7 verbeteringen voor bedrijfsbeveiliging in iOS 7
iOS heeft, vergeleken met andere besturingssystemen, heel wat minder te stellen gehad met beveiligingsproblemen in het verleden. Apple kon het zich daarom permitteren om zich minder bezig te houden met het inbouwen van veiligheidsdeuren dan andere fabrikanten, waardoor securityspecialisten van derde partijen de ruimte hadden om die apart aan te bieden.
Deze bedrijven, samengevat onder de noemer Mobile Application Management (MAM) geven IT-beheerders de middelen in handen om het gebruik van mobiele toestellen te controleren en beheren. Juist op dat gebied vinden we in iOS 7 een aantal sterke verbeteringen, die het deze specialisten lastiger zal maken om hun waren aan te prijzen.
Er zijn in dit overzicht functies die iedereen aanspreken, zoals de vingerafdrukbeveiliging Touch ID en ‘remote lock’, die verloren of gestolen iPhones en iPads beschermt. Er zijn echter ook verbeteringen die minder voor de hand liggen, maar daarom niet minder belangrijk zijn.
[related_article id=”158256″]
We zetten de zeven belangrijkste veiligheidsverbeteringen van iOS 7 op een rijtje.
Zoek mijn iPhone, nu op slot vanop afstand
Als je je telefoon kwijt bent (aan een dief), kun je Zoek mijn iPhone gebruiken om het op te sporen of vanop afstand te wissen. In iOS 7 wordt deze functie sterk verbeterd, met de mogelijkheid om een boodschap op het scherm weer te geven die elk gebruik van het toestel verhindert.
Zelfs als een toestel wordt gewist, zal iOS 7 alle gebruik nog steeds blokkeren tot de geregistreerde eigenaar zichzelf aanmeldt met de juiste iCloud-account.
Deze toevoeging is uiterst belangrijk voor alle gebruikers, of ze hun toestel nu op het werk of daarbuiten gebruiken. Iedereen wil zijn verloren of gestolen iPhone terug, zonder dat iemand anders bij hun persoonlijke gegevens kan.
Dankzij deze blokkade, die ook al te vinden is bij Android en Windows Phone, worden smartphones een stuk minder aantrekkelijk voor mogelijke dieven, omdat het nu eenmaal onmogelijk is een toestel te verkopen dat je niet kunt gebruiken.
Als IT-beheer het wil, kan het de Zoek Mijn iPhone-instelling gebruiken via de nieuwe MDM-interface (daarover later meer). Het is mogelijk om het toestel als ‘verloren’ in te stellen, maar als de iPhone/iPad weer terecht is, zal de eigenaar van de iCloud-id wel zijn gegevens moeten invoeren om deze optie weer uit te schakelen.
Apple maakt inhaalslag mobiel beheer
Mobile Device Management, ofwel mobiel toestelbeheer is een uitvinding van BlackBerry, maar Apple pikte het idee handig met een kloon van BlackBerry’s API. Het bedrijf uit Cupertino stelde die vervolgens beschikbaar aan externe ontwikkelaars.
Bedrijven als MobileIron, AirWatch en Good Technology zijn groot geworden als privébeveiligers voor iOS, maar de API van Apple was vooralsnog te beperkt. Deze specialisten moesten daarom noodgrepen bedenken die nauwkeurig en betrouwbaar toestelbeheer mogelijk maakte.
Deze technieken zijn in het wereldje bekend geworden als Mobile Application Management (MAM) en Enterprise Mobilitiy Management (EMM).
Met iOS 7 heeft Apple de mogelijkheden voor mobiel toestelbeheer enorm uitgebreid. IT-beheerders kunnen nu bijvoorbeeld een iOS-gebruiker beletten om accounts te wijzigen of te verwijderen van het toestel.
De IT-afdeling kan nu ook bepalen aan welk Bluetooth-toestel een iPhone/iPad zichzelf mag vastkoppelen en het is mogelijk om instellingen als achtergronden, persoonlijke hotspots te vergrendelen. Het is mogelijk om op afstand te controleren of specifieke instellingen zijn afgesteld en het is zelfs mogelijk om het volgen via online advertentienetwerken te beperken.
