WhatsApp en Telegram, gemakkelijk te hacken!

Hackers kunnen beschermde persoonlijke berichten in WhatsApp en Telegram meelezen, telefoongesprekken afluisteren en de locatie van iedere mobiele telefoongebruiker bepalen. Daarvoor hebben ze alleen het telefoonnummer van hun slachtoffers nodig. Het woord hacker kun je dus net zo goed vervangen door politie of overheid, afhankelijk van de mate van je paranoia.

Dit is mede mogelijk dankzij een zwakke plek in het zogenaamde Signalling System No. 7 – afgekort SS7 – dat verschillende mobiele netwerken wereldwijd met elkaar verbindt.

Hackers laten zien hoe makkelijk Whatsapp en Telegram te kraken zijn

Het bestaan van deze zwakke plek was al eerder bekend – de Duitse hacker Karsten Nohl ontdekte het gat in het systeem al in 2014 en demonstreerde dit destijds al meerdere malen in de Verenigde Staten, Groot-Brittannië en Duitsland op Tech-conferenties en live op televisie. Toch blijven onze mobieltjes tot op de dag van vandaag kwetsbaar en blijkt het moeilijker dan gedacht om het probleem met SS7 te fixen. Het grootste gevaar voor de normale gebruiker is waarschijnlijk de kans dat verificatiecodes worden onderschept. Berichtenapps gebruiken die verificatiecodes om accounts van gebruikers te beschermen.

In deze twee video’s laten hackers zien hoe makkelijk dit systeem kan worden opgeheven dankzij de zwakke plek van SS7 en zo een inbreker je persoonlijke berichten op WhatsApp en Telegram kan volgen.

 

Vliegtuigen, speelgoed: zo word je gehackt in 2016

We verbinden niet alleen computers of telefoons maar ook voorwerpen met elkaar via internet. Zo ontstaan nieuwe kwetsbaarheden en nieuwe slachtoffers. Apparatuur in een smart home (slimme lampen, thermostaten en slimme stekkers). Ook de auto gaat online; hoeveel sterren scoort de nieuwe leasebak op de digitale crashtest? Persoonlijke data slaan we massaal op in de Cloud, de webserver op afstand. Als al die websites dan maar goed beveiligd zijn. Niet, dus.

1. Kinderelektronica

‘Bonnie, heb je echt een pop die praat?’ zong Bonnie St. Claire in 1980. Vijfendertig jaar later hebben kinderen een pop die echt luistert en vervolgens een ‘slim’ antwoord geeft. Een virtuele assistent zoals de spraakgestuurde vraagbaak Siri op je iPhone, maar dan gegoten in plastic, en met een jurkje aan.

Barbie bleek makkelijk af te luisteren door een nep-WiFinet op te zetten. Het wachten is op nieuwe lekken: kinderspeelgoed wordt vaak goedkoop geproduceerd, maakt zelden gebruik van de allernieuwste besturingssystemen (vaak oude Android-versies) en de internetaccounts zijn niet altijd goed beveiligd. De database van elektronicafabrikant VTech werd gehackt; ook het forum van Hello Kitty bleek onveilig.

Kinderen zijn makkelijke slachtoffers, bijvoorbeeld via de ‘gratis’ apps op een tablet of telefoon. Het zijn meestal verkapte winkels voor in-app aankopen. Ouders moeten bedacht zijn op een rekening van een paar tientjes voor virtuele goederen.

2. Camera’s in huis

Alsof er buiten nog niet genoeg bewakingscamera’s hangen, zetten we ook extra camera’s in huis. Home video camera’s als de Nest Cam of de Circle van Logitech nemen continu „magische momenten” op, midden in de huiskamer. Alle video’s worden online bewaard, zodat je ze snel kunt delen met de rest van de wereld. Zo’n gezinscamera kan ook inbrekers betrappen en ondeugende huisdieren corrigeren, of echtgenoten.

Zoveel gevoelige, persoonlijke informatie – dat smeekt om een hack. Camera’s zijn niet altijd goed beveiligd. Denk aan de mensen die het standaardwachtwoord van hun babyfoon of bewakingscamera niet wijzigen en zo de hele wereld mee laten gluren. De opkomst van de gezinscamera brengt ook privacyproblemen met zich mee. Bijvoorbeeld mensen die hun logees begluren. Hoe komt Logitech er eigenlijk bij om zijn homevideocamera ‘Circle’ te noemen? Blijkbaar hadden ze The Circle van David Eggers niet gelezen, een roman over een wereld waarin iedereen elkaar met camera’s in de gaten houdt.

