Spi­o­na­ge-apps her­ken­nen en ver­wij­de­ren

Spi­o­na­ge­soft­wa­re voor An­droid op­spo­ren en ver­wij­de­ren

C’t Magazine - - Inhoud 11/2018 - Mi­chael Spreitzen­barth

En­ke­le mi­nu­ten zon­der toe­zicht zijn al vol­doen­de voor een aan­val­ler om een spi­o­na­ge­app op je smartpho­ne te ver­stop­pen. Er is wat meer moei­te no­dig om de in­fec­tie op te spo­ren en het af­luis­te­ren te stop­pen.

Als je ver­moedt dat ie­mand je be­spi­o­neert, moet je eerst con­tro­le­ren of je te­le­foon ge­root is. Op een te­le­foon die ge­root is, kan een aan­val­ler na­me­lijk een spi­o­na­ge­tool zo ver­stop­pen dat je hem met de hier be­schre­ven me­tho­den niet kunt ont­dek­ken, zelfs niet als je de smartpho­ne zelf om een goe­de re­den ge­root hebt. Door­zoek je ap­pa­raat on­der 'In­stel­lin­gen / Apps' naar tools die meest­al voor roo­ten ge­bruikt wor­den. Dat zijn bij­voor­beeld Su­perSu, BusyBox, en KingRoot. Met de app RootChec­ker kun je ook di­rect con­tro­le­ren of je te­le­foon ge­root is.

De door ons be­ke­ken spi­o­na­ge­pak­ket­ten mS­py en FlexiS­py ge­brui­ken mo­men­teel geen spe­ci­a­le root­trucs om zich te ver­ber­gen. Ze wor­den met de vol­gen­de maat­re­ge­len dus ook ver­wij­derd op ge­roote sys­te­men. Maar dat kan met el­ke up­da­te ver­an­de­ren en bo­ven­dien kan de aan­val­ler ook an­der on­ge­dier­te ge­ïn­stal­leerd heb­ben dat be­ter ver­bor­gen is. Ei­gen­lijk kun je een ge­roote te­le­foon niet lan­ger ver­trou­wen.

Als je een ap­pa­raat dat ge­root is te­recht niet ver­trouwt, heb je twee mo­ge­lijk­he­den. Ten eerste kun je de te­le­foon zo­als hier­on­der be­schre­ven te­rug­zet­ten naar de fa­brieks­in­stel­lin­gen, waar­mee je ook de root­ac­cess ver­wij­dert en de stan­daard­vei­lig­heids­voor­zie­nin­gen her­stelt. De­ze te­le­foon is dan weer schoon, maar het sys­teem op­nieuw in­rich­ten gaat tijd kos­ten.

Een an­de­re mo­ge­lijk­heid is om het ge­roote sys­teem te re­pa­re­ren. Dat kost veel werk, maar je komt be­ter te we­ten wel­ke ge­ge­vens de aan­val­ler ge­sto­len heeft. Het is aan te ra­den er ie­mand bij te ha­len die er­va­ring heeft met ge­roote sys­te­men. Een in­lei­ding in het spo­ren­on­der­zoek voor An­droid vind je via de link op het eind. Hier gaan we er ver­der niet op in.

Ap­pa­raat­be­heer

Van hier af aan gaan we er­van uit dat je ap­pa­raat niet ge­root is en dat al­le dia­gnos­ti­sche in­for­ma­tie die je op­vraagt dus be­trouw­baar is. Con­tro­leer eerst de apps

voor ap­pa­raat­be­heer, want die krij­gen on­der An­droid bij­zon­der veel toe­gangs­rech­ten. De­ze zijn te vin­den in de in­stel­lin­gen on­der 'Be­vei­li­ging en lo­ca­tie / Apps voor ap­pa­raat­be­heer', dat al naar­ge­lang de toe­stel­fa­bri­kant ook te vin­den is on­der 'Be­vei­li­ging / Ap­pa­raat­be­heer­ders' of iets der­ge­lijks.

Ge­woon­lijk zie je hier al­leen 'Mijn ap­pa­raat' (soms 'Vind mijn ap­pa­raat' ge­noemd) en 'Goog­le Pay' en, af­han­ke­lijk van waar je de te­le­foon voor ge­bruikt, het mo­bie­le ap­pa­raat­be­heer van je be­drijf of de ver­mel­ding van een mail­app met Ex­chan­ge­toe­gang zo­als 'E­mail' van Ni­ne. Zie je hier nog an­de­re apps, dan is dat een ster­ke aan­wij­zing voor een in­fec­tie. Scha­kel al­le ver­dach­te ap­pa­raat­be­heer­ders uit, of in ge­val van twij­fel al­les.

