De #iPhone: Wolf in schaapskleren

This post is also available in: Engels

Een tijdje geleden ontdekte dat, ondanks het fantastische uiterlijk van de iPhone, het eigenlijk een heel onveilig apparaat is en ik moet er niet aan denken dat ik hem ooit kwijtraak of dat-ie wordt gestolen. Tijd voor actie, dus!

Ik besloot mijn zakelijke gegevens eraf te halen. Daarna volgde mijn Gmail en nu gebruik ik mijn iPhone alleen nog maar voor Twitter en als digitaal boodschappenlijstje. Ik heb de voorzieningen van mijn BlackBerry BES tot beveiligingsstandaard verheven en blijkbaar staat BlackBerry hierin op eenzame hoogte…

Zelfs Twitter is gevaarlijk (als Twitter het tenminste doet), omdat mijn favoriete Twitter-applicatie SimplyTweet geen beveiligde SSL gebruikt om mijn gegevens naar Twitter te verzenden. Moet je nagaan: De hele beveiligingswereld predikt “SSL is onveilig, gebruik in plaats daarvan EV SSL“, terwijl er nog steeds bedrijven, diensten en applicaties zijn, die nog niet eens “gewone” SSL gebruiken… Zelfs Onze Overheid en Onze Banken zien nog maar net het nut van SSL en zij voelen zich bij gebleken en overduidelijke onveiligheid van SSL nog niet genoodzaakt EV SSL te implementeren, dus waarom zou jij je daar dan druk om maken?

Tweetie, mijn vorige favoriete Twitter-applicatie, maakt al jaren gebruik van SSL, alleen was Tweetie zijn tijd zó ver vooruit, dat er al tijden geen update meer van geweest is. Typisch geval van De Wet Van De Remmende Voorsprong.

Ik vind het ongelooflijk te moeten constateren dat veel mensen blijkbaar niet nadenken over diefstal of verlies van hun mobiele telefoon, over wat er dan met hun gegevens gebeurt en wat voor impact dat kan hebben op hun posities. En zolang de mensen zelf niet nadenken, denken de fabrikanten van de apparaten er ook niet over na. Behalve dan natuurlijk het Canadese bedrijf Research in Motion…

Stel je het volgende scenario eens voor: Je bent accountant en je maakt dagelijks gebruik van e-mail. Je hebt ook een mobiele telefoon. Laten we zeggen: een Nokia. Je hebt hem al een tijdje en je hebt er al behoorlijk wat telefoonnummers op verzameld. Ook heb je inmiddels de telefoon aan je Exchange-server op de zaak laten koppelen. Dat had wat voeten in de aarde (certificaat, software-update voor je toestel, soms doet-ie het niet en via WiFi heeft-ie eigenlijk al nooit lekker gewerkt), maar je kunt er af en toe een mailtje op bekijken en beantwoorden.

Stel nu dat je toestel stuk gaat, vermist raakt of gestolen wordt.

Toestel stuk
Welke informatie stond er eigenlijk op je toestel? Heb je wel dagelijks met dat datakabeltje of met de Bluetooth lopen stoeien om al je waardevolle contactpersoongegevens en je afspraken van je toestel naar je computer te krijgen? Heb je na die zondagmiddag dubbele afspraken verwijderen uit je agenda nog de behoefte gehad het later nog eens te proberen? Nee, natuurlijk niet, want het is veel te veel gedoe en er is veel te veel software voor nodig. Maar wat je dus niet elders hebt, ben je kwijt! Da’s jammer.

Toestel weg
Als je toestel weg is en je weet niet waar het is, kan het gewoon thuis tussen de kussens van de bank liggen, maar het kan ook gestolen zijn. Het probleem is, dat je het niet weet en je moet er dus van uit gaan dat je het niet meer zult vinden. Blokkeer als eerste je SIM-kaart, zodat de mogelijke dief niet op jouw kosten kan bellen. Beveilig je SIM-kaart ALTIJD met een pincode (en dan niet 0000 of 1234), zodat tussen de tijd die jij ervoor nodig hebt om vermissing van je toestel te constateren en je de kaart hebt laten blokkeren, de dief niet tóch kan bellen op jouw kosten. En dan je gegevens. Ze zijn niet alleen weg, maar iemand anders heeft ze. Iemand die enkel sterretje-menu hoeft te drukken om toegang te krijgen tot al jouw contactpersonen, telefoonnummers, afspraken, e-mails, smsjes, notities en wat ik verder nog vergeet.

En dan nog: Wat als je toestel niet wordt gestolen, maar je hebt een dankbare collega, concurrent, “vriend” of iemand die af en toe even door je telefoon gaat om te kijken of er nog iets interessants tussen zit? Ik ken geen mensen met staatsgeheimen op hun telefoons, maar jouw gegevens zijn jouw gegevens en daar moet iedereen met z’n handen vanaf blijven. Dat kun je dus niet goed regelen met je Nokia.

Wat voor Nokia geldt, geldt in gelijke mate ook voor de iPhone. Het koppelen van een iPhone aan de server op kantoor is makkelijker dan met een Nokia, maar ook voor de overige gegevens geldt dat wat je niet had gekopieerd met een kabeltje, je verliest als je het toestel kwijtraakt. En dan de beveiliging. Kun je je voorstellen dat Apple een iPhone 3GS maakt, waarbij alle gegevens worden versleuteld d.m.v. encryptie en dat ze de sleutel tot je gegevens op je toestel zelf bewaren?!? Je hoeft niet gestudeerd te hebben, om te begrijpen dat deze vorm van “beveiliging” een bedenksel is van de afdeling Marketing, die op de doos wilde zetten dat de iPhone 3GS Encryptie ondersteunt…