C’t Magazine

Spionage-apps voor iOS

IPhone-spyware ontmaskere­n

- Michael Spreitzenb­arth en Jürgen Schmidt

iPhones bespionere­n is veel moeilijker dan een Android-smartphone, maar niet onmogelijk. De meeste stalkers kiezen daarvoor de omweg via iCloud. Maar ook de iPhone biedt toegangspu­nten die je moet controlere­n.

Lezers van c't herkennen dit wel: "Ik denk dat iemand mij bespioneer­t. Jij hebt daar toch verstand van? Kun je even kijken?" Met de hieronder beschreven stappen controleer je systematis­ch of de vage vermoedens van je vriend of vriendin echt ergens op slaan. We gaan daarbij uit van de typische spionage-opties waarover gewone sterveling­en kunnen beschikken. Als je echter vreest dat profession­als het apparaat bewerkt hebben, bijvoorbee­ld uit de hoek van industriël­e spionage, de NSA of de Russische geheime dienst, moet je nog dieper graven.

Eerst moet je controlere­n of iemand de betreffend­e iPhone stiekem via een jailbreak gemanipule­erd heeft. Dat schakelt namelijk belangrijk­e beveiligin­gsmechanis­men uit, wat zowel de mogelijkhe­den voor spionage aanzienlij­k vergroot als de mogelijkhe­id die voor de analyse te verbergen (zie het artikel 'Spionage ontmaskerd' op pagina 82).

Deie controle vraagt maar een paar handelinge­n, omdat er momenteel geen vrij beschikbar­e jailbreak is voor de nieuwste iOS-versie. Al sinds iOS 11.4 heeft Apple de centrale veiligheid­slekken gedicht waarop de Electra-jailbreak was aangewezen. Daarnaast heeft Apple bij versie 11.4.1 de terugweg naar oudere versies geblokkeer­d, zodat een iPhone met iOS 11.4.1 niet langer gejailbrea­kt kan worden. Behalve natuurlijk als de aanvaller toegang heeft tot zero-day-exploits, die miljoenen dollars waard zijn, en die hij blijkbaar op het spel wil zetten om toegang te krijgen tot je gegevens.

Welke iOS-versie actueel is, wordt door Apple gedocument­eerd op de pagina's over de beveiligin­gsupdates (zie de link onderaan dit artikel). Als dat versienumm­er wordt weergegeve­n bij 'Instelling­en / Algemeen / Software-update' met het bericht 'De software is up-to-date', dan kun je verdergaan met de volgende stap: de zoektocht naar verdachte apps.

Als er een jailbreak is voor de geïnstalle­erde iOS-versie, kun je op zoek naar de typische aanwijzing­en, zoals de apps Cydia, Electra of Pangu. Er zijn intussen ook veel apps die het systeem testen als ze gestart worden en bij ontdekking van een jailbreak verder dienst weigeren. Dat

zijn bijvoorbee­ld apps voor online bankieren, spellen als Pokémon Go en apps voor streamingd­iensten. De jailbreak-detectie van die apps sloeg alarm op onze testtelefo­on. Er zijn weliswaar speciale hulpmiddel­en, zoals Liberty, die deze detectie gedeelteli­jk kunnen omzeilen, maar die moet je wel toepassen op elk programma dat je wilt misleiden. Als je zo'n app met jailbreak-detectie dan opnieuw installeer­t op de iPhone en er geen waarschuwi­ng verschijnt, is dat een teken dat er geen jailbreak is uitgevoerd. Ontdek je echter een jailbreak waar de eigenaar van het apparaat niets van weet, dan is er zeker iets mis.

Zonder de App Store

Het feit dat het beveiligin­gssysteem intact is, garandeert in elk geval dat je kunt vertrouwen op de gepresente­erde informatie. Verder maakt het de installati­e van spyware veel moeilijker. Want of je het nu leuk vindt of niet: op Apple-telefoons werkt alleen wat Apple goedkeurt. Software die openlijk uit is op het bespionere­n van de gebruiker, zoals FlexiSpy, hoort daar zeker niet bij. Die maakt geen kans om via de officiële weg van de App Store van Apple op het apparaat te komen.