Apple laat nu ook toe om MDM specifiek te laten activeren bij de aankoop van nieuwe iOS 7-toestellen. Het is voorlopig niet duidelijk of gevestigde MDM-specialisten zich zorgen moeten maken over Apple verbeterde oplossingen. De meeste bedrijven zullen niet exclusief werken met iOS en de meeste onafhankelijke aanbieders bieden ook oplossingen aan voor Android en Windows Phone.
Toch is het goed om te zien dat de basisbeveiliging stukken is verbeterd.
iOS 7 patcht massaal kwetsbaarheden iOS 6
Iedere nieuwe versie van iOS repareert problemen van zijn voorganger, maar iOS 7 gaat een stuk verder dan dat. iOS 7 repareert liefst 80 kwetsbaarheden uit iOS 6, waardoor de druk op gebruikers en bedrijven hoger ligt om over te stapppen. Apple zal immers geen patches meer uitbrengen voor iOS 6.
Twee specifieke gaten in iOS 6 demonstreren het gevaar dat gebruikers lopen die alles bij het oude willen houden.
Een zogenoemd buffer overflow-gat in iOS CoreGraphics stelt een aanvaller om de controle over te nemen na het openen van een besmet PDF-bestand, maar alleen als dat gebeurt in de gesandboxte browser.
Als je dat lek combineert met CVE-2013-3953 ontstaat er echt gevaar, omdat dit gat het mogelijk maakt om uit de sandbox te breken. Een cybercrimineel kan zich dus toegang verschaffen als een gebruiker de verkeerde website bekijkt.
Dit was trouwens de exacte werkwijze van de beroemde JailbreakMe-hack.
Beide kwetsbaarheden zijn gerepareerd in iOS 7, maar het toont maar aan dat iOS zeker niet ongevoelig is voor dit scenario’s.
Gecontroleerd openen van bestanden
Wanneer een gebruiker een document ‘deelt’ om te kunnen bepalen welke app hij zal gebruiken om het te openen, creërt hij mogeljke softwareproblemen. Dit commando maakt namelijk een kopie van het document aan en een applicatie is mogelijk te onveilig om het die handeling te kunnen toevertrouwen.
In iOS 7, via de nieuwe MDM-interface, kan een IT-beheerder specifiek aangeven welke apps toestemming krijgen om specifieke soorten bestanden te openen.
Het wordt dus mogelijk om een klein aantal beheerde apps dt recht te geven, wat het risico op veiligheidslekken verkleint. Deze nieuwe optie heet ‘Managed Open-in’, ofwel een gecontroleerde ‘openen met’-functie.
Elke app zijn eigen VPN-verbinding
Beveiligde Virtual Private Network (VPN)-verbindingen voor een heel mobiel besturingssysteem worden als ongewenst beschouwd. Gedeeltelijk is dat een kwestie van beveiliiging, maar het kan ook zijn omdat een bedrijf niet al het persoonlijke verkeer van een iOS-gebruiker via zijn VPN-tunnel wil leiden.
MDM-specialisten bieden daarom al een tijdje de mogelijkheid om een VPN-verbinding in te stellen voor een specifieke app. iOS 7 krijgt nu exact dezelfde mogelijkheid, terwijl het nog altijd mogelijk is om dit in te stellen via de interface van een van deze externe aanbieders.
IT-beheer heeft volledige controle over deze VPN-verbindingen. Als de app wordt geopend, zal automatisch een VPN-verbinding tot stand komen en als de gebruiker de app sluit, gaat de tunnel weer dicht, zonder dat de eigenaar van een iPhone/iPad een verschil merkt.
Het bedrijf houdt vrije keuze over welke VPN-oplossing het inzet, of dat nu een product is van Cisco, Juniper of een van de vele andere aanbieders. Het kan mogelijk zijn dat deze bedrijven hun producten moeten upgraden om te kunnen samenwerken met de nieuwe controlemogelijkheden.
