De techniek achter smartphone-spionage
Zo werkt spyware op smartphones
Spioneren op mobiele telefoons is niet iets geheimzinnigs. Spyware is normale software, en vaak zelfs heel slechte. Als je begrijpt hoe het in zijn werk gaat, kun je het ontmaskeren en onschadelijk maken.
Als een spionageprogramma gegevens wil verzamelen en verzenden, moet het eerst op de telefoon van het slachtoffer komen. Dat is een probleem voor rechercheurs die een verdachte willen volgen, omdat men geen directe toegang tot zijn smartphone heeft. En krijgen ze die in handen, dan is het apparaat meestal beschermd met een pincode of ander vergrendelingsmechanisme. De FBI en andere opsporingsinstanties kopen dus voor zescijferige bedragen exploits, waarmee ze die hindernis kunnen nemen.
Bij commerciële spionage-apps zoals FlexySpy, mSpy en dergelijke voert de jaloerse partner het vuile werk uit. Die installeert de trojan in een onbewaakt ogenblik. Hij beschikt over de vereiste code of hij bemachtigt het apparaat op het moment dat het ontgrendeld is. Er zijn zelfs gevallen bekend waarbij de vinger van het slapende slachtoffer op de ontgrendelknop gelegd werd. En het kan nog eenvoudiger: de dader geeft een apparaat cadeau dat hij eerder op zijn gemak heeft voorbereid. De rest is eenvoudig, de makers bieden immers stapsgewijze installatie-instructies.
Die beschrijven onder andere welke veiligheidsmaatregelen uitgeschakeld moeten worden om het mogelijk te maken de software te installeren. Op een iPhone is daar een jailbreak voor nodig. Alleen daarmee kun je software installeren zonder de digitale handtekening van Apple, buiten de officiële App Store om. Bij Android is dat makkelijker, omdat je met een kleine ingreep software vanuit elke willekeurige bron kunt installeren.
Geweerd uit de app-stores
Commerciële spionagesoftware is niet te krijgen in de officiële stores van Apple en Google. Apple controleert voor het toelaten van een app welke gegevens die app opvraagt, of dat past bij de opgegeven eigenschappen er van en of dat ook transparant wordt getoond aan de gebruiker. Daar voldoen Flexispy en mSpy natuurlijk niet aan, want die willen natuurlijk gewoon stiekem op de achtergrond toegang krijgen tot alles.
Google heeft vergelijkbare tests voor de Play Store. Google kan zelfs apps die uit andere bronnen zijn geïnstalleerd achteraf verwijderen als die kwaadaardig blijken te zijn. Die functie heet Google Play Protect. Daar scant het systeem regelmatig alle geinstalleerde apps voor. Als er dan schadelijke apps worden gevonden, worden die verwijderd en wordt de gebruiker gewaarschuwd. Ook daar vertrouwen FlexiSpy en dergelijke niet op high-tech trucs, maar instrueren ze de stalker om die beveiliging tijdens het installeren uit te schakelen.
Vervolgens probeert het spionageprogramma toegang te krijgen tot allerlei gebruikersgegevens. Smartphones hebben echter een aanzienlijk verdergaande bevei-
liging dan een Windows-pc. Daarop heeft elk actief programma in principe toegang tot alle gebruikersgegevens, voor zover die niet versleuteld zijn. E-mails, contacten, documenten, de browsegeschiedenis: alles is vrij toegankelijk. Een spionagetrojan voor een pc kan die gewoon verzamelen en verzenden via internet.
Grensoverschrijding
Bij de huidige mobiele besturingssystemen is het echter gebruikelijk dat elke app in een eigen beveiligde omgeving draait, de zogeheten sandbox. In die sandbox kan hij alleen via vast bepaalde API's communiceren met het besturingssysteem, maar blijft hij geïsoleerd van andere apps en processen. Dat garandeert dat de gegevens van WhatsApp alleen door WhatsApp gezien en bewerkt kunnen worden.