Je kunt de ap­pa­raat­be­heer­ders hier al­leen uit­scha­ke­len. Als je ze wilt ver­wij­de­ren, moet je de bij­be­ho­ren­de apps dein­stal­le­ren. He­laas mo­gen apps hun ver­mel­ding in de lijst met ap­pa­raat­be­heer­ders wil­le­keu­rig be­noe­men, zo­dat je niet al­tijd weet wel­ke app er­bij hoort. De spi­o­na­ge­soft­wa­re mS­py af­fi­cheert zich­zelf bij­voor­beeld als 'Up­da­te Ser­vi­ce' en FlexiS­py als 'Sy­s­tem Up­da­te'. Som­mi­ge spi­o­na­ge­apps kun je niet de­ïn­stal­le­ren zo­lang ze als ap­pa­raat­be­heer­der ge­re­gi­streerd zijn.

Play Pro­tect in­scha­ke­len

Ver­vol­gens con­tro­leer je de in­ge­bouw­de be­vei­li­gings­func­tie van An­droid. Die her­kent de mees­te mal­wa­re na­me­lijk. Daar­om scha­ke­len aan­val­lers hem vaak uit. On­der de naam Play Pro­tect con­tro­leert An­droid al­le apps op het ap­pa­raat, zelfs op ou­de­re ver­sies van An­droid. Je vindt Play Pro­tect het ge­mak­ke­lijk­ste via het ham­bur­ger­me­nu van de app Play Sto­re.

De op­tie 'Ap­pa­raat scan­nen op be­vei­li­gings­drei­gin­gen' moet in­ge­scha­keld zijn en de laat­ste scan mag maar een paar da­gen ge­le­den zijn. Als dat niet zo is, is dat een dui­de­lij­ke aan­wij­zing voor een in­fec­tie. Als de twee­de op­tie, 'De­tec­tie scha­de­lij­ke apps ver­be­te­ren', is in­ge­scha­keld, ver­stuurt Play Pro­tect on­be­ken­de apps naar Goog­le om ze in de cloud te la­ten scan­nen. Dat is zin­vol, maar de­ze op­tie is stan­daard uit­ge­scha­keld en dat is dus geen in­di­ca­tie van een in­fec­tie.

Scha­kel Play Pro­tect en de ver­be­te­rings­op­tie in en scan al­le apps on­mid­del­lijk met de knop Ver­nieu­wen. De spi­o­na­ge­apps mS­py en FlexiS­py wor­den dan ge­de­tec­teerd en kun­nen vol­le­dig ver­wij­derd wor­den. Daar­naast moet je de vol­gen­de con­tro­les ech­ter ook uit­voe­ren.

Om­dat de scan­ner van de Goog­le Play Sto­re veel spi­o­na­ge­apps niet ac­cep­teert, zijn ze daar­in ook niet be­schik­baar. De aan­val­ler moet ze als be­stand op de smartpho­ne la­den en hand­ma­tig in­stal­le­ren. Daar­voor moet hij eerst de blok­ka­de uit­scha­ke­len die nor­ma­li­ter apps uit der­ge­lij­ke vreem­de bron­nen te­gen­houdt.

Bij ou­de­re An­droid­ver­sies vind je de­ze blok­ka­de in de in­stel­lin­gen on­der 'Be­vei­li­ging / On­be­ken­de bron­nen' of iets der­ge­lijks. Bij re­cen­te An­droid­ver­sies is er geen cen­tra­le blok­ka­de meer, maar sta je ge­richt toe dat apps zo­als Fi­leMa­na­ger, Brow­ser of Drop­box an­de­re apps kun­nen in­stal­le­ren. De lijst met apps vind je in de in­stel­lin­gen on­der 'Apps en mel­din­gen / Spe­ci­a­le app­toe­gang / On­be­ken­de apps in­stal­le­ren' of iets der­ge­lijks. Hier mag bij geen en­ke­le app 'Toe­staan' staan.

In bei­de ge­val­len be­te­kent een ge­de­ac­ti­veer­de blok­ka­de dat er een spi­o­na­ge­aan­val kan heb­ben plaats­ge­von­den. Om­ge­keerd is een ac­tie­ve ver­gren­de­ling geen ga­ran­tie voor een schoon sys­teem, om­dat de aan­val­ler die na in­stal­la­tie van de mal­wa­re weer kan in­scha­ke­len.

Ver­dach­te apps

Ver­trouw niet en­kel op Play Pro­tect als je ver­den­kin­gen koes­tert, maar con­tro­leer al­le ge­ïn­stal­leer­de apps. Open daar­voor in In­stel­lin­gen de op­tie 'App­mach­ti­gin­gen'. Meest vind je die on­der 'Apps' of 'Apps en mel­din­gen', in veel ap­pa­ra­ten via het me­nu met de drie pun­ten bo­ven­in het ven­ster Apps. Daar be­paal je wel­ke apps toe­gang heb­ben tot per­soon­lij­ke ge­ge­vens.

