Direct hulp nodig? Bel of app ons noodnummer.

040-2095020

Threatlandschap

Geen smartphones meer op de vergadertafel: alles over afluistersoftware

De Militaire Inlichtingen en Veiligheidsdienst kwam recent met een opvallende waarschuwing: laat collega’s voortaan nooit meer hun smartphones meenemen tijdens een vergadering. Volgens de MIVD ligt er een spionagerisico op de loer.

Jan Swillens, diensthoofd van de MIVD, benadrukt dat zeker wanneer er bedrijfsgeheimen worden besproken, smartphones of tablets op tafel uit den boze zijn. Er zou een te groot risico zijn op cyberspionage. Een onderbouwing hiervoor? Die geeft de topman niet.

Omdat het een opvallende uitspraak is, gaan we voor u wat dieper in op de materie. Want hoe reëel is de kans dat een crimineel u afluistert via uw smartphone? En zetten aanvallers deze methode in om bedrijfsgeheimen van doelwitten te achterhalen? Wat zijn de mogelijkheden?
 

Er bestaat afluistersoftware voor smartphones

Allereerst: is afluisteren via een smartphone (in slaapmodus) mogelijk? Er gaan al een aantal jaar speculaties rond dat Facebook dit zou doen om relevantere advertenties te kunnen tonen aan gebruikers. Of dit echt zo is, is tot op heden niet bevestigd. Het kan tenslotte ook toeval zijn dat Facebook advertenties met merkschoenen laat zien, vlak nadat u een gesprek hebt gehad over versleten schoenzolen.

Wat we wel weten, is dat in 2017 bekend werd dat honderden gameapps de microfoons van gebruikers inschakelden om ze daadwerkelijk af te luisteren. Er werd hierbij gebruik gemaakt van software van Alphonso, een bedrijf uit Amerika. De games verzamelden audiofragmenten om door te verkopen aan adverteerders. Denk aan informatie over de TV-programma’s die gebruikers kijken. Een lucratief verdienmodel voor deze gratis games.

Dus of afluistersoftware bestaat? Jazeker.

De overheid mag afluisteren

Interessant om te weten: de overheid mag legaal smartphones afluisteren. Met speciale apparatuur verkrijgen ze via de providers toegang tot toestellen om zo telefoongesprekken af te tappen. Uiteraard doen ze dit niet zomaar: enkel wanneer er iets aangetoond moet worden in een rechtszaak.

Hoe eenvoudig komen aftap-apps op uw telefoon terecht?

Dat er software bestaat om geluidsfragmenten af te tappen, geeft al aan dat het technisch mogelijk is om via deze weg bedrijfsgeheimen te stelen. Of die software zomaar op uw toestel terecht kan komen? De smartphone-ontwikkelaars en reguliere appstores doen hun best gebruikers vanuit hun kant te beschermen met de volgende regels:
 

1. Een app moet toestemming vragen voor het gebruik van de microfoon

Om misbruik van apps te voorkomen, moeten gebruikers tegenwoordig bij de installatie van een app handmatig toestemming geven tot functionaliteiten van de telefoon. Een calculator die toegang wil tot uw microfoon zou al meteen een alarmbel af moeten laten gaan. Want waar heeft die app uw microfoon voor nodig?
 

2. Een app komt niet zomaar in de appstore

Om malafide apps uit de buurt van smartphones te houden, heeft zowel de Google Playstore als de iOS Appstore een controlebeleid. Een app moet eerst worden goedgekeurd voordat hij op de appstore komt. Het beleid van Apple is beduidend strenger dan die van Android, maar beiden zijn niet waterdicht.
 

Mooie maatregelen, maar de praktijk is anders

Ondanks het controlebeleid komen kwaadwillende apps alsnog regelmatig in de reguliere appstores terecht. Zo ontwikkelen aanvallers onschuldig uitziende toolapps zoals flashlights, die vervolgens malware op het systeem droppen. Deze apps worden ook wel “droppers” genoemd. En lukt het toch niet een malafide app in de appstore te krijgen? Dan heeft de ontwikkelaar gewoon nog een andere optie: hem aanbieden in een onofficiële appstore. Die hebben voldoende gebruikers.

Let op: aanvallers zijn in staat ook populaire en valide apps om te toveren tot een dropper. Dat gebeurde recent bij Camscanner, een app met meer dan 380 miljoen installaties.
 

