Er kan een spion in de laadkabel van je smartphone verstopt zitten

Je bent onderweg en moet een dringend telefoontje plegen of een mailbericht beantwoorden. Probleem. Je accu is bijna leeg en je hebt je laadstekker niet bij je. Wat doe je?

De meeste mensen vragen dan aan iemand in de buurt of ze even hun laadkabel mogen gebruiken. Vaak mag dat. De smartphone wordt soms afgegeven en kan dan achter een balie bij een bedrijf, restaurant of hotel, worden opgeladen terwijl jij iets anders doet.

Los van het risico dat je smartphone dan onbeheerd op een onbekende plek ligt komt er sinds kort een nieuw risico bij. Is de laadkabel van die vriendelijke wildvreemde persoon die je helpt wel veilig?

Een anonieme veiligheidsonderzoeker die actief is op Twitter onder de naam MG bracht enkele tientallen iPhone oplaadkabels naar een hackersconferentie in Las Vegas en verkocht ze voor 200 dollar per stuk. De kabels waren binnen enkele dagen uitverkocht, de hackers betaalden bereidwillig 190 dollar meer dan in de winkel. Omdat MG de originele Apple kabels dusdanig had aangepast dat niet te zien viel dat er mee geknoeid was.

Als je zo’n kabel op een Apple computer aansluit, kun je je je iPhone er gemakkelijk mee opladen. Maar tegelijkertijd opent de chip die MG in de USB-stekker heeft gesoldeerd een verborgen draadloos netwerk. De hacker kan dankzij die chip eenvoudig de scherminhoud van de Mac zien, muisbewegingen en toetsenbordgegevens lezen of spionagesoftware installeren.

De hacker noemt zijn kabels OMG-kabels. De afkorting voor “Oh, mijn God!”) en gaf in het vakblad “Vice Motherboard” aan dat hij de aanpassingen voor iedere een USB-kabel kan maken. Ook voor Android toestellen. De Apple kabels zijn het moeilijkst, alle andere zijn makkelijker aan te passen.

De kans is groot dat het voorbeeld van MG gekopieerd wordt of al is door kwaadwillige hackers. En door buitenlandse inlichtingendiensten.

Israëlische tool kraakt elke nieuwe iPhone en Android telefoon

Nieuwe iPhones zijn nu net zo gemakkelijk te hacken als Android-telefoons. Het Israëlische digitaal forensische bedrijf Cellebrite zegt een tool te hebben ontwikkeld waarmee alle huidige apparaten eenvoudig ontgrendeld kunnen worden.

Zelfs voor politieagenten en inlichtingendiensten was het tot dusver moeilijk om iPhones en iPads te kraken. De Israëli beweren dat het dat wel kan. Het bedrijf Cellebrite zegt zelfs alle huidige iPhones met iOS 12.3 en high-end Android-telefoons te kunnen ontgrendelen.

Cellebrite kondigde met trots via Twitter aan dat ze elke Android mobiele telefoon en nu elk iOS-apparaat vanaf iOS 12.3 kan kraken.

Dit baart niet alleen fabrikanten en klanten zorgen. De Hacker-methode van Cellebrite wordt namelijk niet in het eigen laboratorium achter slot en grendel uitgevoerd, maar wordt verkocht.

De tool “#UFED Premium” is ingebouwd in apparaten die mobiele telefoons zonder code kunnen ontgrendelen.

Dit is normaal gesproken alleen beschikbaar voor onderzoekers, militairen en inlichtingendiensten zoals de FBI, met wie Cellebrite beweert samen te werken.

Hacking tool op eBay

Deskundigen vrezen dat de tool veel te gemakkelijk in verkeerde handen kan komen.

Begin maart 2019 meldden verschillende media dat ze de mobiele telefoonhacktool op eBay hadden gezien. Het is duidelijk dat de hackmethode zo ook gemakkelijk gebruikt kan worden door criminelen of foute regimes.

Zelfs Cellebrite was verward over de tweedehandsverkoop van zijn apparatuur. Het waren immers waarschijnlijk oude apparaten waarmee de huidige Android mobiele telefoons en iPhones waarschijnlijk niet gehackt konden worden. Maar zelfs deze moeten teruggestuurd worden naar het bedrijf in plaats van dat ze doorverkocht worden.

De Israëli zijn niet de enige aanbieders van hackingtools voor smartphones. De Amerikaanse concurrent Grayshift biedt de iPhone-hack voor 30.000 dollar aan en zit Cellebrite er mee op de hielen. De zogenaamde GrayKey box kan echter alleen oudere iPhones kraken.

Apple ontwikkelt al tegenmaatregelen om zijn iPhones en iPads te beschermen. Met de aankomende iOS 13 worden Apple apparaten dan beschermd tegen de methoden van dergelijke beveiligingsbedrijven.