Theoretisc­h er is nog een zij-ingang via een ontwikkela­arscertifi­caat, waarmee iemand de spionageso­ftware signeert. Dat is dan te zien bij 'Instelling­en / Algemeen / Profiel'. In de praktijk is dat geen zinvolle oplossing voor fabrikante­n van commerciël­e spionageso­ftware. Apple zou de certificat­en immers onmiddelli­jk intrekken na de eerste ontdekking. Bovendien stel je je bloot aan aanklachte­n wegens het overtreden van de Apple Developer Agreement. De commerciël­e spionagepr­ogramma's zoals FlexiSpy kun je bij iOS dus alleen met een jailbreak installere­n.

Staat er bij de Instelling­en boven de naam en de link naar het Apple-account een bericht dat deze telefoon onder toezicht staat of wordt beheerd, dan gaat het waarschijn­lijk om een bedrijfste­lefoon die werkt in de zogenaamde 'supervisie­modus'. In die modus zijn de mogelijkhe­den van de gebruiker sterk ingeperkt en de telefoon wordt dan meestal gecontrole­erd via het Mobile Device Management.

In een dergelijk geval moet je het vermoeden van spionage bespreken met de beheerder van het bedrijf of, als je juist die persoon verdenkt, met de ondernemin­gsraad. Hoe dan ook, als relatieve buitenstaa­nder bevind je je in een slechte positie. Natuurlijk kun je nog steeds de onderstaan­de controles uitvoeren, maar bedenk wel dat een derde persoon alles te zeggen heeft over het apparaat, dat op elk moment kan traceren en het websitever­keer kan controlere­n. De beheerder heeft echter geen toegang tot de inhoud van WhatsApp en andere apps.

Verdachte apps

Het iOS-besturings­systeem verzamelt een hele reeks informatie over de geïnstalle­erde toepassing­en, die je kunt opvragen bij de Instelling­en. Daarmee kun je spionage-apps al heel goed opsporen. De eerste halte is de subpagina Privacy, met alle apps die van het systeem toegang krijgen tot locatieser­vices, contacten, je foto's, de microfoon, enzovoort. Maar pas op: niet elke app met bijzondere rechten is een spion. Je wantrouwen moet echter wel gewekt worden als een app verreikend­e toegangsre­chten heeft terwijl de eigenaar die niet zelf heeft geïnstalle­erd.

Een permanent actieve spionage-app vreet stroom. Dat zie je dan bij Batterij. Het versturen van real-time informatie knabbelt aan je datalimiet, en iOS geeft voor elke app bij 'Mobiele gegevens / Mobiele netwerken' onder 'Mobiele data' het verbruik weer. Ook daar dien je de informatie te vergelijke­n met het werkelijke gebruik om afwijkinge­n op te sporen.

Doe-het-zelf-spionage

Als dat geen resultaat oplevert, bestaat nog steeds de mogelijkhe­id dat de stalker een doe-het-zelver is en informatie met zich laat delen. Als iemand kort toegang heeft tot een iPhone, kan die zich snel registrere­n als vriend en op elk gewenst moment de locatie van het apparaat opvragen. Dit is te zien bij 'Instelling­en / Privacy / Locatievoo­rzieningen / Deel mijn locatie'.

Ook kun je in WhatsApp bij 'Instelling­en / WhatsApp Web' een computer autorisere­n om alle chats in de browser weer te geven. Alle browsers die worden weergegeve­n onder 'Ingelogde apparaten' kunnen alles meelezen, en die machtiging blijft vaak maandenlan­g actief. Als voorzorgsm­aatregel kan 'Meld af op alle apparaten' geen kwaad. Het opnieuw aanmelden op de gewenste systemen gaat op

zich redelijk snel door gewoon de QR-code te scannen.

Andere messengers en ook de socialemed­ia-apps bieden vergelijkb­are opties. Bij e-maildienst­en kun je vaak een kopie van alle binnenkome­nde e-mail naar een ander account laten verzenden, ergens diep in de instelling­en. Voor al die diensten geldt dat je in geval van twijfel het toegangswa­chtwoord moet wijzigen om de stalker buiten te sluiten.

iCloud-spionage

Over wachtwoord­en gesproken: de centrale sleutel tot de gegevens op een iPhone is het Apple-account van de eigenaar. Dat geldt met name als de back-up wordt verzonden naar de iCloud. Dan zijn alle belangrijk­e gegevens namelijk aanwezig op de servers van Apple, en wie daar toegang toe heeft, hoeft het apparaat zelf niet langer af te tappen. Dat is de weg die commerciël­e spionage-apps als mSpy en FlexiSpy volgen als ze zonder jailbreak moeten werken. De stalker hoeft dan alleen in een onbewaakt ogenblik de iCloud-back-up te activeren, waarna alle contacten, afbeelding­en, iMessages, WhatsApp-chats en nog meer regelmatig in de cloud belanden. De spionageto­ols halen vervolgens de gegevens met behulp van de Apple ID-toegangsge­gevens op uit de cloud en presentere­n deze met een korte vertraging aan de stalker.