Hier mo­gen bij Con­tac­ten, Sms, Ca­me­ra en Lo­ca­tie geen apps op­dui­ken die je niet hebt ge­ïn­stal­leerd of waar­van je niet weet wat ze doen. De­ïn­stal­leer on­be­ken­de apps, maar no­teer wel eerst de naam van het pak­ket (ook bij de ko­men­de ver­wij­de­rin­gen) om je werk te do­cu­men­te­ren. Som­mi­ge apps wor­den een twee­de keer weer­ge­ge­ven met een ex­tra slot­pic­to­gram.

Dit is het re­sul­taat van een func­tie op een aan­tal Sams­ung­ en Xiao­mi­ap­pa­ra­ten, waar­mee je apps met een al­ter­na­tie­ve con­fi­gu­ra­tie kunt star­ten.

Dan door­zoek je de lijst met al­le gein­stal­leer­de apps op on­be­ken­de of ver­dach­te apps. Wel­ke mach­ti­gin­gen een app vraagt, blijkt na tik­ken op de app. Dat kan een er­va­ren ge­brui­ker vaak al een eerste hint ge­ven of er iets mis is.

Ook som­mi­ge on­scha­de­lij­ke apps kun­nen om heel veel mach­ti­gin­gen vra­gen, bij­voor­beeld om­dat de ont­wik­ke­laars twij­fel­ach­ti­ge ad­ver­ten­tie­bi­bli­o­the­ken ge­brui­ken. Slor­dig, maar van­uit het oog­punt van spi­o­na­ge on­ge­vaar­lijk, als je de app ten­min­ste zelf ge­ïn­stal­leerd hebt. Want dat nu juist de­ze app een ech­te kwets­baar­heid heeft en dat een aan­val­ler nu net daar mis­bruik van maakt, is on­waar­schijn­lijk. Aan de an­de­re kant kan het ook geen kwaad om in het ka­der van dit on­der­zoek di­rect al­le an­de­re ris­kan­te of on­ge­bruik­te apps te de­ïn­stal­le­ren.

Een blik op de bron van de app is ook be­lang­rijk, ze­ker als het in­stal­le­ren van­af on­be­ken­de bron­nen werd toe­ge­staan. Nieu­we­re ver­sies van An­droid ge­ven dat weer in de de­tail­weer­ga­ve van de app, on­der Mach­ti­gin­gen. Daar staat iets als 'app ge­la­den uit Goog­le Play Sto­re' of 'App ge­la­den door Ga­laxy Apps' (stan­daard­in­stal­la­tie van Sams­ung). Een app die door de pak­ket­in­stal­ler is ge­la­den, is ech­ter bij­zon­der ver­dacht, want die komt uit een on­be­ken­de bron. Als je hem niet om een goe­de re­den zelf hebt ge­ïn­stal­leerd: weg er­mee! Om­dat niet al­le smartpho­nes zo dui­de­lijk aan­ge­ven wel­ke apps uit on­be­ ken­de bron ko­men, kun je ter ver­ge­lij­king een ver­trouw­de stan­daard­app be­kij­ken.

Waar­schijn­lijk krijg je ook lo­ze waar­schu­win­gen, om­dat veel fa­bri­kan­ten apps in­stal­le­ren waar­van het doel on­dui­de­lijk is of in elk ge­val niet blijkt uit de naam. De­ze wat spi­o­na­ge be­treft on­ge­vaar­lij­ke apps her­ken je om­dat bij Ap­p­in­fo de knop Ver­wij­de­ren ont­breekt en je ze in plaats daar­van al­leen kunt uit­scha­ke­len. Ze zijn over het al­ge­meen on­scha­de­lijk, als er ten­min­ste niet al in de fa­briek of door een tus­sen­han­de­laar mal­wa­re is ge­ïn­stal­leerd (zie link op het ein­de).

Met de­ze maat­re­ge­len kun je de ge­brui­ke­lij­ke spi­o­na­ge­apps waar­schijn­lijk wel vin­den en van je sys­teem ver­ban­nen. Meer aan­wij­zin­gen voor een spi­o­na­ge­in­fec­tie vind je in de ta­bel on­der­aan op de­ze pa­gi­na. Als je ver­moedt dat een ge­wiek­stere aan­val­ler het op je ge­munt heeft en er hard­nek­ki­ge­re mal­wa­re is ge­ïn­stal­leerd, voer dan een re­set uit naar de fa­brieks­in­stel­lin­gen, of neem an­ders een ex­pert in de arm, want er is mal­wa­re die zelfs een re­set over­leeft of in de firm­wa­re schuil­gaat.