3. Auto’s en vliegtuigen

Zou de Wegenwacht ook een fix hebben als je auto onklaar is gemaakt door cybercriminelen? Auto’s die via het web benaderbaar zijn, blijken kwetsbaar voor hackers. Afgelopen zomer kraakten veiligheidsexperts Charlie Miller en Chris Valasek een Jeep Grand Cherokee op afstand. Ook het elektronische slot van een BMW bleek niet veilig. Het aantal verbonden auto’s op de weg groeit snel en zulke experimentele hacks zijn nodig om het systeem te testen en veiliger te maken. Zodat we bij de dealer beveiligingsupdates kunnen downloaden, net zoals we nu de pc up to date houden. Als het goed is.

Ook vliegtuigen zijn doelwit. Veiligheidsexpert Chris Roberts liet in 2015 weten dat hij via een hack in het entertainmentsysteem aan boord was doorgedrongen tot de besturing van een vliegtuig.

De uitdaging voor terroristen: kun je een vliegtuig via een hack laten neerstorten, zonder explosieven? Gelukkig is het moeilijker om te oefenen op een vliegtuig dan op een auto. De onderzoekers die de Jeep kraakten, waren drie jaar in hun garage bezig om de kwetsbaarheid te vinden.

4. Nieuwe valuta: medische gegevens

Cybercriminelen hebben het van oudsher voorzien op bankrekeningen en Credit Cards. Maar er is een nieuwe soort data in trek: medische gegevens. Databases met patiëntengegevens en medische informatie geven cybercriminelen beschikking over hyperpersoonlijke informatie waarmee mensen makkelijk te chanteren zijn.

Huisartsen, ziekenhuizen en andere klinieken zijn nog niet zo ervaren in de strijd tegen cyberaanvallen als financiële instellingen. Ook bedrijven bewaren medische data in hun personeelsbestanden – maar schermen ze niet altijd goed af. Bij eerdere computerinbraken, zoals bij de hack van Sony Pictures, in november 2014, werden personeelsbestanden misbruikt voor ‘datakidnapping’.

Ook kwetsbaar, want chantabel: gebruikers van porno- en datingsites. In het heetst van de strijd laat je je meest persoonlijke gegevens achter bij een webdienst, drukt op ‘OK’ bij de gebruikersvoorwaarden, zonder te weten hoe (on-) veilig je data worden opgeslagen. De klanten van Ashley Madison merkten hoe pijnlijk het is als cybercriminelen gestolen informatie laten uitlekken.

5. De chat-encryptie omzeild

WhatsApp (Facebook) en iMessage (Apple) garanderen 100% dat ze niet meer af te luisteren zijn dankzij betere versleuteling. Tot grote ergernis van inlichtingendiensten: die zoeken makkelijk toegang tot de berichtenstroom via een dwangbevel of een achterdeurtje – met versleuteling die snel te kraken is.

Maar een goed beveiligde berichtenstroom (‘end-to-end encryptie’) beschermt je niet tegen andere onveilige praktijken. Chats via je telefoon kun je synchroniseren met andere apparaten (WhatsApp via de browser, of Apple’s berichten op je computer/tablet). Heel handig, maar je bent wel kwetsbaarder. Er zijn al nep-versies van de webpagina van WhatsApp in omloop. En een MacBook of iMac is makkelijker te hacken dan iOS. De telefoon zelf is ook doelwit: de Android-wereld puilt uit van kwaadaardige software, Apple iOS is veilig maar niet onfeilbaar. Vorig jaar verspreidde Apple ongewild nep-apps, nadat er met het ontwikkelgereedschap geknoeid was.

De 7 grootste tech schandalen van 2015

2015 was geen fijn jaar voor wie veel om zijn privacy geeft. Het ene grote datalek volgde het andere op, en bedrijven leken ook bewust een loopje te nemen met anonimiteit. Dit zijn de 7 grootste tech schandalen en privacy schandalen van het afgelopen jaar. Opdat het volgend jaar beter wordt!

