WHITEPAPER: Verovering van de markt voor mobiele apps
Whitepaper
Verovering van de markt voor mobiele apps Hoe codeondertekening de veiligheid van mobiele apps kan bevorderen
Whitepaper: Verovering van de markt voor mobiele apps
Verovering van de markt voor mobiele apps Hoe codeondertekening de veiligheid van mobiele apps kan bevorderen Inhoud Inleiding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Een nieuwe industrie: de opkomst van de markt voor mobiele apps . . . . . . . 3 De handel in mobiele apps groeit snel, net als beveiligingsrisico's . . . . . . . . 4 Apps voor iedereen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Veiligheid is de sleutel tot een geslaagde ontwikkeling van apps . . . . . . . . 5 Zijn zelfondertekende certificaten echt veilig? . . . . . . . . . . . . . . . . . . . . 6 Certificaten voor codeondertekening beperken veiligheidsrisico's die uniek zijn voor mobiele apps . . . . . . . . . . . . . . . . . 6 Hoe werkt codeondertekening? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Conclusie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2
Whitepaper: Verovering van de markt voor mobiele apps
Inleiding De opkomst van mobiele apps heeft een fundamentele verandering teweeg gebracht in de manier waarop miljoenen mensen overal ter wereld werken, spelen en communiceren. Gebruikers kunnen nu elk denkbaar type app downloaden rechtstreeks op hun smartphones en andere mobiele apparaten: van apps voor games en navigatiekaarten, tv-programma's en films, tot apps waarmee het apparaat een zaklamp wordt, en nog veel meer. Hoewel de markt voor mobiele apps nog steeds relatief jong is, is deze in de afgelopen jaren exponentieel gegroeid en zal deze ook snel blijven groeien. Aangedreven door miljoenen klanten en zakelijke gebruikers die op zoek zijn naar innovatieve toepassingen, vormt deze explosieve groei een geweldige kans voor softwareontwikkelaars die willen scoren (en incasseren) met de volgende hit-app waarmee gebruikers productiever worden, of zich gewoon even kunnen vermaken. Maar ontwikkelaars zijn niet de enigen die van deze hausse in apps hopen te profiteren. Cybercriminelen proberen zoveel mogelijk mobiele apparaten te infecteren en exploiteren om vertrouwelijke gegevens te stelen. Geïnfecteerde apps zijn niet alleen een bedreiging voor gebruikers van mobiele apparaten, maar ook voor de providers van netwerken en platforms, de apparatenfabrikanten en de reputatie van de industrie als geheel. Gelukkig kunnen ontwikkelaars hun softwarecode én hun klanten beschermen met een ongecompliceerde en eenvoudig te beheren technologie: certificaten voor codeondertekening. Dit rapport behandelt in detail de opkomst van mobiele apps en waarom certificaten voor codeondertekening essentieel zijn om de wereld van de mobiele apps te beschermen.
