wat betekent dat het aanpassen van de software niet altijd mogelijk of toegestaan is (Computerworld, 2014). Nog een tegenstelling ten opzichte van iOS is dat Android gebouwd is op basis van Unix, een programmeertaal die al lang bestaat en gebruikt wordt voor veel doeleinden, zoals onder andere het Linux platform, een ander open-source besturingssysteem maar dan voor de PC markt.

Zo zie je dat beide besturingssystemen, zowel die van Apple als van Google, zijn gemaakt op basis van al langer bestaande platformen, veelal voor de PC markt, en al breed ingezet voor andere doeleinden.

Structuur

Android is net als iOS en vele andere besturingssystemen opgebouwd uit een aantal lagen waardoor het functioneren van de software gecompartimentaliseerd blijft. Op alle lagen van het Android besturingssysteem zal ik hier verder niet ingaan maar we kunnen hier voor het gemak de aanname maken dat de basisstructuur veel op die van iOS lijkt. Dit betekent wederom dat verschillende applicaties toegang kunnen hebben tot de verschillende onderdelen van het besturingssysteem en alleen de functies kunnen aanspreken waar zij gebruik van zouden moeten maken.

Toch is er een fundamenteel verschil bij Android toestellen ten opzichte van de iOS toestellen. Google voert een veel minder strikt softwarebeleid uit (Abouttech, z.j.) met minder strikte toegangsregels tot de Google Market (de App Store variant van Google). Hierdoor kunnen in sommige gevallen applicaties zelfs zonder goedkeuringsproces geïnstalleerd worden. Dit mes snijdt aan twee kanten. Aan de ene kant heb je als Android gebruiker veel meer vrijheid om te doen en laten wat je wilt, applicaties te installeren, aanpassingen te maken aan de standaardsoftware en zo je apparaat naar wens te gebruiken. Aan de andere kant staat het besturingssysteem veel meer open voor gevaren van buitenaf. Een gevolg hiervan is dat bijvoorbeeld in een zakelijke omgeving, waar dataveiligheid een belangrijk rol speelt, bedrijven vaker Apple toestellen zullen inzetten dan Android toestellen, simpelweg omdat de beveiliging beter is geregeld. Dit gaat ten koste van de marktaandeel op de zakelijke markt (Emerce, 2014).

Custom firmware

Net zoals bij iOS is er bij Android de mogelijkheid om het besturingssysteem te ontdoen van de standaardbeperkingen die er vanuit de fabrikant op zijn geleverd. Bij Android zijn er twee verschillende technieken om tot deze aanvullende toegang te komen. Deze hebben veel met elkaar gemeen. Ten eerste is er het rooten. Net zoals bij de iOS toestellen verkrijgt men hiermee toegang tot de kernfuncties van het apparaat (Computer!Totaal, 2011). Het woord rooten is afgeleid van het root password, het wachtwoord at toegang verschaft tot de basisfuncties van de telefoon en de gebruiker alles laat uitvoeren wat hij of zij wil.

(28)

Met dit root password is het ook mogelijk om zogenoemde custom firmware te

installeren. Dit is eigenlijk een aangepaste versie van het besturingssysteem, net als bij de iOS toestellen, die de gebruiker de mogelijkheid geeft alle meegeleverde beveiligingen van het toestel te omzeilen en restricties te verwijderen. Hierdoor kan er eigen software worden geïnstalleerd en liggen de mogelijkheden tot het naar wens aanpassen van de instellingen open. Wederom liggen hier gevaren in, waaronder de onttrekking van data.

3.6 Applicaties van derden

Een grote verandering op de smartphonemarkt kwam in 2008 toen Apple de ‘App Store’ introduceerde voor haar iPhone modellen (Wikipedia, z.j.). Deze introductie signaleerde een nieuw tijdperk in de wereld van smartphones en opende de deur voor allerlei ontwikkelaars om applicaties te gaan schrijven voor deze telefoons. Bedrijven sprongen van alle kanten op deze nieuwe mogelijkheden. Om weer te geven hoe deze groei is verlopen, is hieronder een diagram te zien waarin de cijfers over beschikbare apps per (grote) applicatiewinkel te zien zijn.

Afbeelding 6: De groei van het aantal beschikbare apps per applicatiewinkel tussen 2010 en 2014 (Appfigures, 2015).

Naast de apparaten en software van de fabrikanten zelf is er natuurlijk een groot aantal applicaties voor alle bovenstaande toestellen die niet standaard meegeleverd worden. Hier zit misschien wel het grootste gevaar voor gewone gebruikers in. Waar de

leveranciers van besturingssystemen standaardbeveiliging meestal wel op orde hebben, is dit bij applicaties niet altijd het geval. Het gevaar zit hem hier in het gemak en de eenvoud van het uitbrengen van een applicatie. Het enige wat er in feite nodig is voordat een

(29)

applicatie door miljoenen gebruikers geïnstalleerd kan worden, is dat de applicatie door de keuring van de leverancier van het besturingssysteem komt. In het geval van Apple is het nodig dat er goedkeuring komt om in de 'App Store' te verschijnen. Nu is het zo dat deze goedkeuring in het geval van iOS applicaties redelijk streng is. Zo streng zelfs dat Apple de keuze heeft gemaakt om te filteren op content. Pornografische of andere mogelijk (grafisch) schokkende of volwassen content zal bij voorbaat al niet door de keuring komen. Apple blijft in dat opzicht een redelijk conservatief Amerikaans bedrijf en gelooft in het op voorhand beschermen van gebruikers tegen mogelijk ongewenste content (Abouttech, z.j.).

