Er kan een spion in de laadkabel van je smartphone verstopt zitten

Je bent onderweg en moet een dringend telefoontje plegen of een mailbericht beantwoorden. Probleem. Je accu is bijna leeg en je hebt je laadstekker niet bij je. Wat doe je?

De meeste mensen vragen dan aan iemand in de buurt of ze even hun laadkabel mogen gebruiken. Vaak mag dat. De smartphone wordt soms afgegeven en kan dan achter een balie bij een bedrijf, restaurant of hotel, worden opgeladen terwijl jij iets anders doet.

Los van het risico dat je smartphone dan onbeheerd op een onbekende plek ligt komt er sinds kort een nieuw risico bij. Is de laadkabel van die vriendelijke wildvreemde persoon die je helpt wel veilig?

Een anonieme veiligheidsonderzoeker die actief is op Twitter onder de naam MG bracht enkele tientallen iPhone oplaadkabels naar een hackersconferentie in Las Vegas en verkocht ze voor 200 dollar per stuk. De kabels waren binnen enkele dagen uitverkocht, de hackers betaalden bereidwillig 190 dollar meer dan in de winkel. Omdat MG de originele Apple kabels dusdanig had aangepast dat niet te zien viel dat er mee geknoeid was.

Als je zo’n kabel op een Apple computer aansluit, kun je je je iPhone er gemakkelijk mee opladen. Maar tegelijkertijd opent de chip die MG in de USB-stekker heeft gesoldeerd een verborgen draadloos netwerk. De hacker kan dankzij die chip eenvoudig de scherminhoud van de Mac zien, muisbewegingen en toetsenbordgegevens lezen of spionagesoftware installeren.

De hacker noemt zijn kabels OMG-kabels. De afkorting voor “Oh, mijn God!”) en gaf in het vakblad “Vice Motherboard” aan dat hij de aanpassingen voor iedere een USB-kabel kan maken. Ook voor Android toestellen. De Apple kabels zijn het moeilijkst, alle andere zijn makkelijker aan te passen.

De kans is groot dat het voorbeeld van MG gekopieerd wordt of al is door kwaadwillige hackers. En door buitenlandse inlichtingendiensten.

“Medewerkers Apple luisteren via Siri op iPhone mee tijdens seks en medische gesprekken”

De Autoriteit Persoonsgegevens (AP) in Ierland onderzoekt of de spraakassistent Siri van Apple wel conform de privacywet ingezet wordt. Dit naar aanleiding van berichtgeving in de Britse krant The Guardian.

Apple-medewerkers luisteren volgens The Guardian via de spraakassistent Siri ook mee naar persoonlijke gesprekken als er geen luisteropdracht is gegeven. Siri is via talloze apparaten van Apple, zoals ook via de speaker en Apple Watch, te benaderen.

The Guardian citeert een anonieme klokkenluider die zegt dat het gaat om gevallen waarin Siri per ongeluk wordt geactiveerd. Normaal gebeurt dat alleen als het commando ’Hey Siri’ gegeven wordt.

Apple-medewerkers luisteren volgens de l klokkenluider doorlopend mee naar zeer persoonlijke informatie van gebruikers. Seks, drugsdeals en medische gesprekken worden zo afgeluisterd.

Medewerkers maken analyses van de gesprekken en informatie om Siri beter te laten werken.

In de gebruiksvoorwaarden van Apple staat niet dat medewerkers kunnen meeluisteren naar de gesprekken die de spraakassistent met mensen heeft.

In een reactie tegen de Guardian meldt Apple dat enkele medewerkers meeluisteren en gesprekken doorsturen om de Siri-dienst nog beter te laten werken.

Israëlische tool kraakt elke nieuwe iPhone en Android telefoon

Nieuwe iPhones zijn nu net zo gemakkelijk te hacken als Android-telefoons. Het Israëlische digitaal forensische bedrijf Cellebrite zegt een tool te hebben ontwikkeld waarmee alle huidige apparaten eenvoudig ontgrendeld kunnen worden.