Een nieuwe industrie: de opkomst van de markt voor mobiele apps Apps voor mobiele apparaten bestaan al jaren, maar sommige analisten hebben 11 juli 2008, de dag waarop Apple de iPhone App Store lanceerde, aangewezen als de ontstaansdatum van de markt voor mobiele apps. In de eerste 18 maanden dat de App Store open was, werden door Apple-klanten meer dan drie miljard apps gedownload, waarmee het de grootste apps-winkel ter wereld werd.1 Hoewel Apple werd gezien als een pionier op het gebied van mobiele apps, werden deze al jaren gedownload van online apps-winkels. Gebruikers van mobiele apparaten konden apps ook van talrijke andere bronnen downloaden, waaronder populaire websites zoals Download.com, en rechtstreeks van de softwareontwikkelaars. Daarnaast hebben sommige mobiele netwerken geëxperimenteerd met hun eigen sites voor mobiele apps. Hoewel de App Store van Apple niet de eerste was die apps aanbood, bewees deze wel als eerste dat er massale interesse was voor mobiele apps en geïntegreerde winkelpagina's op het apparaat, als deze eenvoudig te downloaden, installeren en gebruiken waren. Door de technische en financiële drempels te verlagen, heeft de innovatieve winkelopzet van Apple ook nog eens talloze enthousiaste appontwikkelaars aangetrokken. Deze ontwikkelingen hebben het landschap van de mobiele apps drastisch veranderd. Nu bieden netwerk- en platformproviders, evenals sommige apparatenfabrikanten, ontwikkelaarskits om softwareverkopers te helpen
1 Apple’s App Store Downloads Top Three Billion”, 5 januari 2010. http://www.apple.com/pr/library/2010/01/05Apples-App-Store-Downloads-Top-Three-Billion.html
3
Whitepaper: Verovering van de markt voor mobiele apps
innovatieve apps te maken. Ontwikkelaars die met winkelpagina's werken, krijgen op hun beurt hulp bij marketing en snelle toegang tot miljoenen gretige klanten die bereid zijn te betalen voor de nieuwste must-have app. Mobiele apps zijn big business, wat heeft geleid tot meer mogelijkheden voor ontwikkelaars, een stortvloed aan nieuwe apps voor klanten, hevige concurrentie onder fabrikanten, netwerk- en platformproviders die allemaal een aandeel willen in de markt voor mobiele apps.
De handel in mobiele apps groeit snel, net als beveiligingsrisico's Sinds de opening van de App Store zijn er vele bedrijven bijgekomen met hun eigen app-winkels, waarbij de Android Market van Google de bekendste is. Naast het verkopen van apps via hun eigen winkelpagina's, kunnen ontwikkelaars samenwerken met netwerkproviders en fabrikanten, die doorgaans geen portals met eigen winkelpagina hebben, om apps te maken voor een scala aan mobiele besturingssystemen en apparaten. AT&T heeft bijvoorbeeld een sterk ontwikkelaarsprogramma opgezet waarmee verkopers van apps 80 miljoen AT&Tklanten kunnen bereiken, en LG heeft zijn eigen Applications Store met compatibele apps voor LG-apparaten die onder verschillende merken worden verkocht. Hoewel winkelpagina's momenteel de meeste aandacht genereren, kunnen apps nog steeds worden gedownload via verschillende onafhankelijke 'off-store' websites. Sterker nog: off-store downloads zijn verantwoordelijk voor het merendeel van de downloads en omzet van apps wereldwijd. Het aantal off-store downloads zal afnemen naarmate winkelpagina's populairder worden, maar het blijft waarschijnlijk een belangrijk distributiekanaal. Met tienduizenden apps om uit te kiezen geven klanten elk jaar miljarden uit aan apps. Naar schatting zullen de uitgaven aan apps in 2014 zijn toegenomen tot 25,5 miljard dollar.2 Dat is meer dan de inkomsten die in de VS worden gegenereerd door betaald voetbal, honkbal, basketbal en ijshockey bij elkaar. Gebruikers van mobiele apparaten hoeven enkel maar te tikken of klikken om toegang te krijgen tot apps. Helaas is door de toename in apps en softwaredownloads ook het risico toegenomen dat schadelijke code binnendringt. Er zijn zelfs al schadelijke apps tot winkelpagina's doorgedrongen: in januari 2010 ontdekten twee kredietverenigingen een "bank-app" op de Android Market van Google, waarin klanten werden overgehaald vertrouwelijke bankgegevens aan cybercriminelen te verzenden. Google verwijderde de app snel, samen met 50 andere apps die van dezelfde hacker afkomstig waren.3
Apps voor iedereen Een forse toename in het aantal app-downloads zal de snelle groei van de markt voor mobiele apps blijven stimuleren. Hoe fors wordt die toename? Naar schatting zal het aantal app-downloads tegen 2014 zo'n 19,5 miljard bedragen. Gemiddeld is dat net iets minder dan drie apps per persoon ter wereld.