Ac­counts be­vei­li­gen

Als je bang bent dat een aan­val suc­ces­vol was, neem dan na het schoon­ma­ken van het ap­pa­raat aan­vul­len­de maat­re­ge­len. Ga er­van uit dat je Goog­le­ac­count ge­com­pro­mit­teerd is.

Bij htt­ps://my­ac­count.goog­le.com/ de­vi­ce­ac­ti­vi­ty zie je wel­ke ap­pa­ra­ten je Goog­le­ac­count ge­brui­ken en wan­neer de laat­ste toe­gang heeft plaats­ge­von­den. Ver­dach­te ap­pa­ra­ten ver­wij­der je door te klik­ken op 'Ver­wij­de­ren'. Wij­zig dan je wacht­woord. Het is aan te ra­den dan ook de twee­staps­ve­ri­fi­ca­tie te ac­ti­ve­ren.

Het­zelf­de geldt voor al­le an­de­re cloud­dien­sten die je ge­bruikt: Drop­box, Ever­No­te, Fa­ce­book en, heel be­lang­rijk, in­ter­net­ban­kie­ren op de smartpho­ne. Con­tro­leer de toe­gang, ver­an­der in ge­val van twij­fel de wacht­woor­den, ac­ti­veer in­dien mo­ge­lijk twee­staps­ve­ri­fi­ca­tie en ver­wij­der ver­dach­te ge­re­gi­streer­de ap­pa­ra­ten.

Bij What­sApp, Sig­nal en som­mi­ge an­de­re mes­sen­gers dreigt nog een an­der ge­vaar. Ze bie­den in­tus­sen de mo­ge­lijk­heid om de app via een brow­ser te ge­brui­ken en zo toe­gang te krij­gen tot al het nieuws en de fo­to’s. Als die toe­gang is ge­ïn­stal­leerd, blijft hij ac­tief, zelfs na­dat de te­le­foon is schoon­ge­maakt. De­ze ver­bin­din­gen vind je bij What­sApp on­der 'What­sApp Web', bij Sig­nal on­der 'Ge­kop­pel­de ap­pa­ra­ten' en bij Three­ma on­der 'Three­ma Web'. Ver­wij­der ze al­le­maal.

Fa­brieks­in­stel­lin­gen

Het laat­ste red­mid­del, voor­al als het ap­pa­raat ge­root is, is de fac­to­ry re­set, dus het vol­le­di­ge her­stel van de fa­brieks­in­stel­lin­gen. Als je vreest dat je ap­pa­raat ho­pe­loos be­smet en ver­vuild is, voer je de bo­ven­staan­de wacht­woord­wij­zi­gin­gen pas uit na de re­set of van­af een an­der ap­pa­raat, om­dat an­ders een even­tu­eel nog ge­ïn­stal­leer­de key­log­ger het nieu­we wacht­woord op­pikt. De re­set ver­wij­dert al­le ge­ge­vens van de te­le­foon, dus breng van te­vo­ren al­le be­lang­rij­ke fo­to’s, adres­sen en af­spra­ken in vei­lig­heid en no­teer be­lang­rij­ke as­pec­ten van je con­fi­gu­ra­tie.

Je start de re­set via de in­stel­lin­gen bij 'Sys­teem/Op­ties her­stel­len / Al­le ge­ge­vens ver­wij­de­ren', op an­de­re sys­te­men mo­ge­lijk ook 'Back­up en re­set / Fa­brieks­in­stel­lin­gen her­stel­len' of iets der­ge­lijks.

Let er­op dat je het ap­pa­raat op­nieuw in­stelt als een 'nieuw ap­pa­raat' en niet bij­voor­beeld van­af een back­up. An­ders loop je het ri­si­co dat je ap­pa­raat di­rect weer be­smet wordt uit de back­up. Zorg er ook voor dat je de toe­gang tot het ap­pa­raat blok­keert, via een vin­ger­af­druk, je ge­zicht of een wacht­woord, maar dan ten min­ste met een pin­co­de van vier of nog lie­ver zes cij­fers. (mdt)

www.ct.nl/soft­link/1811088

De in­ge­bouw­de vi­rus­scan­ner van An­droid mag niet ge­de­ac­ti­veerd zijn (links) en de laat­ste con­tro­le mag niet te lang ge­le­den zijn. De scan­ner de­tec­teert nor­ma­li­ter al bij de in­stal­la­tie spi­o­na­ge­apps (rechts), zelfs als die zich als een ver­trouw­de com­po­nent ver­mom­men.

Met Root Chec­ker ach­ter­haal je of een ap­pa­raat ge­root is. Het be­richt 'Con­gra­tu­la­ti­ons!' be­te­kent in dit ge­val 'Let op! Besmet­tings­ge­vaar!'

Newspapers in Dutch

Newspapers from Netherlands

© PressReader. All rights reserved.