Een login voor het hele bedrijf
Niemand is dol op het invoeren van wachtwoorden op een klein schermpje. Met Enterprise Single Sign-on kan een IT-beheerder een enkel bedrijfswachtwoord aan een gebruiker geven waarmee hij elke app kan ontsluiten.
In voorgaande versies van iOS was dit al mogelijk, maar dan alleen voor apps van dezelfde uitgever. In iOS 7 wordt die mogelijkheid uitgebreid naar alle apps, ongeacht de producent.
Een IT-beheerder kan daarnaast specifieke webadressen toevoegen voor de nieuwe loginmogelijkheid. Als een gebruiker een van deze sites bezoekt, zal iOS de aanmeldgegevens naar de server sturen.
Vingerafdrukbeveiliging
Er zijn vaker pogingen ondernemen om biometrische beveiliging toe te voegen aan mobiele toestellen, maar ze waren altijd gebruiksonvriendelijk, onbetrouwbaar en op beperkte schaal beschikbaar. Apple maakt daar met iOS 7 in een klap een einde aan.
Touch ID is een vingerafdruksensor, voorlopig alleen beschikbaar op de iPhone 5S, die is ingebouwd bij de Home-knop. Het handelt biometrische authenticatie af en authoriseert via een simpel ja- of nee-antwoord.
Het is natuurlijk de vraag of Touch ID wel zo veilig is als Apple het doet uitschijnen. Het zou misschien niet veilig genoeg kunnen zijn voor de bedrijfsomgeving. Het is daarbij belangrijk om te vermelden dat Touch ID geen tweefactorauthenticatie ondersteunt. Je kunt dus een vingerafdruk of een wachtwoord gebruiken, maar niet allebei.
Touch ID-gebruikers hebben echter wel degelijk een wachtwoord als back-up en als een toestel twee etmalen lang niet opnieuw is opgestart of ontsloten, moet die code worden ingegeven.
Het lijkt praktisch voor IT-afdelingen om veilige wachtwoorden af te dwingen (zeven of meer karakters), terwijl het in de dagelijkse praktijk simpel blijft om in te loggen op een toestel.
iOS heeft, vergeleken met andere besturingssystemen, heel wat minder te stellen gehad met beveiligingsproblemen in het verleden. Apple kon het zich daarom permitteren om zich minder bezig te houden met het inbouwen van veiligheidsdeuren dan andere fabrikanten, waardoor securityspecialisten van derde partijen de ruimte hadden om die apart aan te bieden.
Deze bedrijven, samengevat onder de noemer Mobile Application Management (MAM) geven IT-beheerders de middelen in handen om het gebruik van mobiele toestellen te controleren en beheren. Juist op dat gebied vinden we in iOS 7 een aantal sterke verbeteringen, die het deze specialisten lastiger zal maken om hun waren aan te prijzen.
Er zijn in dit overzicht functies die iedereen aanspreken, zoals de vingerafdrukbeveiliging Touch ID en ‘remote lock’, die verloren of gestolen iPhones en iPads beschermt. Er zijn echter ook verbeteringen die minder voor de hand liggen, maar daarom niet minder belangrijk zijn.
[related_article id=”158256″]
We zetten de zeven belangrijkste veiligheidsverbeteringen van iOS 7 op een rijtje.
Zoek mijn iPhone, nu op slot vanop afstand
Als je je telefoon kwijt bent (aan een dief), kun je Zoek mijn iPhone gebruiken om het op te sporen of vanop afstand te wissen. In iOS 7 wordt deze functie sterk verbeterd, met de mogelijkheid om een boodschap op het scherm weer te geven die elk gebruik van het toestel verhindert.
Zelfs als een toestel wordt gewist, zal iOS 7 alle gebruik nog steeds blokkeren tot de geregistreerde eigenaar zichzelf aanmeldt met de juiste iCloud-account.
Deze toevoeging is uiterst belangrijk voor alle gebruikers, of ze hun toestel nu op het werk of daarbuiten gebruiken. Iedereen wil zijn verloren of gestolen iPhone terug, zonder dat iemand anders bij hun persoonlijke gegevens kan.
