Facebook-eigendom WhatsApp's onthulling van een beveiligingsfout waardoor hackers spyware op smartphones konden injecteren, leidde tot nieuwe zorgen over de veiligheid van het mobiele ecosysteem.

Hier zijn vijf belangrijke vragen en antwoorden:

Wat is er met WhatsApp gebeurd?

Door het beveiligingslek in de WhatsApp-berichtenapp kan een aanvaller malware injecteren om toegang te krijgen tot Android- of Apple-smartphones.

WhatsApp heeft de fout deze week gepatcht nadat hij had vernomen dat de spyware werd gebruikt om mensenrechtenactivisten en advocaten op te sporen.

Beveiligingsonderzoekers denken dat de aanvallers de krachtige Pegasus-spyware van de in Israël gevestigde NSO Group hebben gebruikt. Volgens een recente analyse van de software door beveiligingsbedrijf Lookout, Pegasus kan de beveiliging van het apparaat "ondermijnen" en "de contactenlijst en GPS-locatie van het slachtoffer stelen, maar ook persoonlijk, Wifi, en routerwachtwoorden die op het apparaat zijn opgeslagen."

De infectie kan wortel schieten met een simpele oproep via WhatsApp. Om het erger te maken, slachtoffers weten misschien niet dat hun telefoons zijn geïnfecteerd, omdat de malware de aanvallers in staat stelde de oproepgeschiedenis te wissen.

Deze bevalling was "bijzonder eng, " zei beveiligingsonderzoeker John Dickson van de Denim Group, omdat het apparaten infecteerde zonder enige actie van de gebruiker.

"Normaal gesproken moet een gebruiker ergens op klikken of naar een site gaan, maar dat was hier niet het geval ' zei Dickson. 'En zodra (de aanvaller) binnen is, zij zijn eigenaar van het apparaat, ze kunnen alles."

Wie is de schuldige?

Terwijl de fout werd ontdekt in WhatsApp, beveiligingsexperts zeggen dat elke applicatie een "voertuig" zou kunnen zijn voor de spyware-payload.

"We hebben nog geen software kunnen schrijven die geen bugs of gebreken heeft, " zei Joseph Hall, hoofdtechnoloog voor het Centrum voor Democratie &Technologie, een digitale rechtengroep.

Hall zei dat de codering in WhatsApp niet was verbroken en dat "Facebook's reactie buitengewoon snel was."

Marc Lueck van het beveiligingsbedrijf Zscaler zei dat op basis van de reactie van Facebook, "Je zou ze een pluim moeten geven dat ze het in de eerste plaats hebben ontdekt, dit was een zeer diepe kwetsbaarheid."

De inbraak op WhatsApp "was geen aanval op encryptie, het was een aanval op een ander element van de applicatie", aldus Lueck.

Is encryptie nog de moeite waard?

Versleuteling blijft een belangrijke functie door een veilige "tunnel" tussen twee partijen tot stand te brengen die hun identiteit verifieert, merkte Lueck op.

"Encryptie is niet alleen belangrijk voor privacy, het is belangrijk voor vertrouwen, " hij zei.

Versleuteling die wordt gebruikt door WhatsApp en andere berichtentoepassingen voorkomt afluisteren van berichten en gesprekken, maar biedt geen bescherming tegen een aanval die toegang krijgt tot het apparaat zelf, onderzoekers noteren.

"Encryptie van end-to-end biedt niets om te beschermen tegen aanvallen op uw endpoint, waar. En veiligheidsgordels en airbags doen niets om te voorkomen dat uw auto wordt geraakt door een meteoriet, " tweette Matt Blaze, een computerbeveiligingsexpert van de Georgetown University.

"Hoewel geen van beide beschermt tegen alle mogelijke schade, ze blijven allebei de meest effectieve verdediging tegen veel voorkomende schade."

Dickson zei dat hoewel geen enkele encryptie onfeilbaar is, de enige manier om hacken volledig te vermijden zou zijn om elektronica volledig te vermijden:"Je zou jongens te paard kunnen gebruiken."

Moet ik me zorgen maken dat ik wordt aangevallen?

burgerlab, een onderzoekscentrum aan de Universiteit van Toronto, zei in een rapport uit 2018 dat het Pegasus-spyware-infecties had gevonden in 45 landen, met 36 "waarschijnlijke overheidsoperatoren."

NSO stelt dat het haar software levert voor legitieme wetshandhavings- en inlichtingendoeleinden. Maar de Toronto-onderzoekers zeiden dat het was verkregen door landen met "dubieuze" mensenrechtenrecords en suggereerden dat het door Saoedi-Arabië zou kunnen zijn gebruikt om de dissidente journalist Jamal Khashoggi op te sporen en te vermoorden.

Citizen Lab-onderzoekers schreven in de Globe &Mail dat ze "ten minste 25 gevallen van onrechtmatige targeting van belangengroepen hebben opgegraven, advocaten, wetenschappers en onderzoekers, onderzoekers naar massale verdwijningen en media-leden."

Maar Lueck zei dat programma's zoals Pegasus extreem duur zijn en niet gemakkelijk door hackers te gelde kunnen worden gemaakt voor winst.

"Je gemiddelde persoon is niet het doelwit van dit specifieke stukje software, die is gebouwd om te verkopen aan overheden om individuen te targeten en niet op grote schaal werkt, " hij zei.

Nog altijd, Lueck zei dat de fout het feit onderstreept dat "het ecosysteem van mobiele telefoons een net zo onveilig en kwetsbaar platform is geworden als de computer."

Hebben overheden betere digitale tools nodig?

De onthullingen komen omdat regeringen betere instrumenten zoeken om criminelen en extremisten op te sporen met behulp van gecodeerde berichten. Een Australische wet vereist dat technische giganten elektronische beveiligingen verwijderen en helpen bij toegang tot apparaten of services.

Wetshandhavingsinstanties hebben geklaagd dat ze "donker worden" in het licht van versleutelde elektronische communicatie bij het onderzoeken van ernstige misdrijven zoals terrorisme en kinderseksmisdrijven.

Maar Hall zei dat het nieuws over Pegasus laat zien dat regeringen tools hebben om softwarefouten te misbruiken voor specifieke targeting zonder de codering en privacy voor alle gebruikers te verzwakken.

"Je kunt de bezorging op specifieke mensen richten in plaats van in één keer in te breken in ieders telefoon, " hij zei.

© 2019 AFP