Spionage-apps voor iOS
IPhone-spyware ontmaskeren
iPhones bespioneren is veel moeilijker dan een Android-smartphone, maar niet onmogelijk. De meeste stalkers kiezen daarvoor de omweg via iCloud. Maar ook de iPhone biedt toegangspunten die je moet controleren.
Lezers van c't herkennen dit wel: "Ik denk dat iemand mij bespioneert. Jij hebt daar toch verstand van? Kun je even kijken?" Met de hieronder beschreven stappen controleer je systematisch of de vage vermoedens van je vriend of vriendin echt ergens op slaan. We gaan daarbij uit van de typische spionage-opties waarover gewone stervelingen kunnen beschikken. Als je echter vreest dat professionals het apparaat bewerkt hebben, bijvoorbeeld uit de hoek van industriële spionage, de NSA of de Russische geheime dienst, moet je nog dieper graven.
Eerst moet je controleren of iemand de betreffende iPhone stiekem via een jailbreak gemanipuleerd heeft. Dat schakelt namelijk belangrijke beveiligingsmechanismen uit, wat zowel de mogelijkheden voor spionage aanzienlijk vergroot als de mogelijkheid die voor de analyse te verbergen (zie het artikel 'Spionage ontmaskerd' op pagina 82).
Deie controle vraagt maar een paar handelingen, omdat er momenteel geen vrij beschikbare jailbreak is voor de nieuwste iOS-versie. Al sinds iOS 11.4 heeft Apple de centrale veiligheidslekken gedicht waarop de Electra-jailbreak was aangewezen. Daarnaast heeft Apple bij versie 11.4.1 de terugweg naar oudere versies geblokkeerd, zodat een iPhone met iOS 11.4.1 niet langer gejailbreakt kan worden. Behalve natuurlijk als de aanvaller toegang heeft tot zero-day-exploits, die miljoenen dollars waard zijn, en die hij blijkbaar op het spel wil zetten om toegang te krijgen tot je gegevens.
Welke iOS-versie actueel is, wordt door Apple gedocumenteerd op de pagina's over de beveiligingsupdates (zie de link onderaan dit artikel). Als dat versienummer wordt weergegeven bij 'Instellingen / Algemeen / Software-update' met het bericht 'De software is up-to-date', dan kun je verdergaan met de volgende stap: de zoektocht naar verdachte apps.
Als er een jailbreak is voor de geïnstalleerde iOS-versie, kun je op zoek naar de typische aanwijzingen, zoals de apps Cydia, Electra of Pangu. Er zijn intussen ook veel apps die het systeem testen als ze gestart worden en bij ontdekking van een jailbreak verder dienst weigeren. Dat
zijn bijvoorbeeld apps voor online bankieren, spellen als Pokémon Go en apps voor streamingdiensten. De jailbreak-detectie van die apps sloeg alarm op onze testtelefoon. Er zijn weliswaar speciale hulpmiddelen, zoals Liberty, die deze detectie gedeeltelijk kunnen omzeilen, maar die moet je wel toepassen op elk programma dat je wilt misleiden. Als je zo'n app met jailbreak-detectie dan opnieuw installeert op de iPhone en er geen waarschuwing verschijnt, is dat een teken dat er geen jailbreak is uitgevoerd. Ontdek je echter een jailbreak waar de eigenaar van het apparaat niets van weet, dan is er zeker iets mis.
Zonder de App Store
Het feit dat het beveiligingssysteem intact is, garandeert in elk geval dat je kunt vertrouwen op de gepresenteerde informatie. Verder maakt het de installatie van spyware veel moeilijker. Want of je het nu leuk vindt of niet: op Apple-telefoons werkt alleen wat Apple goedkeurt. Software die openlijk uit is op het bespioneren van de gebruiker, zoals FlexiSpy, hoort daar zeker niet bij. Die maakt geen kans om via de officiële weg van de App Store van Apple op het apparaat te komen.
