Mobiele security stopt niet bij Android en iOS
De smartphone is het belangrijkste communicatie-, identiteits- en authenticatieplatform van de moderne organisatie. Toch blijven enkele van de meest kritieke lagen in die mobiele infrastructuur grotendeels gesloten, proprietary en slechts beperkt onafhankelijk en transparant toetsbaar. Onderzoek naar baseband-, SIM- en spywarevectoren maakt duidelijk dat mobiele security niet langer als puur endpointvraagstuk kan worden behandeld. Victor Angelier (foto), cybersecurityspecialist, software-architect en security researcher, gaat in deze blog er nader op in.
Smartphones worden in securitybeleid doorgaans beoordeeld op de zichtbare en beheersbare lagen. Is het toestel up-to-date? Is disk-encryptie actief? Wordt het apparaat beheerd via MDM of EMM? Zijn applicaties gescheiden, wachtwoorden sterk en is multifactor-authenticatie verplicht?
Die maatregelen zijn noodzakelijk, maar geven slechts een gedeeltelijk beeld van het mobiele risico. Een moderne smartphone is geen enkelvoudig systeem. Het toestel bestaat uit meerdere processoren, firmwarelagen, radio-interfaces, SIM-functionaliteit en telecomprotocollen. Een deel daarvan bevindt zich buiten het bereik van de gebruiker, buiten het zicht van securityteams en vaak ook buiten onafhankelijke inspectie. Onderzoekers van de University of Birmingham wezen hier recent expliciet op (University of Birmingham, 2026). Juist daar ontstaat een structurele blinde vlek.
De baseband als verborgen vertrouwenslaag
Onder Android of iOS bevindt zich de baseband: de hardware en software die verantwoordelijk is voor communicatie met mobiele netwerken. Deze laag verwerkt 2G-, 3G-, 4G- en 5G-communicatie en staat rechtstreeks in contact met zendmasten. De baseband draait op een aparte processor, met grotendeels gesloten firmware die door een beperkt aantal leveranciers wordt ontwikkeld. De code is doorgaans niet openbaar, moeilijk onafhankelijk en transparant te auditen en beperkt inzichtelijk voor de organisaties die dagelijks op deze infrastructuur vertrouwen (University of Birmingham, 2026).
Dat is relevant omdat de baseband geen perifere component is. Het is een fundamentele laag voor connectiviteit, locatiebepaling en communicatie. Als deze laag kwetsbaar is, raakt dat niet alleen het toestel, maar ook het vertrouwen in mobiele communicatie als bedrijfsinfrastructuur.
De kern van het probleem zit niet alleen in de aanwezigheid van bugs. Het zit in de manier waarop dergelijke componenten historisch zijn getest. Conformiteitstesten controleren of een systeem correct reageert op geldige input. Security vereist een andere benadering: hoe gedraagt het systeem zich onder doelbewust afwijkende, kwaadaardige of onverwachte input?
Onderzoekers van de University of Birmingham werken daarom aan methoden om baseband-firmware in gecontroleerde omgevingen adversarial te testen, onder meer via FirmWire, een platform voor systematische securitytesting van baseband-firmware. Volgens de University of Birmingham heeft onderzoek met FirmWire bijgedragen aan het blootleggen van meer dan twintig kwetsbaarheden in 2G- en 4G-basebandstacks. Verschillende bevindingen zijn vervolgens door leveranciers zoals Google, Samsung en MediaTek opgepakt in beveiligingsupdates (University of Birmingham, 2026).
SIM-kaarten zijn geen passieve tokens
Een tweede onderschatte laag is de SIM. In veel organisaties wordt de SIM nog gezien als een relatief passief authenticatiemiddel voor netwerktoegang. In werkelijkheid is het een kleine computer met eigen functionaliteit en een eigen attack surface.
Een SIM kan, afhankelijk van specificaties en implementatie, actief interactie initiëren met het toestel. Daarbij gaat het niet alleen om netwerkregistratie, maar ook om functionaliteit waarmee een toestel locatiegegevens kan delen, een sms kan versturen of een browser kan openen. De University of Birmingham onderscheidt drie aanvalsvlakken: fysieke aanvallen op toestel of SIM, remote aanvallen via operatorbeheerinfrastructuur en technische aanvallen op fouten in SIM-software (University of Birmingham, 2026).