Dankzij deze blokkade, die ook al te vinden is bij Android en Windows Phone, worden smartphones een stuk minder aantrekkelijk voor mogelijke dieven, omdat het nu eenmaal onmogelijk is een toestel te verkopen dat je niet kunt gebruiken.
Als IT-beheer het wil, kan het de Zoek Mijn iPhone-instelling gebruiken via de nieuwe MDM-interface (daarover later meer). Het is mogelijk om het toestel als ‘verloren’ in te stellen, maar als de iPhone/iPad weer terecht is, zal de eigenaar van de iCloud-id wel zijn gegevens moeten invoeren om deze optie weer uit te schakelen.
Apple maakt inhaalslag mobiel beheer
Mobile Device Management, ofwel mobiel toestelbeheer is een uitvinding van BlackBerry, maar Apple pikte het idee handig met een kloon van BlackBerry’s API. Het bedrijf uit Cupertino stelde die vervolgens beschikbaar aan externe ontwikkelaars.
Bedrijven als MobileIron, AirWatch en Good Technology zijn groot geworden als privébeveiligers voor iOS, maar de API van Apple was vooralsnog te beperkt. Deze specialisten moesten daarom noodgrepen bedenken die nauwkeurig en betrouwbaar toestelbeheer mogelijk maakte.
Deze technieken zijn in het wereldje bekend geworden als Mobile Application Management (MAM) en Enterprise Mobilitiy Management (EMM).
Met iOS 7 heeft Apple de mogelijkheden voor mobiel toestelbeheer enorm uitgebreid. IT-beheerders kunnen nu bijvoorbeeld een iOS-gebruiker beletten om accounts te wijzigen of te verwijderen van het toestel.
De IT-afdeling kan nu ook bepalen aan welk Bluetooth-toestel een iPhone/iPad zichzelf mag vastkoppelen en het is mogelijk om instellingen als achtergronden, persoonlijke hotspots te vergrendelen. Het is mogelijk om op afstand te controleren of specifieke instellingen zijn afgesteld en het is zelfs mogelijk om het volgen via online advertentienetwerken te beperken.
Apple laat nu ook toe om MDM specifiek te laten activeren bij de aankoop van nieuwe iOS 7-toestellen. Het is voorlopig niet duidelijk of gevestigde MDM-specialisten zich zorgen moeten maken over Apple verbeterde oplossingen. De meeste bedrijven zullen niet exclusief werken met iOS en de meeste onafhankelijke aanbieders bieden ook oplossingen aan voor Android en Windows Phone.
Toch is het goed om te zien dat de basisbeveiliging stukken is verbeterd.
iOS 7 patcht massaal kwetsbaarheden iOS 6
Iedere nieuwe versie van iOS repareert problemen van zijn voorganger, maar iOS 7 gaat een stuk verder dan dat. iOS 7 repareert liefst 80 kwetsbaarheden uit iOS 6, waardoor de druk op gebruikers en bedrijven hoger ligt om over te stapppen. Apple zal immers geen patches meer uitbrengen voor iOS 6.
Twee specifieke gaten in iOS 6 demonstreren het gevaar dat gebruikers lopen die alles bij het oude willen houden.
Een zogenoemd buffer overflow-gat in iOS CoreGraphics stelt een aanvaller om de controle over te nemen na het openen van een besmet PDF-bestand, maar alleen als dat gebeurt in de gesandboxte browser.
Als je dat lek combineert met CVE-2013-3953 ontstaat er echt gevaar, omdat dit gat het mogelijk maakt om uit de sandbox te breken. Een cybercrimineel kan zich dus toegang verschaffen als een gebruiker de verkeerde website bekijkt.
Dit was trouwens de exacte werkwijze van de beroemde JailbreakMe-hack.
Beide kwetsbaarheden zijn gerepareerd in iOS 7, maar het toont maar aan dat iOS zeker niet ongevoelig is voor dit scenario’s.
