Groot nieuws gisteren: Apple bracht een update uit voor iOS die beveiligingsproblemen oploste. Nou gebeurt dat regelmatig, maar al vrij snel bleek het te gaan om drie ernstige lekken die werden gebruikt door overheden om mensen af te luisteren. Een reality check: de iPhone is niet zo veilig als mensen soms denken.
De drie lekken in iOS werden, waren tot voor kort onbekend bij Apple en beveiligingsbedrijven en werden gebruikt door de mysterieuze NSO Group. Dit Israëlische bedrijf had malware gemaakt, waardoor bijbehorende software ineens alles op een smartphone kon meelezen. Berichten, e-mails, gegevens over telefoongesprekken – ze konden ineens met gemak worden ingezien. Het was zelfs mogelijk om bij mensen mee te luisteren via de microfoon van een iPhone, iPad of iPod touch.
De NSO Group beweert dat dit allemaal legaal is. Ze verkopen hun malware alleen als er een overeenkomst wordt getekend, waarin de koper belooft enkel legaal gebruik te maken van de spionagemethodiek. Dat is echter lastig om in de gaten te houden, omdat de NSO Group vooral overheden als klanten heeft.
Wat dat betreft is dit een internationaal probleem. De NSO Group zit misschien in Israël, maar heeft klanten van over de gehele wereld – waaronder Mexico en Panama. We weten bovendien dat westerse landen best met dit soort Israëlische landen willen handelen. De FBI kreeg immers eerder dit jaar nog hulp van het Israëlische Cellebrite, toen ze de iPhone van een terrorist in San Bernardino wilden kraken. En de Nederlandse politie is klant bij datzelfde bedrijf.
Nasleep
Apple heeft de gebruikte beveiligingslekken inmiddels gedicht, maar je moet niet denken dat het spionageprobleem op iOS hiermee is opgelost. Zo is de beveiligingsupdate niet voor alle iOS-apparaten ter beschikbaar gesteld. Met een iPhone 4s, iPad 2 of iPod touch 5 of nieuwer ben je veilig – maar eerdere telefoons hebben geen fix tegen de spionagesoftware. Een probleem dat normaal vooral aandacht krijgt bij Android, waar oudere toestellen vaak geen beveiligingsupdates krijgen, maar dus in mindere mate ook speelt bij iOS.
Het betekent dat bezitters van oudere telefoons in theorie nog vatbaar zijn voor de malware van de NSO Group – en dus de spionage van overheden. Een probleem in voornamelijk opkomende landen, waar vaak goedkopere iPhones populair zijn. Dat terwijl landen met grote economische oneerlijkheid ons juist het meest gevoelig lijken op het gebied van spionage. De kans op activisme is daar bijvoorbeeld groter. De ontdekkers van de NSO-malware onderstrepen dat alleen maar. De spionagesoftware werd immers opgespoord, omdat iemand de iPhone van mensenrechtenactivist Ahmed Mansoor probeerde te infecteren.
Reputatie
Zelfs met een nieuwere iPhone met de laatste update, ben je echter nog niet immuun voor spionage. De gevonden exploits laten een harde realiteit zien: spionnen konden jarenlang de iPhone bespioneren, zolang je maar op één fout linkje klikte op de telefoon. Daarmee was de iPhone ondanks Apple’s vele veiligheidsmaatregelen een riskante telefoon voor bijvoorbeeld activisten in onderdrukte landen.
De gebruikte beveiligingslekken zijn nu door Apple gedicht, maar we weten niet of er nog vergelijkbare gaten in de iPhone zitten. De spionagesoftware van de NSO Group werd pas recent gespot – en de kans bestaat dat er nog vergelijkbare software in het geheim actief is. Als er nog andere exploits zijn, dan moeten deze nog worden ontdekt.
Dat terwijl Apple net zo’n goede reputatie leek op te bouwen op het gebied van beveiliging. De FBI, NSA en andere inlichtingendiensten klagen inmiddels al jaren over de versleuteling van iOS. De iPhone zou daarom de “ideale telefoon zijn voor terroristen”, hoorden we de FBI-baas al een paar keer verzuurd zeggen.
Hoewel de gevonden spionagemalware weinig te maken heeft met de versleuteling van iOS, druist het wel in tegen het beeld dat men van de iPhone heeft. Apple heeft de afgelopen jaren een imago opgebouwd rond veiligheid en privacy. De iPhone is zo veilig dat de FBI en NSA niet kunnen inbreken. Iets dat inmiddels een leugen blijkt te zijn. Diezelfde instanties hadden immers met één belletje naar de NSO Group geavanceerde spionagesoftware kunnen kopen, waarmee iPhone-bezitters met gemak afgeluisterd konden worden. iOS lijkt vooralsnog veiliger dan bijvoorbeeld Android – maar ga er nooit van uit dat je volledig beschermd bent tegen meeluisteraars.