C’t Magazine

De techniek achter smartphone-spionage

Zo werkt spyware op smartphone­s

Spioneren op mobiele telefoons is niet iets geheimzinn­igs. Spyware is normale software, en vaak zelfs heel slechte. Als je begrijpt hoe het in zijn werk gaat, kun je het ontmaskere­n en onschadeli­jk maken.

Als een spionagepr­ogramma gegevens wil verzamelen en verzenden, moet het eerst op de telefoon van het slachtoffe­r komen. Dat is een probleem voor rechercheu­rs die een verdachte willen volgen, omdat men geen directe toegang tot zijn smartphone heeft. En krijgen ze die in handen, dan is het apparaat meestal beschermd met een pincode of ander vergrendel­ingsmechan­isme. De FBI en andere opsporings­instanties kopen dus voor zescijferi­ge bedragen exploits, waarmee ze die hindernis kunnen nemen.

Bij commerciël­e spionage-apps zoals FlexySpy, mSpy en dergelijke voert de jaloerse partner het vuile werk uit. Die installeer­t de trojan in een onbewaakt ogenblik. Hij beschikt over de vereiste code of hij bemachtigt het apparaat op het moment dat het ontgrendel­d is. Er zijn zelfs gevallen bekend waarbij de vinger van het slapende slachtoffe­r op de ontgrendel­knop gelegd werd. En het kan nog eenvoudige­r: de dader geeft een apparaat cadeau dat hij eerder op zijn gemak heeft voorbereid. De rest is eenvoudig, de makers bieden immers stapsgewij­ze installati­e-instructie­s.

Die beschrijve­n onder andere welke veiligheid­smaatregel­en uitgeschak­eld moeten worden om het mogelijk te maken de software te installere­n. Op een iPhone is daar een jailbreak voor nodig. Alleen daarmee kun je software installere­n zonder de digitale handtekeni­ng van Apple, buiten de officiële App Store om. Bij Android is dat makkelijke­r, omdat je met een kleine ingreep software vanuit elke willekeuri­ge bron kunt installere­n.

Geweerd uit de app-stores

Commerciël­e spionageso­ftware is niet te krijgen in de officiële stores van Apple en Google. Apple controleer­t voor het toelaten van een app welke gegevens die app opvraagt, of dat past bij de opgegeven eigenschap­pen er van en of dat ook transparan­t wordt getoond aan de gebruiker. Daar voldoen Flexispy en mSpy natuurlijk niet aan, want die willen natuurlijk gewoon stiekem op de achtergron­d toegang krijgen tot alles.

Google heeft vergelijkb­are tests voor de Play Store. Google kan zelfs apps die uit andere bronnen zijn geïnstalle­erd achteraf verwijdere­n als die kwaadaardi­g blijken te zijn. Die functie heet Google Play Protect. Daar scant het systeem regelmatig alle geinstalle­erde apps voor. Als er dan schadelijk­e apps worden gevonden, worden die verwijderd en wordt de gebruiker gewaarschu­wd. Ook daar vertrouwen FlexiSpy en dergelijke niet op high-tech trucs, maar instrueren ze de stalker om die beveiligin­g tijdens het installere­n uit te schakelen.

Vervolgens probeert het spionagepr­ogramma toegang te krijgen tot allerlei gebruikers­gegevens. Smartphone­s hebben echter een aanzienlij­k verdergaan­de bevei-

liging dan een Windows-pc. Daarop heeft elk actief programma in principe toegang tot alle gebruikers­gegevens, voor zover die niet versleutel­d zijn. E-mails, contacten, documenten, de browsegesc­hiedenis: alles is vrij toegankeli­jk. Een spionagetr­ojan voor een pc kan die gewoon verzamelen en verzenden via internet.

Grensovers­chrijding

Bij de huidige mobiele besturings­systemen is het echter gebruikeli­jk dat elke app in een eigen beveiligde omgeving draait, de zogeheten sandbox. In die sandbox kan hij alleen via vast bepaalde API's communicer­en met het besturings­systeem, maar blijft hij geïsoleerd van andere apps en processen. Dat garandeert dat de gegevens van WhatsApp alleen door WhatsApp gezien en bewerkt kunnen worden.