Gecontroleerd openen van bestanden
Wanneer een gebruiker een document ‘deelt’ om te kunnen bepalen welke app hij zal gebruiken om het te openen, creërt hij mogeljke softwareproblemen. Dit commando maakt namelijk een kopie van het document aan en een applicatie is mogelijk te onveilig om het die handeling te kunnen toevertrouwen.
In iOS 7, via de nieuwe MDM-interface, kan een IT-beheerder specifiek aangeven welke apps toestemming krijgen om specifieke soorten bestanden te openen.
Het wordt dus mogelijk om een klein aantal beheerde apps dt recht te geven, wat het risico op veiligheidslekken verkleint. Deze nieuwe optie heet ‘Managed Open-in’, ofwel een gecontroleerde ‘openen met’-functie.
Elke app zijn eigen VPN-verbinding
Beveiligde Virtual Private Network (VPN)-verbindingen voor een heel mobiel besturingssysteem worden als ongewenst beschouwd. Gedeeltelijk is dat een kwestie van beveiliiging, maar het kan ook zijn omdat een bedrijf niet al het persoonlijke verkeer van een iOS-gebruiker via zijn VPN-tunnel wil leiden.
MDM-specialisten bieden daarom al een tijdje de mogelijkheid om een VPN-verbinding in te stellen voor een specifieke app. iOS 7 krijgt nu exact dezelfde mogelijkheid, terwijl het nog altijd mogelijk is om dit in te stellen via de interface van een van deze externe aanbieders.
IT-beheer heeft volledige controle over deze VPN-verbindingen. Als de app wordt geopend, zal automatisch een VPN-verbinding tot stand komen en als de gebruiker de app sluit, gaat de tunnel weer dicht, zonder dat de eigenaar van een iPhone/iPad een verschil merkt.
Het bedrijf houdt vrije keuze over welke VPN-oplossing het inzet, of dat nu een product is van Cisco, Juniper of een van de vele andere aanbieders. Het kan mogelijk zijn dat deze bedrijven hun producten moeten upgraden om te kunnen samenwerken met de nieuwe controlemogelijkheden.
Een login voor het hele bedrijf
Niemand is dol op het invoeren van wachtwoorden op een klein schermpje. Met Enterprise Single Sign-on kan een IT-beheerder een enkel bedrijfswachtwoord aan een gebruiker geven waarmee hij elke app kan ontsluiten.
In voorgaande versies van iOS was dit al mogelijk, maar dan alleen voor apps van dezelfde uitgever. In iOS 7 wordt die mogelijkheid uitgebreid naar alle apps, ongeacht de producent.
Een IT-beheerder kan daarnaast specifieke webadressen toevoegen voor de nieuwe loginmogelijkheid. Als een gebruiker een van deze sites bezoekt, zal iOS de aanmeldgegevens naar de server sturen.
Vingerafdrukbeveiliging
Er zijn vaker pogingen ondernemen om biometrische beveiliging toe te voegen aan mobiele toestellen, maar ze waren altijd gebruiksonvriendelijk, onbetrouwbaar en op beperkte schaal beschikbaar. Apple maakt daar met iOS 7 in een klap een einde aan.
Touch ID is een vingerafdruksensor, voorlopig alleen beschikbaar op de iPhone 5S, die is ingebouwd bij de Home-knop. Het handelt biometrische authenticatie af en authoriseert via een simpel ja- of nee-antwoord.
Het is natuurlijk de vraag of Touch ID wel zo veilig is als Apple het doet uitschijnen. Het zou misschien niet veilig genoeg kunnen zijn voor de bedrijfsomgeving. Het is daarbij belangrijk om te vermelden dat Touch ID geen tweefactorauthenticatie ondersteunt. Je kunt dus een vingerafdruk of een wachtwoord gebruiken, maar niet allebei.
Touch ID-gebruikers hebben echter wel degelijk een wachtwoord als back-up en als een toestel twee etmalen lang niet opnieuw is opgestart of ontsloten, moet die code worden ingegeven.
Het lijkt praktisch voor IT-afdelingen om veilige wachtwoorden af te dwingen (zeven of meer karakters), terwijl het in de dagelijkse praktijk simpel blijft om in te loggen op een toestel.