Zo werkt spyware op smartphones

Marco den Teuling
0

Inhoudsopgave

Spioneren op mobiele telefoons is niet iets geheimzinnigs. Spyware is normale software, en vaak zelfs heel slechte. Als je begrijpt hoe het in zijn werk gaat, kun je het ontmaskeren en onschadelijk maken.

Als een spionageprogramma gegevens wil verzamelen en verzenden, moet het eerst op de telefoon van het slachtoffer komen. Dat is een probleem voor rechercheurs die een verdachte willen volgen, omdat men geen directe toegang tot zijn smartphone heeft. En krijgen ze die in handen, dan is het apparaat meestal beschermd met een pincode of ander vergrendelingsmechanisme.

De FBI en andere opsporingsinstanties kopen dus voor zescijferige bedragen exploits, waarmee ze die hindernis kunnen nemen.
Bij commerciële spionage-apps zoals FlexiSpy, mSpy en dergelijke voert de jaloerse partner het vuile werk uit.

Die installeert de trojan in een onbewaakt ogenblik. Hij beschikt over de vereiste code of hij bemachtigt het apparaat op het moment dat het ontgrendeld is.

Sneaky toegang verkrijgen

Er zijn zelfs gevallen bekend waarbij de vinger van het slapende slachtoffer op de ontgrendelknop gelegd werd. En het kan nog eenvoudiger: de dader geeft een apparaat cadeau dat hij eerder op zijn gemak heeft voorbereid.

De rest is eenvoudig, de makers bieden immers stapsgewijze installatie-instructies. Die beschrijven onder andere welke veiligheidsmaatregelen uitgeschakeld moeten worden om het mogelijk te maken de software te installeren.

Op een iPhone is daar een jailbreak voor nodig. Alleen daarmee kun je software installeren zonder de digitale handtekening van Apple, buiten de officiële App Store om.

Bij Android is dat makkelijker, omdat je met een kleine ingreep software vanuit elke willekeurige bron kunt installeren.

Niet in de app-stores

Commerciële spionagesoftware is niet te krijgen in de officiële stores van Apple en Google. Apple controleert voor het toelaten van een app welke gegevens die app opvraagt, of dat past bij de opgegeven eigenschappen er van en of dat ook transparant wordt getoond aan de gebruiker. Daar voldoen Flexispy en mSpy natuurlijk niet aan, want die willen natuurlijk gewoon stiekem op de achtergrond toegang krijgen tot alles.

Google heeft vergelijkbare tests voor de Play Store. Google kan zelfs apps die uit andere bronnen zijn geïnstalleerd achteraf verwijderen als die kwaadaardig blijken te zijn. Die functie heet Google Play Protect. Daar scant het systeem regelmatig alle geïnstalleerde apps voor.

Achter de zogenaamde ‘Update
service’ gaat het spionageprogramma
mSpy schuil.

Als er dan schadelijke apps worden gevonden, worden die verwijderd en wordt de gebruiker gewaarschuwd. Ook daar vertrouwen FlexiSpy en dergelijke niet op high-tech trucs, maar instrueren ze de stalker om die beveiliging tijdens het installeren uit te schakelen.

Vervolgens probeert het spionage­programma toegang te krijgen tot aller­lei gebruikersgegevens. Smartphones hebben echter een aanzienlijk diepere beveiliging dan een Windows-pc. Daarop heeft elk actief programma in principe toegang tot alle gebruikersgegevens, voor zover die niet versleuteld zijn.

E-mails, contacten, docu­menten, de browsegeschiedenis: alles is vrij toegankelijk. Een spionagetrojan voor een pc kan die gewoon verzamelen en verzenden via internet.

Grensoverschrijdend gedrag

Bij de huidige mobiele besturingssystemen is het echter gebruikelijk dat elke app in een eigen beveiligde omgeving draait, de zogeheten sandbox. In die sandbox kan hij alleen via vast bepaalde API’s communiceren met het besturingssysteem, maar blijft hij geïsoleerd van andere apps en processen. Dat garandeert dat de gegevens van WhatsApp alleen door WhatsApp gezien en bewerkt kunnen worden.

Spionagesoftware omzeilt die horde het eenvoudigste en beste door de beveiligingsmechanismen van het systeem uit te schakelen en zichzelf tot absoluut heerser te promoveren. Bij Android-systemen heet dat ‘rooten’, waarmee je de rechten krijgt van het bijna almachtige rootaccount.

Bij iOS wordt een ontsnapping uit de rechtengevangenis een ‘jailbreak’ genoemd. Als een bezitter dat zelf al heeft gedaan, heeft de stalker het makkelijk. Anders moet hij zelf aan de slag. Op iOS kan dat nauwelijks anders, als je bijvoorbeeld wilt dat een andere app toegang krijgt tot de gegevens van WhatsApp.

Doorlezen is gratis, maar eerst even dit:

Dit artikel is met grote zorg samengesteld door de redactie van c’t magazine – het meest toonaangevende computertijdschrift van Nederland en België. Met zeer uitgebreide tests en praktische workshops biedt c’t de diepgang die je nergens online vindt.