Voor enterprise security is dat belangrijk. Een toestel kan volledig compliant zijn binnen het MDM-beleid, maar toch afhankelijk blijven van SIM- en operatorfunctionaliteit die de organisatie niet zelf controleert. Daarmee wordt mobiele security onderdeel van een bredere vertrouwensketen: toestel, firmware, SIM, telecomoperator, roaminginfrastructuur en netwerkstandaarden.
Van kwetsbaarheid naar commerciële surveillancecapaciteit
De technische discussie krijgt extra gewicht door de commerciële spywaremarkt. Amnesty International beschrijft in The Predator Files hoe commerciële surveillancebedrijven complete spywareketens aanbieden: exploits, infectievectors, spyware agents en backend-infrastructuur voor dataverzameling in één pakket. Deze mercenary spyware — surveillanceproducten die door private partijen aan overheden worden verkocht — verandert de aard van kwetsbaarheden fundamenteel (Amnesty International, 2023).
Een fout in een basebandstack, browser, SIM-implementatie of netwerkprotocol is niet langer alleen een technisch defect. Het kan een verhandelbare capability worden binnen een markt waarin exploitketens, infectiemethoden en operationele infrastructuur als dienst worden aangeboden.
Amnesty International beschrijft in dit kader meerdere infectieroutes en markttermen, waaronder 1-click attacks, zero-click attacks, tactical infection en strategic infection. Tactical infection richt zich op apparaten in fysieke nabijheid, bijvoorbeeld via malafide Wi-Fi-netwerken, mobiele base stations of kwetsbaarheden in baseband- en radio-interfaces. Strategic infection verwijst naar systemen die op ISP- of gatewayniveau kunnen worden ingezet om internetverkeer te manipuleren en doelwitten naar exploit-infrastructuur te leiden (Amnesty International, 2023).
Dit verschuift mobiele security van een traditioneel endpointvraagstuk naar een infrastructuurvraagstuk. Het risico zit niet alleen in wat een gebruiker aanklikt, maar ook in welke netwerken, zendmasten, firmwarelagen en operatorprocessen het toestel automatisch vertrouwt.
De governancevraag achter mobiele security
Voor CIO’s, CISO’s, telecomproviders, managed service providers en overheden is dit meer dan een technisch detail. Het raakt aan governance, supply-chain security en digitale soevereiniteit.
Veel organisaties hebben hun endpointbeleid de afgelopen jaren sterk volwassen gemaakt. Devices worden beheerd, applicaties gecontroleerd en identiteiten centraal afgedwongen. Toch blijft een belangrijk deel van de mobiele stack buiten de directe invloedsfeer van de organisatie. Baseband-firmware, SIM-functionaliteit en telecominfrastructuur zijn zelden onderdeel van reguliere security-assessments, terwijl zij een essentiële rol spelen in communicatie, authenticatie en locatiegebonden diensten.
Mobiele security rust daarmee op institutioneel vertrouwen. Organisaties vertrouwen op chipfabrikanten, firmwareleveranciers, mobiele operators, SIM-profielen, roamingpartners, standaardisatieprocessen en exportcontrolemechanismen. In normale bedrijfsvoering is dat onvermijdelijk. Maar vanuit risicoperspectief moet duidelijk zijn dat deze keten slechts beperkt verifieerbaar is.
De vraag wordt daarmee niet alleen of een smartphone veilig is geconfigureerd, maar of de onderliggende infrastructuur voldoende transparant, toetsbaar en verantwoordbaar is.
Exportcontrole is geen securitygarantie
De Europese dimensie is daarbij relevant. Amnesty International wijst erop dat de Intellexa-alliance zich positioneerde als “EU based and regulated”, terwijl technologie van deze groep wereldwijd is gelinkt aan surveillanceactiviteiten tegen onder meer journalisten, politici, onderzoekers, maatschappelijke organisaties en internationale instellingen. Het rapport wijst daarnaast op complexe bedrijfsstructuren en tekortkomingen in exportcontrolemechanismen (Amnesty International, 2023).
Dat legt een belangrijk spanningsveld bloot: formele regulering is niet hetzelfde als effectieve controle. Een exportlicentie zegt weinig over technische begrensbaarheid, operationele proportionaliteit of onafhankelijke auditbaarheid van spyware. Zeker bij hoog-invasieve spyware is dat problematisch: dergelijke middelen kunnen toegang geven tot grote hoeveelheden data op een toestel. Volgens Amnesty International ontbreekt bij dit type hoog-invasieve spyware op dit moment voldoende onafhankelijke auditbaarheid en is het moeilijk aantoonbaar te maken dat de inzet technisch beperkt blijft tot wat noodzakelijk en proportioneel is (Amnesty International, 2023).