Mobile Applications & App Stores: Business Models, Opportunities & Forecasts”: Juniper Research, mei 2009 “Malware Sneaks Into Android Market”: Wired.com, 14 januari 2010
2 3
4
Whitepaper: Verovering van de markt voor mobiele apps
Naarmate mobiele apps populairder worden, zal het aantal malware-aanvallen op deze apparaten exponentieel toenemen. Een van de redenen waarom schadelijke apps zo gevaarlijk zijn, is dat ze soms vrijwel onmogelijk te herkennen zijn. Malware-apps kunnen eenvoudig worden samengesteld met onderdelen uit standaardtoolkits voor ontwikkelaars, en vele van deze apps maken misbruik van informatie, zoals locatie en lijsten met contactpersonen, waartoe gebruikers toegang geven wanneer ze denken dat de app veilig en betrouwbaar is. Zelfs als gebruikers niet zeker weten of de app wel veilig is, lezen velen de kennisgevingen over rechten niet nauwkeurig, of geven ze uit gewoonte toegang. Met één enkele klik kan een app al toegang krijgen tot hoogst vertrouwelijke informatie. En zelfs als gebruikers de app geen toestemming geven om hun locatie te detecteren of andere persoonlijke informatie te verzamelen, zijn veel apps zo ontworpen dat ze die informatie alsnog ophalen. Het App Genome Project heeft ontdekt dat bijna een derde van de apps de locatie van een gebruiker trackt, en bijna 10 procent probeert toegang te krijgen tot contact- en adreslijsten.4 Apps die zijn ontworpen om persoonlijke gegevens te verzamelen, zijn een ideaal doel voor hackers. Als deze apps niet worden beveiligd, hoeven hackers maar een paar regels code aan te passen om er gevaarlijke malware van te maken waarmee informatie kan worden gestolen. In plaats van het hele programma zelf te maken, kunnen hackers gemakkelijk een bestaande toepassing hacken, waardoor het nog moeilijker wordt om schadelijke programma's uit te filteren. Ondanks groeiende alertheid en het feit dat eindgebruikers voorzichtiger zijn en meer voorzorgsmaatregelen nemen tegen infecties, is malware een blijvend fenomeen. Vanwege deze trends is het essentieel dat u uw mobiele apps beveiligt ter bescherming van uw klanten, uw producten, uw bedrijfsreputatie en de wereld van de mobiele apps.
Veiligheid is de sleutel tot een geslaagde ontwikkeling van apps Naast soepele gameplay of een aantrekkelijke, gebruiksvriendelijke interface moeten ontwikkelaars van apps ook bedenken hoe ze deze veilig aan klanten kunnen leveren. Hoewel de meeste malware meer vervelend dan echt gevaarlijk lijkt, kan elk type malware-infectie rampzalig zijn. En als klanten een app niet durven te downloaden, kan dit niet alleen de reputatie van een ontwikkelaar of netwerkprovider schaden, maar ook winstverlies betekenen, omdat gebruikers overschakelen op andere apps, netwerken en apparaten waarvan ze denken dat die wel veilig zijn. Vele app-winkelpagina's en websites erkennen dit gevaar en hebben beveiligingsprotocollen ontwikkeld waarbij digitale handtekeningen vereist zijn om de softwareontwikkelaar te identificeren. Bij sommige winkels zijn echter alleen zelfondertekende digitale certificaten vereist waarmee de identiteit van de ontwikkelaar niet wordt gevalideerd. Hierdoor kunnen winkelpagina's én klanten worden blootgesteld aan schadelijke apps. Hoewel de meeste app-winkels en websites wel bepaalde veiligheidsnormen hebben, zijn deze vaak niet zo strikt als ze zouden moeten zijn. Certificaten voor codeondertekening van een vertrouwde derde partij kunnen helpen om veilige distributie te garanderen en het vertrouwen te versterken dat uw apps veilig kunnen worden gedownload.