Spionagesoftware omzeilt die horde het eenvoudigste en beste door de beveiligingsmechanismen van het systeem uit te schakelen en zichzelf tot absoluut heerser te promoveren. Bij Android-systemen heet dat 'rooten', waarmee je de rechten krijgt van het bijna almachtige rootaccount. Bij iOS wordt een ontsnapping uit de rechtengevangenis een 'jailbreak' genoemd. Als een bezitter dat zelf al heeft gedaan, heeft de stalker het makkelijk. Anders moet hij zelf aan de slag. Op iOS kan dat nauwelijks anders, als je bijvoorbeeld wilt dat een andere app toegang krijgt tot de gegevens van WhatsApp.
Theoretisch is er echter nog een andere aanval mogelijk. Bij bedrijven worden de mobiele apparaten meestal beheerd via een centraal Mobile Device Management (MDM). Een dergelijk MDM biedt echter ook mogelijkheden voor spionage. Onlangs ontdekte Cisco Talos in India een spionageaanval die daarvan profiteerde. Daarbij werden verschillende iPhones ondergeschikt gemaakt aan een MDM van de aanvallers en vervolgens voorzien van versies van WhatsApp en Telegram met trojans. Voor gebruik in commerciële apps voor de openbare markt is die aanpak gelukkig niet geschikt, omdat bij elk ontdekt geval van spionage de betrokken certificaten en MDM's ongeldig gemaakt worden.
Android heeft echter een soort 'MDMlight', waarbij één app wordt aangewezen als apparaatbeheerder. Dan krijgt die app speciale rechten, ook zonder het apparaat te rooten. Hij kan dan toegang krijgen tot functies als GPS-tracking, oproepdoorschakeling, proxy-instellingen enzovoort, en die ook wijzigen. Spyware kan dan bovendien ook andere apps installeren of verwijderen. Daarvan maken de programma's OmniRAT en FlexiSpy gebruik om hun functionaliteit uit te breiden.
Open deuren
Het sandbox-concept is bovendien met opzet niet waterdicht. Als het strikt zou worden toegepast, zou het bijvoorbeeld onmogelijk zijn om een net gemaakte foto via WhatsApp naar een vriend te sturen. Daarom kan een app met extra rechten, waar de ontwikkelaar specifiek (zoals bij Android) of impliciet (zoals in iOS) om vraagt, toegang krijgen tot bepaalde gegevens van andere apps. Deze rechten moeten wel door de gebruiker goedgekeurd worden, maar dat kan een stalker tijdens het installeren natuurlijk meteen ook doen. Zowel Android als iOS kunnen die rechten later nogmaals aangeven. Waar dat Android en iOS zit, staat in de artikelen op pagina 88 en 91).
De glad geplaveide weg naar spionage vereist geen of minimale ingrepen in het systeem. Zowel Android als iOS dringen er immers bij de gebruiker op aan om een back-up te maken in de cloud van de fabrikant. Als dat is uitgeschakeld op de telefoon van het slachtoffer, kan een stalker die cloud-back-up met slechts een paar klikken activeren.
De back-ups bevatten alle gegevens van het apparaat en zijn toegankelijk met de toegangsgegevens van de gebruiker. Als het wachtwoord van de cloud bekend is, kunnen spionagetools de gegevens uit de cloud downloaden en de gewenste informatie eruit halen. Natuurlijk werkt dat niet realtime, zoals bij spionage op het apparaat zelf. Omdat de back-ups echter meestal dagelijks worden bijgewerkt, is er geen groot tijdverschil. Die omweg via de iCloud wordt bijvoorbeeld gebruikt door de iOS-versies van FlexiSpy en mSpy, als ze zonder jailbreak moeten werken.
Spionage light
Met de toegangsgegevens tot een account heb je zelfs zonder extra hulpmiddelen toegang tot veel informatie. Je kunt diensten als Facebook en Google Hangouts makkelijk in je eigen webbrowser volgen. En bij bijna alle e-maildiensten kun je kopieën van binnenkomende e-mail stilletjes laten doorsturen. Moderne messengers als WhatsApp en Signal kun je koppelen aan een desktop-app of een browser, die dan vaak weken of maanden alles kan meelezen. De stalker hoeft daarvoor alleen maar in een onbewaakt ogenblik een QRcode te scannen met de mobiele telefoon van het slachtoffer.
Natuurlijk laten al die activiteiten hun sporen na. Hoe je systematisch op zoek gaat en de juiste conclusies trekt, lees je in de volgende artikelen voor respectievelijk Android en iOS. (mdt)