Zelfs voor politieagenten en inlichtingendiensten was het tot dusver moeilijk om iPhones en iPads te kraken. De Israëli beweren dat het dat wel kan. Het bedrijf Cellebrite zegt zelfs alle huidige iPhones met iOS 12.3 en high-end Android-telefoons te kunnen ontgrendelen.

Cellebrite kondigde met trots via Twitter aan dat ze elke Android mobiele telefoon en nu elk iOS-apparaat vanaf iOS 12.3 kan kraken.

Dit baart niet alleen fabrikanten en klanten zorgen. De Hacker-methode van Cellebrite wordt namelijk niet in het eigen laboratorium achter slot en grendel uitgevoerd, maar wordt verkocht.

De tool “#UFED Premium” is ingebouwd in apparaten die mobiele telefoons zonder code kunnen ontgrendelen.

Dit is normaal gesproken alleen beschikbaar voor onderzoekers, militairen en inlichtingendiensten zoals de FBI, met wie Cellebrite beweert samen te werken.

Hacking tool op eBay

Deskundigen vrezen dat de tool veel te gemakkelijk in verkeerde handen kan komen.

Begin maart 2019 meldden verschillende media dat ze de mobiele telefoonhacktool op eBay hadden gezien. Het is duidelijk dat de hackmethode zo ook gemakkelijk gebruikt kan worden door criminelen of foute regimes.

Zelfs Cellebrite was verward over de tweedehandsverkoop van zijn apparatuur. Het waren immers waarschijnlijk oude apparaten waarmee de huidige Android mobiele telefoons en iPhones waarschijnlijk niet gehackt konden worden. Maar zelfs deze moeten teruggestuurd worden naar het bedrijf in plaats van dat ze doorverkocht worden.

De Israëli zijn niet de enige aanbieders van hackingtools voor smartphones. De Amerikaanse concurrent Grayshift biedt de iPhone-hack voor 30.000 dollar aan en zit Cellebrite er mee op de hielen. De zogenaamde GrayKey box kan echter alleen oudere iPhones kraken.

Apple ontwikkelt al tegenmaatregelen om zijn iPhones en iPads te beschermen. Met de aankomende iOS 13 worden Apple apparaten dan beschermd tegen de methoden van dergelijke beveiligingsbedrijven.

Apple presenteert nieuwe GDPR-tools die extra controle over persoonsgegevens in apps, appstore en iPhone bieden

Apple heeft vier nieuwe tools gepresenteerd die gebruikers extra controle over hun persoonsgegevens bieden. Apple speelt daarmee in op de Europese privacywet GDPR / AVG.

Apple-gebruikers krijgen zodra ze hun iPhone-software updaten een nieuwe informatiepagina over dataprivacy te zien. Daarin wordt nu ook uitgelegd dat er een icoontje in beeld verschijnt, op het moment dat een Apple-functie persoonlijke informatie verzamelt.

Meer controle over persoonsgegevens

Het icoontje is alleen te zien bij Apple-apps die persoonsgegevens verzamelen. Bijvoorbeeld bij de Apple App Store of bij iTunes.

Bij apps die geen persoonsgegevens verzamelen is het icoontje niet te zien. Bijvoorbeeld bij Apple Maps en Siri.

De notificaties zijn de eerste van meerdere stappen die Apple neemt om gebruikers meer privacy-controle te geven. De komende tijd komen er volgens Apple nog meer GDPR-gerelateerde functies bij.

Vanaf mei zijn er op de Apple ID-website drie nieuwe opties te vinden. Gebruikers kunnen vanaf dan een kopie krijgen van alle gegevens die Apple over hen verzameld heeft. Ook is het mogelijk om een correctieverzoek in te dienen. En gebruikers kunnen, indien gewenst, Apple vragen om hun accounts te deactiveren of helemaal te verwijderen.