“Smartphone security put on test”: BBC News, 9 augustus 2010
4
5
Whitepaper: Verovering van de markt voor mobiele apps
Zijn zelfondertekende certificaten echt veilig? Hoewel ze veel worden gebruikt, zijn zelfondertekende certificaten niet de beste optie voor ontwikkelaars. Zelfondertekening bevestigt dat de code afkomstig is van een bepaalde uitgever en dat er niet mee is geknoeid, maar dat bewijst nog niet dat de uitgever te vertrouwen is. Met andere woorden: iedereen kan een certificaat zelf ondertekenen, dus ook cybercriminelen. Samenwerking met een vertrouwde derde partij helpt om te garanderen dat uw code veilig is, toont aan dat uw bedrijf betrouwbaar is en voorkomt dat cybercriminelen zich kunnen voordoen als legitieme ontwikkelaars.
Certificaten voor codeondertekening beperken veiligheidsrisico's die uniek zijn voor mobiele apps Hoewel ze elk hun eigen bedrijfsdoelstellingen hebben, zijn fabrikanten van mobiele apparaten, netwerk- en platformproviders en app-ontwikkelaars nauw verwant en van elkaar afhankelijk om de bloeiende markt voor mobiele apps in stand te houden. Gezien de gedeelde risico's voor omzet en reputatie, heeft elk van deze partijen er belang bij dat de veiligheid en integriteit van de hele omgeving voor mobiele apps wordt gewaarborgd. Certificaten voor codeondertekening, met name die van vertrouwde derde partijen, zijn cruciaal voor de bescherming van mobiele apps en de ondersteunde technologieën. Voor ontwikkelaars zijn de voordelen van deze certificaten zonneklaar. Vele winkelpagina's en netwerkproviders vereisen digitale handtekeningen om apps toegang te geven tot telefoonfuncties. Certificaten voor codeondersteuning kunnen niet alleen garanderen dat deze code niet is gewijzigd sinds de ondertekening, maar klanten en zakelijke partners ook laten zien dat u een legitieme, betrouwbare ontwikkelaar bent. Netwerkproviders worden echter geconfronteerd met een andere uitdaging. Naarmate de inkomsten uit belservices afnemen, moeten netwerkproviders meer abonnees zien aan te trekken en meer netwerkservices verkopen. Teneinde dit nieuwe, servicegeoriënteerde bedrijfsmodel te laten slagen, richten netwerkproviders zich op apps. Ze doen dit door in samenwerking met ontwikkelaars apps te maken die op verschillende apparaten en platforms werken (zoals AT&T), of door de mobiele apparaten te ondersteunen waarop de nieuwste populaire apps werken. Certificaten voor codeondersteuning kunnen providers helpen hun netwerk vrij van malware te houden door de integriteit van softwarecode te waarborgen en een mechanisme te bieden dat bepaalt welke apps op hun netwerk kunnen worden gebruikt.
Hoe werkt codeondertekening? Certificaten voor codeondertekening van een externe provider kunnen de identiteit van de uitgever bevestigen, evenals de integriteit van elk stukje ondertekende code. Zo werkt het proces globaal:
1. Een certificeringsinstantie valideert de identiteit van een ontwikkelaar en diens authenticiteit als uitgever van software of inhoud.
2. De certificeringsinstantie wijst vervolgens een specifieke ontwikkelaarsid toe waarmee de ontwikkelaar wordt geverifieerd wanneer deze code wil ondertekenen. 3. De ontwikkelaar gebruikt de toegewezen ontwikkelaars-id om de bestanden van een app te ondertekenen, en verstuurt die vervolgens naar de certificeringsinstantie. 6
Whitepaper: Verovering van de markt voor mobiele apps
4. De opnieuw ondertekende (geverifieerde) inhoud, is nu gereed voor distributie als betrouwbare app. Voor apparatenfabrikanten is de uitdaging eveneens tweeledig: deze bedrijven moeten aantrekkelijk blijven voor ontwikkelaars en tegelijk de eisen van netwerkproviders in de gaten houden. Mobiele apparaten moeten de apps bieden die de consument wenst om zoveel mogelijk kopers aan te trekken. Fabrikanten moeten ook zorgen dat hun apparaten waarop apps kunnen worden uitgevoerd, worden geaccepteerd door netwerkproviders, wat tot een mengelmoes van beveiligingsvereisten kan leiden. Certificaten voor codeondertekening kunnen de integriteit van de apps op mobiele apparaten waarborgen, ongeacht welk netwerk wordt gebruikt. Platformproviders moeten de integriteit van apps op hun netwerken ook waarborgen, maar om iets andere redenen. Deze providers licentiëren hun platforms aan apparatenfabrikanten, dus hoe meer licenties ze verkopen, hoe succesvoller ze zijn als platformprovider. Fabrikanten die deze platforms gebruiken, willen op hun beurt dat hun apparaten op zo veel mogelijk netwerken beschikbaar zijn. Tests en beveiliging door middel van codeondertekening zijn essentieel voor platformproviders om eindgebruikers, evenals de reputatie van elke schakel in deze keten, te beschermen. Vanaf de eerste ontwikkelingsfase tot de uiteindelijke download op het mobiele apparaat, certificaten voor codeondertekening kunnen worden gebruikt om de hele wereld van mobiele apps te beveiligen, en op die manier klanten en bedrijven te beschermen.
