Wetenschap
U hoeft niet eens ergens op te klikken om 'zero-click' malware uw telefoon te laten infecteren.
Apple heeft zich de afgelopen week gehaast om een oplossing te ontwikkelen voor een grote beveiligingsfout waardoor spyware op een iPhone of iPad kan worden gedownload zonder dat de eigenaar zelfs maar op een knop hoeft te klikken.
Maar hoe werken dergelijke "zero-click"-aanvallen en kunnen ze worden gestopt?
Wat is een 'zero-click'-hack?
Spionagesoftware was traditioneel afhankelijk van het overtuigen van de beoogde persoon om op een boobytrap-link of bestand te klikken om zichzelf op hun telefoon, tablet of computer te installeren.
"Zero-click tilt die dreiging naar een hoger niveau", zegt John Scott-Railton, senior onderzoeker bij Citizen Lab, het cyberbeveiligingscentrum van de Toronto University dat de Apple-fout ontdekte.
Met een zero-click-aanval kan de software zijn weg naar het apparaat sluipen zonder dat de persoon voor de gek gehouden hoeft te worden om op de link te klikken.
Dat geeft potentiële spionnen veel gemakkelijker toegang, niet in het minst in een tijdperk waarin mensen steeds voorzichtiger zijn geworden om op verdacht uitziende berichten te klikken.
In dit geval maakte de malware gebruik van een gat in de iMessage-software van Apple om heimelijk Pegasus te installeren, een enorm invasief stukje software dat in wezen van een telefoon een luisterapparaat op zakformaat maakt.
Beschuldigingen dat de software door regeringen over de hele wereld is gebruikt om mensenrechtenactivisten, zakenlieden en politici af te luisteren, leidden in juli tot een wereldwijd schandaal.
Weet ik of mijn telefoon is geïnfecteerd?
Een eenvoudig antwoord:"Nee", zei Scott-Railton.
"Je kunt als gebruiker niets doen om jezelf tegen infectie te beschermen, en niets dat je zult zien als je geïnfecteerd bent", zei hij tegen AFP.
Dat is gedeeltelijk de reden waarom Apple de dreiging zo serieus heeft genomen, zei hij.
Scott-Railton drong er bij Apple-gebruikers op aan om de software-update te installeren die maandag door de techgigant is uitgebracht.
Apple kondigde een oplossing voor het probleem aan, iets minder dan een week nadat Citizen Lab het op 7 september meldde.
Een oplossing voor deze snelheid is "een zeldzaamheid, zelfs voor een groot bedrijf", zei Scott-Railton.
Waarom zijn berichten-apps zo kwetsbaar?
De onthullingen van Apple's iMessage-fout komen nadat berichtenservice WhatsApp in 2019 ontdekte dat het ook een zero-click-kwetsbaarheid had die werd gebruikt om Pegasus op telefoons te installeren.
Scott-Railton zei dat de alomtegenwoordigheid van dergelijke apps betekende dat het niet verwonderlijk was dat de NSO Group, het door schandalen getroffen Israëlische bedrijf achter Pegasus, ze had gebruikt om op apparaten van mensen te sluipen.
"Als je een telefoon vindt, is de kans groot dat er een populaire berichten-app op staat", legt hij uit.
"Een manier vinden om telefoons te infecteren via berichten-apps is een gemakkelijke en snelle manier om te bereiken wat je wilt."
Het feit dat berichten-apps mensen in staat stellen om te worden geïdentificeerd met hun telefoonnummers, die gemakkelijk te vinden zijn, "betekent ook dat er een enorm doelwit is voor zowel natiestaten als commerciële huursoldaten zoals NSO", zei hij.
Kunnen dergelijke hacks worden gestopt?
Vivien Raoul, chief technical officer bij het Franse cyberbeveiligingsbedrijf Pradeo, zei dat de ontdekking van de iMessage-fout "een goed begin was voor het verminderen van de toegangspoorten, maar het is helaas niet genoeg om Pegasus te stoppen".
Malwaremakers kunnen eenvoudig zoeken naar andere zwakke punten in veelgebruikte apps, die onvermijdelijk van tijd tot tijd fouten bevatten vanwege hun complexiteit, zeggen experts.
Google's mobiele besturingssysteem Android en Apple's iOS "corrigeren regelmatig een groot aantal kwetsbaarheden", aldus Raoul.
NSO, onder wie voormalige elite leden van de Israëlische militaire inlichtingendienst rekruteren, beschikt over formidabele middelen om te investeren in de jacht op zwakke plekken, terwijl hackers ook toegang tot deze zwakke plekken verkopen op het dark web.
Wetenschap © https://nl.scienceaq.com