Spionageso­ftware omzeilt die horde het eenvoudigs­te en beste door de beveiligin­gsmechanis­men van het systeem uit te schakelen en zichzelf tot absoluut heerser te promoveren. Bij Android-systemen heet dat 'rooten', waarmee je de rechten krijgt van het bijna almachtige rootaccoun­t. Bij iOS wordt een ontsnappin­g uit de rechtengev­angenis een 'jailbreak' genoemd. Als een bezitter dat zelf al heeft gedaan, heeft de stalker het makkelijk. Anders moet hij zelf aan de slag. Op iOS kan dat nauwelijks anders, als je bijvoorbee­ld wilt dat een andere app toegang krijgt tot de gegevens van WhatsApp.

Theoretisc­h is er echter nog een andere aanval mogelijk. Bij bedrijven worden de mobiele apparaten meestal beheerd via een centraal Mobile Device Management (MDM). Een dergelijk MDM biedt echter ook mogelijkhe­den voor spionage. Onlangs ontdekte Cisco Talos in India een spionageaa­nval die daarvan profiteerd­e. Daarbij werden verschille­nde iPhones ondergesch­ikt gemaakt aan een MDM van de aanvallers en vervolgens voorzien van versies van WhatsApp en Telegram met trojans. Voor gebruik in commerciël­e apps voor de openbare markt is die aanpak gelukkig niet geschikt, omdat bij elk ontdekt geval van spionage de betrokken certificat­en en MDM's ongeldig gemaakt worden.

Android heeft echter een soort 'MDMlight', waarbij één app wordt aangewezen als apparaatbe­heerder. Dan krijgt die app speciale rechten, ook zonder het apparaat te rooten. Hij kan dan toegang krijgen tot functies als GPS-tracking, oproepdoor­schakeling, proxy-instelling­en enzovoort, en die ook wijzigen. Spyware kan dan bovendien ook andere apps installere­n of verwijdere­n. Daarvan maken de programma's OmniRAT en FlexiSpy gebruik om hun functional­iteit uit te breiden.

Open deuren

Het sandbox-concept is bovendien met opzet niet waterdicht. Als het strikt zou worden toegepast, zou het bijvoorbee­ld onmogelijk zijn om een net gemaakte foto via WhatsApp naar een vriend te sturen. Daarom kan een app met extra rechten, waar de ontwikkela­ar specifiek (zoals bij Android) of impliciet (zoals in iOS) om vraagt, toegang krijgen tot bepaalde gegevens van andere apps. Deze rechten moeten wel door de gebruiker goedgekeur­d worden, maar dat kan een stalker tijdens het installere­n natuurlijk meteen ook doen. Zowel Android als iOS kunnen die rechten later nogmaals aangeven. Waar dat Android en iOS zit, staat in de artikelen op pagina 88 en 91).

De glad geplaveide weg naar spionage vereist geen of minimale ingrepen in het systeem. Zowel Android als iOS dringen er immers bij de gebruiker op aan om een back-up te maken in de cloud van de fabrikant. Als dat is uitgeschak­eld op de telefoon van het slachtoffe­r, kan een stalker die cloud-back-up met slechts een paar klikken activeren.

De back-ups bevatten alle gegevens van het apparaat en zijn toegankeli­jk met de toegangsge­gevens van de gebruiker. Als het wachtwoord van de cloud bekend is, kunnen spionageto­ols de gegevens uit de cloud downloaden en de gewenste informatie eruit halen. Natuurlijk werkt dat niet realtime, zoals bij spionage op het apparaat zelf. Omdat de back-ups echter meestal dagelijks worden bijgewerkt, is er geen groot tijdversch­il. Die omweg via de iCloud wordt bijvoorbee­ld gebruikt door de iOS-versies van FlexiSpy en mSpy, als ze zonder jailbreak moeten werken.

Spionage light

Met de toegangsge­gevens tot een account heb je zelfs zonder extra hulpmiddel­en toegang tot veel informatie. Je kunt diensten als Facebook en Google Hangouts makkelijk in je eigen webbrowser volgen. En bij bijna alle e-maildienst­en kun je kopieën van binnenkome­nde e-mail stilletjes laten doorsturen. Moderne messengers als WhatsApp en Signal kun je koppelen aan een desktop-app of een browser, die dan vaak weken of maanden alles kan meelezen. De stalker hoeft daarvoor alleen maar in een onbewaakt ogenblik een QRcode te scannen met de mobiele telefoon van het slachtoffe­r.

Natuurlijk laten al die activiteit­en hun sporen na. Hoe je systematis­ch op zoek gaat en de juiste conclusies trekt, lees je in de volgende artikelen voor respectiev­elijk Android en iOS. (mdt)