Conclusie Hoewel het fenomeen mobiele apps al meer dan een decennium oud is, zijn apps dankzij innovatieve mobiele apparaten en gebruiksvriendelijke winkelpagina's mainstream geworden en is de vraag groter dan ooit tevoren. Ontwikkelaars, netwerk- en platformproviders en apparatenfabrikanten hebben samen een goedlopende (en zeer rendabele) markt gecreëerd. Helaas zijn ook cybercriminelen erop uit om te profiteren van de explosieve groei in mobiele apps. Ze zijn al hard bezig met het ontwerpen van schadelijke software om gegevens van gebruikers te ontfutselen en ravage aan te richten in de bredere wereld van de mobiele apps. Er is echter een relatief eenvoudige, maar uiterst effectieve oplossing om mobiele apps te beschermen. Met certificaten voor codeondertekening van een vertrouwde derde partij zoals Symantec kunnen ontwikkelaars hun code waarborgen en bewijzen dat ze legitiem zijn. Om diezelfde reden kunnen netwerk- en platformproviders, net als apparatenfabrikanten, certificaten voor codeondertekening vereisen als onderdeel van hun beveiligingsprotocol om de veiligheid in de wereld van mobiele apps te waarborgen. Wanneer consumenten zeker weten dat apps veilig zijn, downloaden ze meer, waardoor het distributievolume en de omzet voor ontwikkelaars stijgen, evenals voor de bedrijven die hun software aanbieden. Door certificaten voor codeondertekening een integraal onderdeel te maken van het apps-ontwikkelingsproces kunnen zowel bedrijven als hun klanten blijven profiteren van de onverwachte en spannende groei van de markt voor mobiele apps. 7
Whitepaper: Verovering van de markt voor mobiele apps
Meer informatie Bezoek onze website www.symantec.co.uk/code-signing Bel een van de volgende telefoonnummers om een productspecialist spreken: 0800-56-29-24 of +41-22-54-50-288 Over Symantec Symantec is wereldwijd leider in oplossingen voor beveiliging, opslag en systeembeheer waarmee consumenten en bedrijven hun door informatie aangestuurde omgeving kunnen beveiligen en beheren. Onze software en services bieden een completere en efficiëntere bescherming tegen meer risico's op meer punten, waardoor informatie met vertrouwen kan worden gebruikt en opgeslagen. Symantec BV Orteliuslaan 850 3528 BB UTRECHT Nederland
© 2012 Symantec Corporation. Alle rechten voorbehouden. Symantec, het Symantec-logo, het Checkmark-logo, Norton Secured en het Norton Secured-logo zijn handelsmerken of gedeponeerde handelsmerken van Symantec Corporation of haar dochterondernemingen in de Verenigde Staten en andere landen. VeriSign en andere verwante merknamen zijn handelsmerken of gedeponeerde handelsmerken van VeriSign, Inc. of haar dochterondernemingen in de Verenigde Staten en andere landen, en zijn in licentie gegeven aan Symantec Corporation. Andere namen zijn mogelijk handelsmerken van de respectieve eigenaren.
