Vooraf geïnstalleerde apps op smartphones vormen een veiligheidsrisico wanneer ze geen updates krijgen via de app-stores, maar alleen via verouderde besturingssysteem-updates. Dit geldt voornamelijk voor mail, browsers, sms/mms-apps en bibliotheken voor het bekijken van foto’s, video’s of pdf’s.
Op iOS geldt dit voor Safari, Mail en Berichten. Mail kan vervangen worden door een andere mailclient, maar voor Safari is dat niet gemakkelijk omdat Apple geen andere browser-engines toestaat. Andere browsers, zoals Firefox en Edge, moeten de ingebouwde webkit van Apple gebruiken. Deze engine wordt ook gebruikt in veel andere apps, zoals reclamebanners of nieuwsweergaven. De sms/mms-app kan ook niet vervangen worden, wat eventuele bugs in deze app en Apples WebKit zwaar kunnen laten wegen.
Google heeft dit probleem opgelost: de ingebouwde browser-engine is al jaren verwijderd uit de firmware en krijgt automatische updates via de app-store. Apps maken daardoor altijd gebruik van een up-to-date WebView.
Sommige fabrikanten hebben echter een probleem gecreëerd door vooraf een alternatieve browser met een eigen engine te installeren, iets wat bij Android wel is toegestaan. Als er geen updates voor deze browser verschijnen, moet deze gedeactiveerd worden en vervangen worden door een andere browser, zoals Chrome of Firefox.
Dit geldt ook voor e-mail. De Android-client voor Gmail krijgt updates, maar als een fabrikant zijn eigen mailclient toevoegt en daar geen updates voor levert, moet deze gedeactiveerd worden en moet er een andere client, zoals K-9, Nine of Gmail gebruikt worden.
Als er vermoedens zijn van beveiligingslekken in de vooraf geïnstalleerde foto-, video- of pdf-viewer, wordt het ingewikkelder en vervelender bij Android en iOS omdat deze apps niet vervangen kunnen worden. Media die op de smartphone worden gezet, kunnen bekeken worden in een app naar keuze, zoals VLC Player.
Maar hoe browsers, messengers of mail omgaan met bijlagen heb je meestal niet in de hand. Sommige hebben hun eigen viewer voor bepaalde bestandsformaten, maar vaak geven ze het bestand gewoon door aan het besturingssysteem voor weergave. Eventuele previews, het automatisch afspelen van video’s en dergelijke in de vooraf geïnstalleerde apps moeten uitgeschakeld worden, zodat deze in elk geval niets automatisch doen. Verdachte bestanden moeten lokaal opgeslagen worden en vervolgens geopend worden met betrouwbare viewers.
Tot slot moeten vanzelfsprekende beveiligingsmaatregelen genomen worden: de smartphone moet beveiligd worden met een pincode, vingerafdruk of gezichtsherkenning. Maak zoveel mogelijk gebruik van tweefactorauthenticatie en verschillende wachtwoorden voor diensten. Klik enkel op links van betrouwbare afzenders in mail- of tekstberichten of messengers, maar blijf alert voor vervalste berichten.