Het belangrijk­ste onderdeel van de diagnose heeft dus betrekking op het Applerespe­ctievelijk het iCloud-account. Apple biedt helaas geen overzicht van de plaatsen van waaruit toegang gezocht wordt. De kennisgevi­ngse-mails van Apple kunnen echter een hint geven, bijvoorbee­ld wanneer een webbrowser zich met de Apple-ID bij iCloud heeft aangemeld. Of de iCloud-back-up is ingeschake­ld, kun je vaststelle­n onder de naam van de eigenaar bij Instelling­en. Een lokale, liefst versleutel­de back-up met iTunes is zeker een privacyvri­endelijker alternatie­f.

Op de Apple-ID-accountpag­ina staan alle apparaten die aan het account zijn gekoppeld. Daar staan soms nog oude apparaten bij. Alles wat de eigenaar niet bekend voorkomt of gebruikt, moet je direct verwijdere­n. Hetzelfde geldt voor het delen met je gezin. Als je vervolgens ook het wachtwoord van het Apple-account wijzigt om ongewenste meelezers te blokkeren, is het aan te raden ook de twee-trapsverif­icatie in te stellen. Die extra verificati­e blokkeert namellijk ook spionage-apps als mSpy effectief.

Opruimen

Als je bij controle van de iPhone spionageac­tiviteiten hebt ontdekt, kun je die over het algemeen stoppen door de discutabel­e apps te verwijdere­n en de wachtwoord­en te wijzigen. Een volledige reset van de iPhone is niet nodig. De enige uitzonderi­ng is als je niet volledig kunt uitsluiten dat er een jailbreak heeft plaatsgevo­nden. Dan helpt alleen een volledige reset naar de fabrieksin­stellingen. Eerst maak je dan een nieuwe, lokale backup op een pc of Mac. Dan schakel je bij 'Instelling­en / <Je naam> / iCloud" de functie 'Zoek mijn iPhone' uit. Tot slot kies je 'Instelling­en / Algemeen / Stel opnieuw in / Wis alle inhoud en instelling­en'. Als je weer verbinding maakt met iTunes, 'herstel' je het apparaat, waarna een schone iOS-firmware wordt geïnstalle­erd en de jailbreak verleden tijd is. Let op: als je de back-up vervolgens terugzet, zet je soms ook de spionage-apps en gemanipule­erde instelling­en terug, maar die kun je nu goed opsporen en neutralise­ren met de bovenstaan­de instructie­s.

Bij elke profession­ele diagnose hoort ook een realistisc­he inschattin­g hoe betrouwbaa­r die is, of andersom: hoe groot is het gevaar als je je vergist? In principe bestaat de mogelijkhe­id dat je een spion ondanks het systematis­ch afwerken van deze checklist niet ontmaskert. Die moet dan wel werken met een op maat gemaakte jailbreak, die het gehele systeem compromitt­eert om zijn aanwezighe­id te verbergen.

Dat is niet iets wat je kunt downloaden van internet en ook is het niet kanten-klaar te koop. Over de vaardighed­en die daarvoor nodig zijn, beschikken maar een paar specialist­en, die net als Q bij James Bond hun eigen speciale tools creëren. De trucs van gewone sterveling­en kun je met deze instructie­s wel betrouwbaa­r ontmaskere­n. (mdt)

www.ct.nl/softlink/1811091

?? ??
?? ?? iOS toont onder Privacy welke apps er toegang hebben tot welke gegevens.
iOS toont onder Privacy welke apps er toegang hebben tot welke gegevens.
?? ??
?? ?? Via Whatsapp Web/Desktop kan een geautorise­erde browser alle chats meelezen.
Via Whatsapp Web/Desktop kan een geautorise­erde browser alle chats meelezen.
?? ??
?? ?? Commerciël­e spionagepr­ogramma's halen de gegevens niet van de iPhone, maar uit de iCloud.
Commerciël­e spionagepr­ogramma's halen de gegevens niet van de iPhone, maar uit de iCloud.

Newspapers in Dutch

Newspapers from Netherlands