Bekijk de abonnementen   Lees eerst verder

Alternatieve aanvalsroute

Theoretisch is er echter nog een andere aanval mogelijk. Bij bedrijven worden de mobiele apparaten meestal beheerd via een centraal Mobile Device Management (MDM). Een dergelijk MDM biedt echter ook mogelijkheden voor spionage. Onlangs ontdekte Cisco Talos in India een spionageaanval die daarvan profiteerde.

Daarbij werden verschillende iPhones ondergeschikt gemaakt aan een MDM van de aanvallers en vervolgens voorzien van versies van WhatsApp en Telegram met trojans.

Voor gebruik in commerciële apps voor de openbare markt is die aanpak gelukkig niet geschikt, omdat bij elk ontdekt geval van spionage de betrokken certificaten en MDM’s ongeldig gemaakt worden.

Al op de eerste van de vijf pagina’s
blijkt dat die zogenaamde ‘Update
service’ overal bij wil kunnen.

Android heeft echter een soort ‘MDM-light’, waarbij één app wordt aangewezen als apparaatbeheerder. Dan krijgt die app speciale rechten, ook zonder het apparaat te rooten. Hij kan dan toegang krijgen tot functies als GPS-tracking, oproepdoorschakeling, proxy-instellingen enzovoort, en die ook wijzigen.

Spyware kan dan bovendien ook andere apps installeren of verwijderen. Daarvan maken de programma’s OmniRAT en FlexiSpy gebruik om hun functionaliteit uit te breiden.

Open deuren

Het sandbox-concept is bovendien met opzet niet waterdicht. Als het strikt zou worden toegepast, zou het bijvoorbeeld onmogelijk zijn om een net gemaakte foto via WhatsApp naar een vriend te sturen.

Daarom kan een app met extra rechten, waar de ontwikkelaar specifiek (zoals bij Android) of impliciet (zoals in iOS) om vraagt, toegang krijgen tot bepaalde gegevens van andere apps.

Deze rechten moeten wel door de gebruiker goedgekeurd worden, maar dat kan een stalker tijdens het installeren natuurlijk meteen ook doen. Zowel Android als iOS kunnen die rechten later nogmaals aangeven. Waar dat Android en iOS zit, staat in de artikelen op pagina 88 en 91 van c’t 11/2018.

 

Meer over spyware op smartphones in c't nov/2018

De glad geplaveide weg naar spionage vereist geen of minimale ingrepen in het systeem. Zowel Android als iOS dringen er immers bij de gebruiker op aan om een back-up te maken in de cloud van de fabrikant. Als dat is uitgeschakeld op de telefoon van het slachtoffer, kan een stalker die cloud-back-up met slechts een paar klikken activeren.

De back-ups bevatten alle gegevens van het apparaat en zijn toegankelijk met de toegangsgegevens van de gebruiker. Als het wachtwoord van de cloud bekend is, kunnen spionagetools de gegevens uit de cloud downloaden en de gewenste informatie eruit halen.

Natuurlijk werkt dat niet realtime, zoals bij spionage op het apparaat zelf. Omdat de back-ups echter meestal dagelijks worden bijgewerkt, is er geen groot tijdverschil.

Die omweg via de iCloud wordt bijvoorbeeld gebruikt door de iOS-versies van FlexiSpy en mSpy, als ze zonder jailbreak moeten werken.

Spionage light

Met de toegangsgegevens tot een account heb je zelfs zonder extra hulpmiddelen toegang tot veel informatie. Je kunt diensten als Facebook en Google Hangouts makkelijk in je eigen webbrowser volgen. En bij bijna alle e-maildiensten kun je kopieën van binnenkomende e-mail stilletjes laten doorsturen.

Moderne messengers als WhatsApp en Signal kun je koppelen aan een desktop-app of een browser, die dan vaak weken of maanden alles kan mee­lezen. De stalker hoeft daarvoor alleen maar in een onbewaakt ogenblik een QR-code te scannen met de mobiele telefoon van het slachtoffer.

Natuurlijk laten al die activiteiten hun sporen na. Hoe je systematisch op zoek gaat en de juiste conclusies trekt, lees je in de artikelen op pagina 88 en 91 van c’t 11/2018..

(Michael Spreitzenbarth, Marco den Teuling)

Deel dit artikel

Lees ook

Malware onder Android opsporen en verwijderen

Smartphones zijn populaire aanvalsobjecten: er staan veel gevoelige data op en ze zijn nonstop online. De kans is dus groot dat jouw mobieltje ook een...

Digitaal ondertekende malware in opmars

Online criminelen misbruiken certificaten van gerenommeerde bedrijven om malware te ondertekenen en daarmee het vertrouwen van virusscanners te winnen...

Interessant voor jou

0 Praat mee

avatar
  Abonneer  
Laat het mij weten wanneer er