Maar niet alleen de content wordt beoordeeld. Ook het broncode van applicaties wordt door Apple gecontroleerd op kwaadaardige of slecht geschreven code. Zitten er mogelijk backdoors (zoals de naam al zegt zijn dit achterdeuren in de software waardoor derde partijen er op een later tijdstip nog toegang toe hebben) in de software verwerkt waarmee applicatie bouwers informatie van het toestel weg kunnen sluizen, wordt er onnodig informatie opgeslagen in de applicatie of vraagt de applicatie toegang tot informatie op het toestel welke het voor het functioneren helemaal niet nodig heeft. In deze gevallen kan de keuringsafdeling ervoor kiezen om de applicatie te weigeren uit de App Store. Met andere woorden, Apple neemt een gedeelte van de eigen

verantwoordelijk van de gebruiker over en probeert te beschermen tegen kwaadwillenden.

Bij Android ontbreekt dergelijk strenge controle. Applicaties kunnen goedgekeurd worden en een certificaat van veiligheid meekrijgen maar is het verkopen van een

ongecontroleerde applicatie redelijk eenvoudig is en zijn de beperkingen die Google oplegt minder streng dan bij Apple (Abouttech, z.j.). In sommige gevallen is het niet eens nodig om de Android Market, zoals de applicatiewinkel van Google heet, te gebruiken om een applicatie te installeren. Dit zet de deur wagenwijd open voor ontwikkelaars die misschien andere doelen nastreven dan een functionele applicatie bouwen voor smartphonegebruikers.

Dit gevaar wordt vergroot door het rooten of jailbreaken van het toestel. Het zal in dit rapport onmogelijk zijn om alle gevaren hiervan specifiek te behandelen, maar in hoofdstuk 5, (pagina 40), zullen we verder ingaan op de mogelijkheden om informatie te onttrekken uit de smartphones van gebruikers.

3.7 Conclusie

Zoals de bovenstaande beschrijving laat zien, zijn er veel variabelen bij het definiëren van de term smartphone. Toch blijkt dat de onderliggende structuur van smartphones op veel platformen op een gelijkwaardige manier is opgebouwd. De meeste besturingssystemen zijn gebaseerd op bestaande platformen, ontwikkeld voor de PC-markt of voor andere apparaten, en zijn daarna aangepast voor het gebruik op een mobiel apparaat. Hierbij zijn de besturingssystemen in lagen opgebouwd, welke het functioneren van verschillende onderdelen van het systeem van elkaar moeten scheiden. Deze scheiding van het systeem zorgt ervoor dat applicaties, zowel van de fabrikant van het toestel als die van derde partijen, toegang hebben tot de juiste onderdelen van besturingssystemen terwijl toegang tot onnodige onderdelen wordt beperkt. Zodoende wordt de veiligheid van het systeem vergroot en kunnen fabrikanten dataveiligheid verzekeren op hun toestellen.

Daarnaast hebben we gezien dat de samenstelling van de hardware van deze smartphones in grote mate van elkaar kan verschillen. Fabrikanten kunnen ervoor kiezen bepaalde

(30)

onderdelen wel of niet toe te voegen, al naar gelang hun marketingstrategieën voor verschillende toestellen. Dit zorgt dan wel weer voor een hoge mate van complexiteit voor zowel de gebruikte hard- als software. Immers, de meeste besturingssystemen moeten op veel verschillende apparaten draaien, niet alleen smartphones maar ook tablets,

mediaspelers en andere gadgets zoals smartwatches.

Door deze hoge mate van complexiteit wordt het beveiligen van de systemen dan ook weer ingewikkelder. Wat het geheel nog complexer maakt is dat fabrikanten, naast hun standaardapplicaties zoals de telefoon, browser en camera, ook applicaties van derden toestaan voor het gebruik op hun toestellen. Hier ligt een groot gevaar voor de dataveiligheid, zeker wanneer de beveiliging van het besturingssysteem minder goed geregeld is zoals bij Android ten opzichte van iOS.

Wat we dus zien is dat er heel veel variabelen meespelen in de bouw, uitvoering en het dagelijkse gebruik van smartphones. Deze variabelen spelen allemaal mee in het uiteindelijke beveiligen van de toestellen en leiden tot aanzienlijke beveiligingrisico's, zeker gezien het huidige gebruik van smartphones. We zullen het in de volgende twee hoofdstukken meer gaan hebben over deze risico’s, de partijen die gebruik maken van informatieonttrekking en hun motivaties.