Theoretisch er is nog een zij-ingang via een ontwikkelaarscertificaat, waarmee iemand de spionagesoftware signeert. Dat is dan te zien bij 'Instellingen / Algemeen / Profiel'. In de praktijk is dat geen zinvolle oplossing voor fabrikanten van commerciële spionagesoftware. Apple zou de certificaten immers onmiddellijk intrekken na de eerste ontdekking. Bovendien stel je je bloot aan aanklachten wegens het overtreden van de Apple Developer Agreement. De commerciële spionageprogramma's zoals FlexiSpy kun je bij iOS dus alleen met een jailbreak installeren.
Staat er bij de Instellingen boven de naam en de link naar het Apple-account een bericht dat deze telefoon onder toezicht staat of wordt beheerd, dan gaat het waarschijnlijk om een bedrijfstelefoon die werkt in de zogenaamde 'supervisiemodus'. In die modus zijn de mogelijkheden van de gebruiker sterk ingeperkt en de telefoon wordt dan meestal gecontroleerd via het Mobile Device Management.
In een dergelijk geval moet je het vermoeden van spionage bespreken met de beheerder van het bedrijf of, als je juist die persoon verdenkt, met de ondernemingsraad. Hoe dan ook, als relatieve buitenstaander bevind je je in een slechte positie. Natuurlijk kun je nog steeds de onderstaande controles uitvoeren, maar bedenk wel dat een derde persoon alles te zeggen heeft over het apparaat, dat op elk moment kan traceren en het websiteverkeer kan controleren. De beheerder heeft echter geen toegang tot de inhoud van WhatsApp en andere apps.
Verdachte apps
Het iOS-besturingssysteem verzamelt een hele reeks informatie over de geïnstalleerde toepassingen, die je kunt opvragen bij de Instellingen. Daarmee kun je spionage-apps al heel goed opsporen. De eerste halte is de subpagina Privacy, met alle apps die van het systeem toegang krijgen tot locatieservices, contacten, je foto's, de microfoon, enzovoort. Maar pas op: niet elke app met bijzondere rechten is een spion. Je wantrouwen moet echter wel gewekt worden als een app verreikende toegangsrechten heeft terwijl de eigenaar die niet zelf heeft geïnstalleerd.
Een permanent actieve spionage-app vreet stroom. Dat zie je dan bij Batterij. Het versturen van real-time informatie knabbelt aan je datalimiet, en iOS geeft voor elke app bij 'Mobiele gegevens / Mobiele netwerken' onder 'Mobiele data' het verbruik weer. Ook daar dien je de informatie te vergelijken met het werkelijke gebruik om afwijkingen op te sporen.
Doe-het-zelf-spionage
Als dat geen resultaat oplevert, bestaat nog steeds de mogelijkheid dat de stalker een doe-het-zelver is en informatie met zich laat delen. Als iemand kort toegang heeft tot een iPhone, kan die zich snel registreren als vriend en op elk gewenst moment de locatie van het apparaat opvragen. Dit is te zien bij 'Instellingen / Privacy / Locatievoorzieningen / Deel mijn locatie'.
Ook kun je in WhatsApp bij 'Instellingen / WhatsApp Web' een computer autoriseren om alle chats in de browser weer te geven. Alle browsers die worden weergegeven onder 'Ingelogde apparaten' kunnen alles meelezen, en die machtiging blijft vaak maandenlang actief. Als voorzorgsmaatregel kan 'Meld af op alle apparaten' geen kwaad. Het opnieuw aanmelden op de gewenste systemen gaat op
zich redelijk snel door gewoon de QR-code te scannen.