Daarmee ontstaat een fundamenteel governanceprobleem. Als een technologie technisch niet goed te beperken is, wordt proportionaliteit niet alleen een juridische toets achteraf, maar een ontwerpvraag vooraf. Kan het middel aantoonbaar worden beperkt tot een specifiek doelwit, een specifieke dataset en een specifieke bevoegdheid? Kan misbruik achteraf onafhankelijk worden vastgesteld? Kan de scope technisch worden afgedwongen? Als dat niet kan, is het toezicht per definitie zwak.
Wat organisaties hiervan moeten leren
Voor de Nederlandse IT-sector ligt hier een duidelijke opdracht. Mobiele security moet breder worden beoordeeld dan alleen device management en applicatiecontrole. De mobiele stack is een keten waarin endpoint, firmware, SIM, operatornetwerk, exploitmarkt en regelgeving met elkaar samenhangen.
Dat betekent niet dat elke organisatie zelf baseband-firmware moet kunnen auditen. Dat is onrealistisch. Het betekent wel dat organisaties kritischer moeten kijken naar leveranciersvertrouwen, toestelkeuze, lifecyclebeleid, telecomcontracten en incidentrespons rond mobiele dreigingen. Zeker voor hoog-risicogroepen als bestuurders, journalisten, onderzoekers, diplomaten en securitymedewerkers verdient dit expliciete aandacht.
Ook vraagt dit om meer druk op leveranciers en beleidsmakers. Securityclaims moeten niet alleen gaan over patchbeleid, encryptie of app-sandboxing, maar ook over firmwaretransparantie, onafhankelijke testbaarheid, memory-safe implementaties, bug bounty-programma’s voor low-level componenten en betere toegang voor academisch securityonderzoek.
Voor publieke organisaties komt daar een bredere soevereiniteitsvraag bij. Als mobiele communicatie een kritieke infrastructuurlaag is, moet ook de controleerbaarheid van die infrastructuur onderdeel zijn van digitaal beleid. Digitale soevereiniteit gaat niet alleen over cloudlocaties of datacenters. Het gaat ook over de hardware-, firmware- en telecomlagen waarop communicatie, identiteit en authenticatie dagelijks rusten.
Mobiele security als infrastructuurvraagstuk
De belangrijkste conclusie is dat smartphonebeveiliging niet stopt bij Android of iOS. De zichtbare laag van het toestel is slechts één onderdeel van een veel diepere vertrouwensketen. Onder het scherm bevinden zich componenten die continu communiceren, authenticeren en beslissingen nemen, vaak zonder dat gebruikers of organisaties daar direct inzicht in hebben.
De komende jaren zal mobiele security daarom minder moeten draaien om de vraag of een toestel “managed” is, en meer om de vraag of de volledige mobiele infrastructuur controleerbaar genoeg is voor het risico dat organisaties erop bouwen.
Wie mobiele communicatie gebruikt als drager voor identiteit, toegang, bestuur en bedrijfsvoering, kan zich niet beperken tot endpointcompliance. De echte uitdaging ligt dieper: in firmware, baseband, SIM, telecomnetwerken en de commerciële markt die kwetsbaarheden omzet in surveillancecapaciteit.
Mobiele security is geen randonderwerp van endpointbeheer meer. Het is een strategisch vraagstuk voor cyberweerbaarheid, supply-chain security en digitale soevereiniteit.
Over de auteur
Victor Angelier is cybersecurityspecialist, software-architect en security researcher met ruim 25 jaar ervaring in IT, softwareontwikkeling en infrastructuur. Vanuit zijn werk aan veilige cloudomgevingen, cryptografische toepassingen en digitale soevereiniteit onderzoekt hij hoe technische keuzes in hardware, firmware, telecomnetwerken en platformarchitecturen doorwerken in cyberweerbaarheid, governance en maatschappelijke veiligheid.
References
Amnesty International (2023) The Predator Files: Caught in the Net. The Global Threat from “EU Regulated” Spyware. London: Amnesty International Ltd. Available at: https://www.amnesty.org/en/documents/act10/7245/2023/en/.
University of Birmingham (2026) Who tests the chip in your phone? 4 June. Available at: https://www.birmingham.ac.uk/news/2026/who-tests-the-chip-in-your-phone