De smartphone is het belangrijkste communicatie-, identiteits- en authenticatieplatform van de moderne organisatie. Toch blijven enkele van de meest kritieke lagen in deze mobiele infrastructuur grotendeels gesloten, proprietary en slechts beperkt onafhankelijk en transparant toetsbaar. Onderzoek naar baseband-, sim- en spywarevectoren maakt duidelijk dat mobiele security niet langer als puur endpointvraagstuk is te behandelen.Smartphones worden in securitybeleid doorgaans beoordeeld op de zichtbare en beheersbare lagen. Is het toestel up-to-date? Is disk-encryptie actief? Wordt het apparaat beheerd via mobile device management (MDM) of enterprise mobility management (EMM; een bredere benadering dan MDM)? Zijn applicaties gescheiden, wachtwoorden sterk en is multi-factorauthenticatie verplicht?Die maatregelen zijn noodzakelijk, maar geven slechts een gedeeltelijk beeld van het mobiele risico. Een moderne smartphone is geen enkelvoudig systeem. Het toestel bestaat uit meerdere processoren, firmwarelagen, radio-interfaces, sim-functionaliteit en telecomprotocollen. Een deel daarvan bevindt zich buiten het bereik van de gebruiker, buiten het zicht van securityteams en vaak ook buiten onafhankelijke inspectie. Onderzoekers van de University of Birmingham wezen hier recent expliciet op (University of Birmingham, 2026). Juist daar ontstaat een structurele blinde vlek.Baseband als verborgen vertrouwenslaagOnder Android of iOS bevindt zich de baseband: de hardware en software die verantwoordelijk is voor communicatie met mobiele netwerken. Deze laag verwerkt 2G-, 3G-, 4G- en 5G-communicatie en staat rechtstreeks in contact met zendmasten. De baseband draait op een aparte processor, met grotendeels gesloten firmware die door een beperkt aantal leveranciers wordt ontwikkeld. De code is doorgaans niet openbaar, moeilijk onafhankelijk en transparant te auditen, en beperkt inzichtelijk voor de organisaties die dagelijks op deze infrastructuur vertrouwen (University of Birmingham, 2026).Dat is relevant, omdat de baseband geen perifere component is, maar een fundamentele laag voor connectiviteit, locatiebepaling en communicatie. Als deze laag kwetsbaar is, raakt dat niet alleen het toestel, maar ook het vertrouwen in mobiele communicatie als bedrijfsinfrastructuur.De kern van het probleem zit niet alleen in de aanwezigheid van bugs, maar in de manier waarop dergelijke componenten historisch worden getest. Conformiteitstesten controleren of een systeem correct reageert op geldige input. Security vereist een andere benadering: hoe gedraagt het systeem zich onder doelbewust afwijkende, kwaadaardige of onverwachte input?Onderzoekers van de University of Birmingham werken daarom aan methoden om baseband-firmware in gecontroleerde omgevingen adversarial te testen, onder meer via FirmWire, een platform voor systematische securitytesting van baseband-firmware. Volgens de University of Birmingham heeft onderzoek met FirmWire bijgedragen aan het blootleggen van meer dan twintig kwetsbaarheden in 2G- en 4G-basebandstacks. Verschillende bevindingen zijn vervolgens door leveranciers zoals Google, Samsung en MediaTek opgepakt in beveiligingsupdates (University of Birmingham, 2026).Sim-kaarten zijn geen passieve tokensEen tweede onderschatte laag is de sim. In veel organisaties wordt de sim nog gezien als een relatief passief authenticatiemiddel voor netwerktoegang. In werkelijkheid is het een kleine computer met eigen functionaliteit en een eigen attack surface.Een sim kan, afhankelijk van specificaties en implementatie, actief interactie met het toestel initiëren. Daarbij gaat het niet alleen om netwerkregistratie, maar ook om functionaliteit waarmee een toestel locatiegegevens kan delen, een sms kan versturen of een browser kan openen. De University of Birmingham onderscheidt drie aanvalsvlakken: fysieke aanvallen op toestel of sim, remote aanvallen via operatorbeheerinfrastructuur en technische aanvallen op fouten in sim-software (University of Birmingham, 2026).Voor enterprise security is dat belangrijk. Een toestel kan volledig compliant zijn binnen het MDM-beleid, maar toch afhankelijk blijven van sim- en operatorfunctionaliteit die de organisatie niet zelf controleert. Daarmee wordt mobiele security onderdeel van een bredere vertrouwensketen: toestel, firmware, sim, telecomoperator, roaminginfrastructuur en netwerkstandaarden.Van kwetsbaarheid naar commerciële surveillancecapaciteitDe technische discussie krijgt extra gewicht door de commerciële spywaremarkt. Amnesty International beschrijft in The Predator Files hoe commerciële surveillancebedrijven complete spywareketens aanbieden: exploits, infectievectors, spywareagents en backend-infrastructuur voor dataverzameling in één pakket. Deze mercenary spyware — surveillanceproducten die door private partijen aan overheden worden verkocht — verandert de aard van kwetsbaarheden fundamenteel (Amnesty International, 2023).Een fout in een basebandstack, browser, sim-implementatie of netwerkprotocol is niet langer alleen een technisch defect. Het kan een verhandelbare capability worden binnen een markt waarin exploitketens, infectiemethoden en operationele infrastructuur als dienst worden aangeboden.Amnesty International beschrijft in