1: De Ashley Madison-hack

Met stip bovenaan stond de grote hack op de beruchte vreemdgangerswebsite Ashley Madison. Het doel van die site was ietwat dubieus – het was gericht op getrouwde mensen die graag een affaire wilde beginnen. Daar mag je van vinden wat je wil, maar een aantal anonieme hackers was het er niet zo mee eens. Ze wisten daarom in te breken op de systemen van Ashley Madison, en konden op die manier de gegevens van zowat alle accounts-houders bemachtigen.

Dat zorgde voor een aantal pijnlijke gesprekken in vooral Amerikaanse huishoudens, want al snel kwamen er generatoren online waarmee je makkelijk de database kon doorzoeken op emailadressen. Volgens de hackers ‘verdienden de klanten van Ashley Madison’ dat hun naam en plein public werd bekendgemaakt.

“Vrouwen bestaan niet op het internet”

De hack kreeg ook weken na het lekken nog aandacht, nadat journalisten van onder andere Gizmodo de vrijgegeven informatie nog eens goed hadden doorgespit. Daaruit bleek dat Ashley Madison bijna alleen maar bestond uit mannen. De vrouwen op de site waren bijna allemaal bots, die waren geprogrammeerd om tegen eenzame mannen te praten.

Een andere grote onthulling bleek het verdienmodel van Ashley Madison. Dat bestond eruit dat mannen moesten betalen om hun account op te zeggen. Maar guess what? Dat gebeurde in de praktijk helemaal niet. Vandaar dat nog zo veel informatie vrij beschikbaar was op de servers. En nu dus overal op het internet.

2. Volkswagen en dieselgate

Hét schandaal van 2015 was natuurlijk ‘dieselgate’, wat ook veelvuldig in het reguliere nieuws kwam en zelfs voor het woord van het jaar zorgde: Sjoemelsoftware. Het ging om Volkswagen, dat jaren bleek te hebben gefraudeerd met de uitstootcijfers van zijn dieselauto’s. Volkswagen manipuleerde de software waarmee het bedrijf uitstoot-testen uitvoerde. Dat zijn metingen waarmee een autofabrikant laat zien hoeveel roetdeeltjes een auto uitstoot. Op basis daarvan kunnen kopers en verkopers zien hoe milieuvriendelijk een auto is.

“Na ‘Dieselgate’ staan er nog veel vragen open”

De software bleek echter bewust gemanipuleerd. De auto’s konden ‘zien’ wanneer zij op een testband stonden, door op te merken dat het stuur niet bewoog en de snelheid wel heel constant werd. Wanneer dat het geval was vielen de uitstootcijfers veel lager uit dan normaal. Het schandaal haalde de internationale pers, de topman van Volkswagen stapte op, het bedrijf riep auto’s terug en kwam met dure compensatieregelingen, maar het kwaad was al geschied. Het vertrouwen in Volkswagen bleek permanent beschadigd.

Later kwamen er nog andere vragen op. Waren dit wel de enige auto’s van Volkswagen waren de tests gemanipuleerd werden? Of gebeurde dit ook met gewone benzine-auto’s? En deden andere fabrikanten stiekem niet hetzelfde? De discussie laaide ook op over het gebruik van de software. Waarom kon dit zo lang onopgemerkt blijven, en zou dergelijke test-software niet gewoon open moeten worden?

3. Lenovo’s Superfish

Lenovo maakte ooit één van de beste laptops die we ooit gezien hebben: De alomgeprezen ThinkPad. De Chinese fabrikant maakte altijd degelijke apparatuur waar we graag mee werkten. Het bedrijf was professioneel, op zakelijke gebruikers gericht, en leverde kwaliteit af.

Tot de fabrikant in februari iets deed waardoor we ons respect voor het bedrijf in één klap verloren: Superfish.

Superfish bleek een notoir beveiligingscertificaat te zijn dat Lenovo op zijn laptops zette en waar de meeste gebruikers niets vanaf wisten. Het Superfish-certificaat werd op veel Lenovo-laptops voorgeïnstalleerd, waardoor het ook in browsers verscheen die je achteraf downloadde (zoals Chrome of Firefox). Lenovo maakte van Superfish een eigen adware-certificaat. Adverteerders konden ruimte inkopen bij Lenovo, dat vervolgens pop-up-ads liet zien aan gebruikers. Die pop-ups waren zelfs met adblockers niet tegen te houden.