Andere messengers en ook de socialemedia-apps bieden vergelijkbare opties. Bij e-maildiensten kun je vaak een kopie van alle binnenkomende e-mail naar een ander account laten verzenden, ergens diep in de instellingen. Voor al die diensten geldt dat je in geval van twijfel het toegangswachtwoord moet wijzigen om de stalker buiten te sluiten.
iCloud-spionage
Over wachtwoorden gesproken: de centrale sleutel tot de gegevens op een iPhone is het Apple-account van de eigenaar. Dat geldt met name als de back-up wordt verzonden naar de iCloud. Dan zijn alle belangrijke gegevens namelijk aanwezig op de servers van Apple, en wie daar toegang toe heeft, hoeft het apparaat zelf niet langer af te tappen. Dat is de weg die commerciële spionage-apps als mSpy en FlexiSpy volgen als ze zonder jailbreak moeten werken. De stalker hoeft dan alleen in een onbewaakt ogenblik de iCloud-back-up te activeren, waarna alle contacten, afbeeldingen, iMessages, WhatsApp-chats en nog meer regelmatig in de cloud belanden. De spionagetools halen vervolgens de gegevens met behulp van de Apple ID-toegangsgegevens op uit de cloud en presenteren deze met een korte vertraging aan de stalker.
Het belangrijkste onderdeel van de diagnose heeft dus betrekking op het Applerespectievelijk het iCloud-account. Apple biedt helaas geen overzicht van de plaatsen van waaruit toegang gezocht wordt. De kennisgevingse-mails van Apple kunnen echter een hint geven, bijvoorbeeld wanneer een webbrowser zich met de Apple-ID bij iCloud heeft aangemeld. Of de iCloud-back-up is ingeschakeld, kun je vaststellen onder de naam van de eigenaar bij Instellingen. Een lokale, liefst versleutelde back-up met iTunes is zeker een privacyvriendelijker alternatief.
Op de Apple-ID-accountpagina staan alle apparaten die aan het account zijn gekoppeld. Daar staan soms nog oude apparaten bij. Alles wat de eigenaar niet bekend voorkomt of gebruikt, moet je direct verwijderen. Hetzelfde geldt voor het delen met je gezin. Als je vervolgens ook het wachtwoord van het Apple-account wijzigt om ongewenste meelezers te blokkeren, is het aan te raden ook de twee-trapsverificatie in te stellen. Die extra verificatie blokkeert namellijk ook spionage-apps als mSpy effectief.
Opruimen
Als je bij controle van de iPhone spionageactiviteiten hebt ontdekt, kun je die over het algemeen stoppen door de discutabele apps te verwijderen en de wachtwoorden te wijzigen. Een volledige reset van de iPhone is niet nodig. De enige uitzondering is als je niet volledig kunt uitsluiten dat er een jailbreak heeft plaatsgevonden. Dan helpt alleen een volledige reset naar de fabrieksinstellingen. Eerst maak je dan een nieuwe, lokale backup op een pc of Mac. Dan schakel je bij 'Instellingen / <Je naam> / iCloud" de functie 'Zoek mijn iPhone' uit. Tot slot kies je 'Instellingen / Algemeen / Stel opnieuw in / Wis alle inhoud en instellingen'. Als je weer verbinding maakt met iTunes, 'herstel' je het apparaat, waarna een schone iOS-firmware wordt geïnstalleerd en de jailbreak verleden tijd is. Let op: als je de back-up vervolgens terugzet, zet je soms ook de spionage-apps en gemanipuleerde instellingen terug, maar die kun je nu goed opsporen en neutraliseren met de bovenstaande instructies.
Bij elke professionele diagnose hoort ook een realistische inschatting hoe betrouwbaar die is, of andersom: hoe groot is het gevaar als je je vergist? In principe bestaat de mogelijkheid dat je een spion ondanks het systematisch afwerken van deze checklist niet ontmaskert. Die moet dan wel werken met een op maat gemaakte jailbreak, die het gehele systeem compromitteert om zijn aanwezigheid te verbergen.
Dat is niet iets wat je kunt downloaden van internet en ook is het niet kanten-klaar te koop. Over de vaardigheden die daarvoor nodig zijn, beschikken maar een paar specialisten, die net als Q bij James Bond hun eigen speciale tools creëren. De trucs van gewone stervelingen kun je met deze instructies wel betrouwbaar ontmaskeren. (mdt)
www.ct.nl/softlink/1811091