dit kader meerdere infectieroutes en markttermen, waaronder 1-click attacks, zero-click attacks, tactical infection en strategic infection. Tactical infection richt zich op apparaten in fysieke nabijheid, bijvoorbeeld via malafide wifi-netwerken, mobiele basisstations of kwetsbaarheden in baseband- en radio-interfaces. Strategic infection verwijst naar systemen die op ISP- of gatewayniveau kunnen worden ingezet om internetverkeer te manipuleren en doelwitten naar exploit-infrastructuur te leiden (Amnesty International, 2023).Dit verschuift mobiele security van een traditioneel endpointvraagstuk naar een infrastructuurvraagstuk. Het risico zit niet alleen in wat een gebruiker aanklikt, maar ook in welke netwerken, zendmasten, firmwarelagen en operatorprocessen het toestel automatisch vertrouwt.Governancevraag achter mobiele securityVoor cio’s, ciso’s, telecomproviders, managed service providers en overheden is dit meer dan een technisch detail. Het raakt aan governance, supply chain security en digitale soevereiniteit.Veel organisaties hebben hun endpointbeleid de afgelopen jaren sterk volwassen gemaakt. Devices worden beheerd, applicaties gecontroleerd en identiteiten centraal afgedwongen. Toch blijft een belangrijk deel van de mobiele stack buiten de directe invloedsfeer van de organisatie. Baseband-firmware, sim-functionaliteit en telecominfrastructuur zijn zelden onderdeel van reguliere security-assessments, terwijl zij een essentiële rol spelen in communicatie, authenticatie en locatiegebonden diensten.Mobiele security rust daarmee op institutioneel vertrouwen. Organisaties vertrouwen op chipfabrikanten, firmwareleveranciers, mobiele operators, sim-profielen, roamingpartners, standaardisatieprocessen en exportcontrolemechanismen. In normale bedrijfsvoering is dat onvermijdelijk. Maar vanuit risicoperspectief moet duidelijk zijn dat deze keten slechts beperkt verifieerbaar is.De vraag wordt daarmee niet alleen of een smartphone veilig is geconfigureerd, maar of de onderliggende infrastructuur voldoende transparant, toetsbaar en verantwoordbaar is.Exportcontrole is geen securitygarantieDe Europese dimensie is daarbij relevant. Amnesty International wijst erop dat de Intellexa-alliance zich positioneerde als ‘EU-based and regulated’, terwijl technologie van deze groep wereldwijd is gelinkt aan surveillanceactiviteiten tegen onder meer journalisten, politici, onderzoekers en maatschappelijke organisaties. Het rapport wijst daarnaast op complexe bedrijfsstructuren en tekortkomingen in exportcontrolemechanismen (Amnesty International, 2023).Dat legt een belangrijk spanningsveld bloot: formele regulering is niet hetzelfde als effectieve controle. Een exportlicentie zegt weinig over technische begrensbaarheid, operationele proportionaliteit of onafhankelijke auditbaarheid van spyware. Zeker bij hoog-invasieve spyware is dat problematisch. Volgens Amnesty International ontbreekt bij dit type spyware voldoende onafhankelijke auditability en is het moeilijk aantoonbaar te maken dat inzet technisch beperkt blijft tot noodzakelijke en proportionele doelen (Amnesty International, 2023).Daarmee ontstaat een fundamenteel governanceprobleem. Als een technologie technisch niet goed te beperken is, wordt proportionaliteit niet alleen een juridische toets achteraf, maar een ontwerpvraag vooraf. Kan het middel aantoonbaar worden beperkt tot een specifiek doelwit, een specifieke dataset en een specifieke bevoegdheid? Kan misbruik achteraf onafhankelijk worden vastgesteld? Kan de scope technisch worden afgedwongen? Als dat niet kan, is toezicht per definitie zwak.Wat organisaties hiervan moeten lerenVoor de Nederlandse it-sector ligt hier een duidelijke opdracht. Mobiele security moet breder worden beoordeeld dan alleen device management en applicatiecontrole. De mobiele stack is een keten waarin endpoint, firmware, sim, operatornetwerk, exploitmarkt en regelgeving samenkomen.Dat betekent niet dat elke organisatie zelf baseband-firmware moet kunnen auditen. Dat is onrealistisch. Het betekent wel dat organisaties kritischer moeten kijken naar leveranciersvertrouwen, toestelkeuze, lifecyclebeleid, telecomcontracten en incidentrespons rond mobiele dreigingen.Ook vraagt dit om meer druk op leveranciers en beleidsmakers. Securityclaims moeten niet alleen gaan over patchbeleid, encryptie of app-sandboxing, maar ook over firmwaretransparantie, onafhankelijke testbaarheid en toegang voor academisch securityonderzoek.Voor publieke organisaties komt daar een bredere soevereiniteitsvraag bij. Digitale soevereiniteit gaat niet alleen over cloudlocaties of datacenters, maar ook over hardware-, firmware- en telecomlagen waarop communicatie en identiteit rusten.Mobiele security als infrastructuurvraagstukDe belangrijkste conclusie is dat smartphonebeveiliging niet stopt bij Android of iOS. Onder het scherm bevindt zich een diepere vertrouwensketen met componenten die continu communiceren en beslissingen nemen, vaak zonder zichtbaarheid voor gebruikers of organisaties.Mobiele security verschuift daarmee van endpointbeheer naar infrastructuurvraagstuk: firmware, baseband, sim, telecomnetwerken en de commerciële markt die kwetsbaarheden omzet in surveillancecapaciteit.
computable
02-07-2026 17:15