Irritant genoeg, maar de manier waarop dat gebeurde was het ergst: Superfish was een ssl-certificaat dat zo agressief was dat het échte ssl-certificaten overschreef. Daardoor kon een browser niet zien of een website wel echt veilig was of niet. Lenovo bracht daarmee gebruikers moedwillig in gevaar.

“Lenovo lijkt niet te leren van zijn fouten”

Nadat het schandaal naar buiten kwam, bood Lenovo zijn excuses aan en werkte het hard aan een oplossing, maar het bedrijf leek niet te leren van zijn fouten. In september bleek namelijk dat Lenovo opnieuw zijn eigen software op agressieve wijze op nieuwe laptops plaatste. Dat deed het door middel van een BIOS/UEFI-rootkit, die zorgde dat Lenovo-programma’s op het systeem bleven staan, zelfs wanneer een gebruiker een schone Windows- of zelfs Linux-installatie uitvoerde. Opnieuw bood Lenovo zijn excuses aan, maar eerlijk gezegd was ik vanaf dat moment wel een beetje klaar met het bedrijf.

4. Privacyproblemen bij Windows 10

Microsoft bracht na lang wachten eindelijk Windows 10 uit. Het nieuwe besturingssysteem was een waardige opvolger voor het vervelende Windows 8, en wist nu wél de brug te slaan tussen pc- en tablet-gebruikers. Veel aan Windows 10 was vertrouwd, zoals de terugkeer van het startmenu, maar er zaten ook een aantal nieuwe functies in zoals een nieuwe browser (Edge) en virtuele bureaubladen. En, misschien nog wel het mooist: Windows 10 is een gratis upgrade voor iedereen met Windows 7 of 8.

Maar Windows 10 kreeg ook veel kritiek, en dit keer was het niet de verwarrende interface of het gebrek aan ondersteuning van apps. Het waren de rigoreuze privacyvoorwaarden, waarmee gebruikers bakken aan informatie over zichzelf weggaven aan Microsoft. Het ging daar onder andere om locatiegegevens, contactpersonen, en informatie over je surfgedrag. De manier waarop dat gebeurt komt je waarschijnlijk bekend voor: Zo gaat het ook als je een willekeurige app uit de App of Play Store downloadt. Je stemt dan toe om je complete adresgegevens en al je persoonlijke informatie naar de maker van een willekeurige zaklamp-app te versturen.

“Bij Microsoft blijkt privacy belangrijker dan bij Google of Apple”

Maar waar dat bij Google en Apple al heel normaal wordt gevonden, viel het bij Windows 10 in verkeerde aarde. Een desktop-besturingssysteem hoort zulke informatie immers niet te verzamelen. In de meeste gevallen werd de informatie verzameld voor nuttige doeleinden: Zo heeft Windows 10 met de ingebouwde Mail- en Agenda-app toegang nodig tot je inbox en je kalender, en de slimme assistent Cortana verzamelt bakken met gegevens om je goede suggesties te kunnen bieden over het weer of dingen in je buurt.

Het was echter vooral de manier waarop Windows 10 die informatie opvroeg: Door het als standaard-instellingen aan te bieden, die alleen via tientallen ingewikkelde menu’s te bereiken waren.

5. Malware door Hacking Team

‘Hacking Team’ klinkt als een clubje jochies dat vanaf een zolderkamer gaat DDoS’sen, maar in werkelijkheid bleek het de naam van een zeer legitiem en zéér dubieus bedrijf uit Italië dat dit jaar gehackt werd. Het bedrijf werd slachtoffer van een inbraak op de servers waarbij zo’n 40 GB aan interne emails en facturen werden buitgemaakt. Hacking Team bleek geen lieverdje. Het bedrijf maakte software voor grote bedrijven en overheden, en zoals de bedrijfsnaam al doet vermoeden is die software niet altijd even chique.

Hacking Team maakte spionage-programma’s die computers konden infecteren. Het was het eerst onomstotelijke bewijs dat er bedrijven zijn die legaal malware maken, én dat verkopen aan overheidsinstanties als de FBI. Na de hack kwamen nog meer ongure zaken naar boven. Hacking Team leverde namelijk aan landen als Amerika, maar ook aan Soedan en Bangladesh.

