De Militaire Inlichtingen en Veiligheidsdienst kwam recent met een opvallende waarschuwing: laat collega’s voortaan nooit meer hun smartphones meenemen tijdens een vergadering. Volgens de MIVD ligt er een spionagerisico op de loer.
Jan Swillens, diensthoofd van de MIVD, benadrukt dat zeker wanneer er bedrijfsgeheimen worden besproken, smartphones of tablets op tafel uit den boze zijn. Er zou een te groot risico zijn op cyberspionage. Een onderbouwing hiervoor? Die geeft de topman niet.
Omdat het een opvallende uitspraak is, gaan we voor u wat dieper in op de materie. Want hoe reëel is de kans dat een crimineel u afluistert via uw smartphone? En zetten aanvallers deze methode in om bedrijfsgeheimen van doelwitten te achterhalen? Wat zijn de mogelijkheden?
Er bestaat afluistersoftware voor smartphones
Allereerst: is afluisteren via een smartphone (in slaapmodus) mogelijk? Er gaan al een aantal jaar speculaties rond dat Facebook dit zou doen om relevantere advertenties te kunnen tonen aan gebruikers. Of dit echt zo is, is tot op heden niet bevestigd. Het kan tenslotte ook toeval zijn dat Facebook advertenties met merkschoenen laat zien, vlak nadat u een gesprek hebt gehad over versleten schoenzolen.
Wat we wel weten, is dat in 2017 bekend werd dat honderden gameapps de microfoons van gebruikers inschakelden om ze daadwerkelijk af te luisteren. Er werd hierbij gebruik gemaakt van software van Alphonso, een bedrijf uit Amerika. De games verzamelden audiofragmenten om door te verkopen aan adverteerders. Denk aan informatie over de TV-programma’s die gebruikers kijken. Een lucratief verdienmodel voor deze gratis games.
Dus of afluistersoftware bestaat? Jazeker.
De overheid mag afluisteren
Interessant om te weten: de overheid mag legaal smartphones afluisteren. Met speciale apparatuur verkrijgen ze via de providers toegang tot toestellen om zo telefoongesprekken af te tappen. Uiteraard doen ze dit niet zomaar: enkel wanneer er iets aangetoond moet worden in een rechtszaak.
Hoe eenvoudig komen aftap-apps op uw telefoon terecht?
Dat er software bestaat om geluidsfragmenten af te tappen, geeft al aan dat het technisch mogelijk is om via deze weg bedrijfsgeheimen te stelen. Of die software zomaar op uw toestel terecht kan komen? De smartphone-ontwikkelaars en reguliere appstores doen hun best gebruikers vanuit hun kant te beschermen met de volgende regels:
1. Een app moet toestemming vragen voor het gebruik van de microfoon
Om misbruik van apps te voorkomen, moeten gebruikers tegenwoordig bij de installatie van een app handmatig toestemming geven tot functionaliteiten van de telefoon. Een calculator die toegang wil tot uw microfoon zou al meteen een alarmbel af moeten laten gaan. Want waar heeft die app uw microfoon voor nodig?
2. Een app komt niet zomaar in de appstore
Om malafide apps uit de buurt van smartphones te houden, heeft zowel de Google Playstore als de iOS Appstore een controlebeleid. Een app moet eerst worden goedgekeurd voordat hij op de appstore komt. Het beleid van Apple is beduidend strenger dan die van Android, maar beiden zijn niet waterdicht.
Mooie maatregelen, maar de praktijk is anders
Ondanks het controlebeleid komen kwaadwillende apps alsnog regelmatig in de reguliere appstores terecht. Zo ontwikkelen aanvallers onschuldig uitziende toolapps zoals flashlights, die vervolgens malware op het systeem droppen. Deze apps worden ook wel “droppers” genoemd. En lukt het toch niet een malafide app in de appstore te krijgen? Dan heeft de ontwikkelaar gewoon nog een andere optie: hem aanbieden in een onofficiële appstore. Die hebben voldoende gebruikers.
Let op: aanvallers zijn in staat ook populaire en valide apps om te toveren tot een dropper. Dat gebeurde recent bij Camscanner, een app met meer dan 380 miljoen installaties.
Kwetsbaarheden in het OS
Daarnaast vormen kwetsbaarheden in het OS ook nog een potentiële kans voor aanvallers die willen spioneren. Waarom? Middels deze kwetsbaarheden kunnen ze de betrouwbare reguliere appstores op zijn kop zetten. Zo krijgen ze via populaire apps alsnog malware op uw toestel. Hoe dat werkt? Een bekend recent voorbeeld is bijvoorbeeld Strandhogg en Strandhogg v2.
Kwetsbare apps
Ook als u apps beperkte toegang tot functionaliteiten geeft, is er nog geen garantie dat u veilig bent. Zit er een kwetsbaarheid in een van uw apps? Nog niet zo heel lang geleden hebben hackers via een kwetsbaarheid in de Google Pixel camera app toegang weten te krijgen tot de camera’s van gebruikers. Ideaal voor spionageactiviteiten. Het is dus niet ondenkbaar dat hackers een kwetsbaarheid exploiteren om toegang te krijgen tot microfoons van smartphonegebruikers.
Kwetsbaarheden duiken geregeld op. Het is daarom belangrijk om uw OS en apps altijd up-to-date te houden. Vaak zijn ontwikkelaars er op tijd bij met beveiligingsupdates. Let er ook op dat u geen verouderd OS gebruikt: die krijgen die updates niet meer.
Hoeveel gevaar lopen bedrijven?
De waarschuwing van Swillens is zo urgent, dat het de indruk wekt dat een groot deel van de smartphones al geïnfecteerd is met spionagesoftware. Ja, audio aftappen van een smartphone is mogelijk. Maar makkelijk? Niet echt.
Het kost veel werk om een telefoon af te kunnen luisteren. Zeker wanneer één bedrijf doelwit is, is het nogal een klus om de software op de smartphone van de juiste persoon te krijgen. Maar is er voor een crimineel (of concurrent) voldoende motivatie om een vergadering af te luisteren? Dan kan er een hoop.
Better safe than sorry
Voorzichtig zijn kan nooit kwaad. Zeker wanneer u belangrijke zaken gaat bespreken, is het een optie ervoor te kiezen de aanwezigen te verzoeken hun smartphone ergens anders op te bergen. Wat heeft u te verliezen? Een telefoon kan vaak wel gemist worden aan de vergadertafel.
Maar of u nu panisch iedereen moet verzoeken zijn of haar smartphone thuis te laten? Er zijn voor hackers voldoende andere manieren om achter gevoelige informatie te komen. Geef – bijvoorbeeld- het dichten van kwetsbaarheden liever liever uw prioriteit.