Kwetsbaarheden in het OS

Daarnaast vormen kwetsbaarheden in het OS ook nog een potentiële kans voor aanvallers die willen spioneren. Waarom? Middels deze kwetsbaarheden kunnen ze de betrouwbare reguliere appstores op zijn kop zetten. Zo krijgen ze via populaire apps alsnog malware op uw toestel. Hoe dat werkt? Een bekend recent voorbeeld is bijvoorbeeld Strandhogg en Strandhogg v2.
 

Kwetsbare apps

Ook als u apps beperkte toegang tot functionaliteiten geeft, is er nog geen garantie dat u veilig bent. Zit er een kwetsbaarheid in een van uw apps? Nog niet zo heel lang geleden hebben hackers via een kwetsbaarheid in de Google Pixel camera app toegang weten te krijgen tot de camera’s van gebruikers. Ideaal voor spionageactiviteiten. Het is dus niet ondenkbaar dat hackers een kwetsbaarheid exploiteren om toegang te krijgen tot microfoons van smartphonegebruikers.

Kwetsbaarheden duiken geregeld op. Het is daarom belangrijk om uw OS en apps altijd up-to-date te houden. Vaak zijn ontwikkelaars er op tijd bij met beveiligingsupdates. Let er ook op dat u geen verouderd OS gebruikt: die krijgen die updates niet meer.
 

Hoeveel gevaar lopen bedrijven?

De waarschuwing van Swillens is zo urgent, dat het de indruk wekt dat een groot deel van de smartphones al geïnfecteerd is met spionagesoftware. Ja, audio aftappen van een smartphone is mogelijk. Maar makkelijk? Niet echt.

Het kost veel werk om een telefoon af te kunnen luisteren. Zeker wanneer één bedrijf doelwit is, is het nogal een klus om de software op de smartphone van de juiste persoon te krijgen.  Maar is er voor een crimineel (of concurrent) voldoende motivatie om een vergadering af te luisteren? Dan kan er een hoop.
 

Better safe than sorry

Voorzichtig zijn kan nooit kwaad. Zeker wanneer u belangrijke zaken gaat bespreken, is het een optie ervoor te kiezen de aanwezigen te verzoeken hun smartphone ergens anders op te bergen. Wat heeft u te verliezen? Een telefoon kan vaak wel gemist worden aan de vergadertafel.

Maar of u nu panisch iedereen moet verzoeken zijn of haar smartphone thuis te laten? Er zijn voor hackers voldoende andere manieren om achter gevoelige informatie te komen. Geef – bijvoorbeeld- het dichten van kwetsbaarheden liever liever uw prioriteit.

Inschrijven nieuwsbrief

Op de hoogte blijven van ontwikkelingen binnen de cybersecurity en tips ontvangen? Elke maand ontvangt u kennisartikelen in uw mailbox.

Lees ook...

AI

  • 1 jul, 2025

Hoe AI-gegenereerde code gevoelige data lekt: u heeft er ook mee te maken

AI-tools zoals GitHub Copilot veranderen de manier waarop we software ontwikkelen. Ze schrijven steeds vaker mee aan de code: zo…

Lees verder

Cyber security

  • 14 jun, 2025

9 Toepasbare cybersecurity tips voor thuis

Het is bijna niet voor te stellen, maar een airco op het dak kan cybercriminelen al toegang geven tot uw…

Lees verder

Cyber security

  • 10 jun, 2025

Asset Management vs. Attack Surface Management: zijn er wel verschillen?

Stel: u werkt in een groot kantoorpand. Alles netjes geregeld. Iedereen heeft een pas. Elke ruimte zit op slot. De…

Lees verder

Aanvallers

  • 5 jun, 2025

Russische Laundry Bear binnen bij de Politie: zo werkt de ”Living off the Land” methode

In september 2024 werd de Nederlandse Politie slachtoffer van een digitale aanval. Geen datalek vol wachtwoorden, geen gijzelsoftware of dreigmail:…

Lees verder

Uw cybersecurity zichtbaar en tastbaar maken?

Afspraak maken

Bel ons voor cybersecurity vragen op:

Afspraak maken

"*" geeft vereiste velden aan

Naam*
Privacy policy*