Die landen hebben een flinke lading handelsrestricties opgelegd gekregen van de Verenigde Naties, en dat geldt ook voor software – maar dat mocht Hacking Team niet deren. Het bedrijf leverde doodleuk spionagesoftware aan die landen, die dat hoogstwaarschijnlijk gebruikten om dissidenten op te sporen. Daarnaast bleek dat ook Nederland interesse had in de software van het bedrijf, maar die meeting werd een dag na de hack snel afgezegd. Of er op dit moment software wordt gebruikt, is onduidelijk.

6. Blauwe vinkjes op WhatsApp

“Zelden ontstond zoveel paniek over zo’n onbenullig kleine functie”

Slechts zelden werd een zo ogenschijnlijk kleine en onbenullige functies zo uit proportie geblazen als de beruchte blauwe vinkjes van WhatsApp. Die zaten in een update van de app die in februari naar gebruikers werd gepusht, maar dat leverde een gigantische storm van kritiek op. De vinkjes, waarmee normaal alleen werd aangegeven of een bericht was ontvangen door iemand, werden nu blauw wanneer een ontvanger het bericht ook echt had geopend. Een leesbevestiging dus, maar wel één die voor grote paniek zorgde.

De ‘blauwe vinkjes haalden kranten, journaals, en zelfs de beruchte 101 van Teletekst. Experts kwamen aan het woord om de betekenis van de vinkjes te duiden, relatietherapeuten wisten te vertellen dat huwelijken op het randje van de afgrond kwamen door de vinkjes. “Ik zie dat je m’n berichtje hebt gelezen, waarom heb je niet gewoon geantwoord?!” Daarbij werd vaak voorbij gegaan aan het feit dat de ‘Laatst gezien’-status ook een vrij goede indicatie is, en dat vrijwel alle chat-programma’s ter wereld een leesbevestiging hebben, maar WhatsApp werd destijds door zo’n 750 miljoen mensen gebruikt dus was het allemaal een graadje erger.

Na een paar weken draaide de WhatsApp bij en gaf het gebruikers de keus om de vinkjes uit te zetten, maar het was reeds te laat. De vinkjes waren ingeburgerd. Nu, bijna een jaar later, word je voor gek verklaard als je ze nog aan hebt staan. “Ik vind het zo vervelend dat ik nu niet meer kan zien of je m’n berichtje hebt gelezen.”

7. De jacht op Popcorn Time geopend

Als er één app was die het afgelopen jaar onder vuur is komen te liggen, is het wel Popcorn Time. De app is de nieuwe Pirate Bay, die overigens eerder dit jaar een niet zo heel grandioze comeback maakte. Popcorn Time is de nieuwe draak met drie koppen waar de auteursrechtenclubs hun pijlen op hebben gericht, want de dienst maakt het illegaal kijken van films wel héél erg makkelijk. De nieuwste films in hoge kwaliteit direct streamen op je telefoon, je mediaspeler, je tv, of gewoon in je browser, en dat ook nog eens gratis, wie wil dat nou niet?

“Zijn Popcorn Time-gebruikers stiekem een beetje bang geworden?”

Om te beginnen de mensen die die films maken, want Popcorn Time is hartstikke illegaal en mag dan ook eigenlijk niet. De auteursrechtenorganisaties zoals Stichting Brein trekken dan ook dapper ten strijde tegen de applicatie, maar voor iedere Popcorn Time-fork die offline werd gehaald ontstonden er weer drie nieuwe. De laatste troef waar Tim Kuik en zijn cohorten mee dreigen? Het opleggen van boetes aan gebruikers.

Dat was het laatste wapenfeit in de discussie waarmee Tim Kuik zelf kwam in oktober van dit jaar. Er worden immers ook al boetes opgelegd aan gebruikers in Duitsland en Denemarken, dus waarom zou dat hier ook niet kunnen? Wel één groot obstakel: Brein moet er dan eerst achter komen wie er precies downloadt, en dat is nog niet zo makkelijk. Dan moeten er namelijk eerst gerechtelijke bevelen worden gehaald, de providers moeten nog eens meewerken…

Desondanks was er de laatste maanden van het jaar wel degelijk een stijging in de interesse voor VPN’s te vinden, waarmee je je internetverkeer anoniem kunt maken. Zijn die Popcorn Time-kijkers toch een beetje bang geworden?

Bron: XDA