Hackers zijn een tijdlang in staat geweest om in te breken in iPhones, door te profiteren van een lek in WhatsApp. Ze hebben gebruikgemaakt van spionagesoftware die ontwikkeld is door het Israëlische bedrijf NSO Group.
Dat schreef The Financial Times eerder deze week. WhatsApp kwam er zelf achter nadat iemand die gehackt was contact opnam met Citizen Lab, dat op zijn beurt WhatsApp en Facebook op de hoogte bracht. WhatsApp nam maatregelen, al zijn deze volgens onderzoek van Reuters relatief makkelijk te omzeilen.
Videos by VICE
Het incident schaadt de sterke reputatie van iPhone op het gebied van veiligheid. En volgens meerdere beveilingsexperts die we spraken maakt het ook maar weer eens duidelijk hoe gesloten iOS is, en hoe onmogelijk het is om erachter te komen of je eigen iPhone is gehackt.
“Er zijn ontzettend veel zero-day-exploits voor iOS,” tweette Stefan Esser, een beveiligingsonderzoeker die gespecialiseerd is in iOS. “Dat er maar weinig aanvallen bekend zijn, komt doordat iOS-telefoons zo ontworpen zijn dat je ze amper kunt inspecteren.”
Vandaag de dag is er geen manier waarop iPhone-gebruikers er makkelijk achter kunnen komen of hun telefoon gekraakt is. Zelf ontwikkelde Esser een tijd geleden een app waarmee je kwaadaardige jailbreaks kon detecteren, maar deze werd in 2016 door Apple uit de App Store verwijderd. Los daarvan is iOS zo hermetisch gesloten dat zelfs getalenteerde beveiligingsonderzoekers er weinig analyses op los kunnen laten zonder eerst het besturingssysteem te hacken of te jailbreaken. Daarom werken onderzoekers ook graag met dure iPhone-prototypes waarvan de beveiligingsfuncties zijn uitgeschakeld.
Ironisch genoeg zijn er op iOS betere tools beschikbaar voor de aanvallers – zoals Cellebrite en GrayShift – dan voor de mensen die slachtoffers willen helpen, zegt Claudio Guarnieri. Hij is onderzoeker bij Amnesty International, en zijn collega was vorig jaar nog het slachtoffer van NSO-spyware.
“De mobiele apparaten zijn door deze beveiligingsmaatregelen extreem moeilijk te inspecteren,” schreef Guarnieri in zijn nieuwsbrief. “Vooral op afstand, en voor mensen die voor mensenrechtenorganisaties werken en geen toegang hebben tot goede forensische technologie. Dat kan het moeilijk maken om te bevestigen dat iemand echt slachtoffer is, als we dat vermoeden. De technologie is in ons nadeel: we zijn aan de verliezende hand.”
Apple heeft niet gereageerd op ons verzoek om commentaar.
“Zouden we de mensen die aan de goede kant staan niet beter in staat moeten stellen om hun werk goed te doen?” vraagt Zuk Avraham zich af. Ook hij is een onderzoeker die zich veel op iOS-aanvallen richt, en oprichter van de beveiligingsbedrijven ZecOps en Zimperium. Avraham heeft in de laatste maanden een “onvoorstelbare hoeveelheid” aanvallen op iPhone-gebruikers gezien. Hij wilde daar helaas geen details of bewijs van laten zien.
Volgens Jonathan Levin, een onderzoeker die boeken heeft geschreven over de beveiliging van iOS en macOS, worden er zo weinig zero-days-attacks zichtbaar omdat ze vooral gebruikt worden bij gerichte aanvallen. “De payloads worden vaak weken of nog langer getest, voordat ze uiteindelijk worden ingezet,” zegt hij. “Dat maakt het gevaar groter, en de kans om ontdekt te worden kleiner – dat is vooral het geval bij ‘0-click’-aanvallen, waar geen gebruikersinteractie voor nodig is.”
Tenzij Apple fundamentele wijzigingen doorvoert in de bouw van iOS, “bestaat er geen makkelijke manier waarop je erachter kunt komen of een iPhone gehackt is”, zegt een onderzoeker die werkt onder de naam Xerub, en de organisator is van 0x41, een conferentie over iOS.
Een beveiligingsexpert met veel ervaring in het ontwikkelen van exploits, die anoniem wilde blijven om geen potentiële klanten tegen het hoofd te stoten, zegt dat het fundamentele probleem is dat iOS barstensvol bugs zit. “Van alle bekende besturingssystemen hebben iOS en macOS structureel de meest rampzalige bugs. De strategie van Apple werkt best tegen hobby-hackers, maar bij professionele hackers juist averechts.”
Uiteindelijk is de iPhone – voor de meeste mensen althans – een veilig apparaat. Maar alle software, of het nou een beveiligde app is als WhatsApp of een besturingssysteem als iOS, heeft kwetsbaarheden. En als daar misbruik van wordt gemaakt, is het haast onmogelijk om daarachter te komen.