Groeiend probleem: Mensen die je vertrouwt installeren stiekem spyware. De laatste jaren merken beveiligingsspecialisten op dat apps voor ouderlijk toezicht meer en meer worden gebruikt om te stalken. Deze spyware werkt in een grijs gebied waardoor beveiligings-apps minder hard ingrijpen dan misschien nodig is.

Stalkerware is precies wat de naam al aangeeft: software die gebruikt wordt om te stalken. Vaak niet eens door onbekenden geïnstalleerd, maar door een partner of inmiddels ex. Het gaat hierbij vaak om apps die worden omschreven als tools voor ouders om kinderen in de gaten te houden en zonder medeweten van de hoofdgebruiker actief zijn op een toestel, bijvoorbeeld om locaties te volgen of berichten-apps te monitoren.

Heimelijk draaiende apps
Spyware dus, maar omdat het voor dit specifieke issue wordt ingezet en het een groeiend probleem is in onze toegenomen digitale wereld met ruim beschikbare tools voor mensen zonder al te veel technische kennis, is stalkerware in opkomst als term om dit risico te belichten. Bovendien wordt spyware nog beter opgepikt door mobiele virusscanners, maar het misbruik van legitieme apps als 'Vind mijn iPhone' wordt sneller over het hoofd gezien, zo omschreven onderzoekers van verschillende universiteiten vorig jaar in The Spyware Used in Intimate Partner Violence. Ze halen applicaties aan om werknemers te volgen of kinderen te monitoren die heimelijk draaien op een toestel, maar ook openlijk geïnstalleerde applicaties om telefoontjes op te nemen en naar een cloudopslag te synchroniseren of applicaties om browsergeschiedenis en sms-berichten naar de cloud op te slaan (dual-use stalkerware). Gebruikers zijn zich niet altijd bewust dat deze apps op hun toestel actief zijn, of als ze dat wel weten wat daar de potentiële impact van is.

Beveiligingsbedrijf Kaspersky merkte stalkerware afgelopen april aan als een groeiend probleem, nadat het bedrijf in 2017 opmerkte steeds meer samples tegen te komen van applicaties die werden ingezet voor 'ouderlijk toezicht' (zie later in dit artikel het voorbeeld van het al jaren in omloop zijnde mSpy). Het bedrijf vond in 2018 58.487 samples van deze applicaties. Ter vergelijking geeft de beveiligingsorganisatie voor dezelfde periode aan 187.321 samples ransomware te hebben aangetroffen, wat een van de grotere issues is die de IT-sector de laatste jaren parten speelt.

Een overzicht van Kaspersky uit 2017 voor commerciële spyware voor mobiel platform Android.
Nog een bijkomend issue: leveranciers die cloudsynchroniserende spyware aanbieden laten de applicaties communiceren met hun eigen C&C's en - je voelt de bui wellicht al hangen - meerdere van deze servers zijn de afgelopen jaren met succes veroverd door aanvallen. Wat betekent dat de potentieel zeer gevoelige gegevens van slachtoffers nog verder lekken.

Voorbeeld van stalkerware
Stalkerware is erg makkelijk te vinden online. Neem een app als mSpy, die gebruikers kopen via een abonnement. Deze apps installeren vertrouwde personen op de smartphone van hun slachtoffer als die even uit de kamer zijn. De spyware zit in een verborgen map met een noodzakelijk ogende naam als 'services.dat' en krijgt een systeempictogram mee zodat zelfs áls een gebruiker het toestel napluist het onderdeel lijkt te zijn van het besturingssysteem. Verder zorgt de app dat het zo min mogelijk accu en data verbruikt, zodat hij niet plots opduikt in de lijst van verbruikende apps.

Deze app maakt vervolgens op bepaalde momenten screenshots van het toestel, houdt de locatie van het toestel bij, zorgt ervoor dat de beheerder bepaalde contacten van het slachtoffer kan blokkeren, bevat een keylogger om te monitoren wat een gebruiker allemaal typt en kan zelfs de microfoon inschakelen om te horen wat er in de omgeving van het toestel gebeurt.

Dit is dus een voorbeeld van een app die is bedoeld voor spionagepraktijken en niet voor legitieme doeleinden, ook al omschrijven de makers dit als een 'parental control app'. Tekenend is dat je deze app alleen maar kunt sideloaden, dus door de APK buiten Google Play om te installeren of op een gejailbreakte iPhone te zetten, eveneens buiten de controle van Apple om. Bij Android kun je standaard enkel vanuit Play installeren, maar een vriend of vriendin die deze stalkerware installeert, zet dit uiteraard eerst uit alvorens de applicatie heimelijk te activeren.

Hoe je stalkerware aanpakt
Een oplossing voor softwaremiddelen die toestellen monitoren op malafide apps is een app die waarschuwt als er gevoelige data wordt gebruikt of wanneer bijvoorbeeld de microfoon of camera wordt ingeschakeld. Een Android-app als Lumen Privacy Monitor van de universiteit van Berkeley geeft je inzicht in data die je toestel verlaat en welke apps daar verantwoordelijk voor zijn, zodat dual-use stalkerware inzichtelijk is. Een spyware detector als Incognito kan verder stiekeme stalkerware detecteren en je waarschuwen.

Voor alle grijze gebieden kijken diverse beveiligingsleveranciers naar oplossingen om gebruikers ervan op de hoogte te stellen dat een app die ze gebruiken gevoelige gegevens aanspreekt. Kaspersky kijkt hier bijvoorbeeld naar om te voorkomen dat de scanner niet simpelweg zegt "geen virus" maar uitleg geeft dat deze software de potentie heeft voor misbruik.

Voor de iets meer technisch onderlegde gebruiker heeft het Guardian Project (onder meer bekend van Orbot) oplossingen als Checkey, die APK-signatures weergeeft van alle draaiende apps met links naar Virustotal om meteen te kunnen zien of dit een (potentieel) malafide app is en om meer informatie te achterhalen.

Voor de iPhone kun je een app als Certo Mobile Security gebruiken om spyware te bestrijden. Deze detecteert een jailbreak - mocht iemand dat zonder je medeweten hebben gedaan bij je toestel - kijkt of je beveiligd bent tegen ongeautoriseerde toegang en geeft advies over je huidige configuratie qua beveiligingsinstellingen.

Lessen van deze trend
Een ander probleem is het grijze gebied waarin deze apps opereren. Beveiligingspakketten zijn voorzichtig in het rapporteren van zulke applicaties aan gebruikers, omdat het om een ouderlijk toezicht-app gaat. Als een security-app deze in quarantaine zou zetten, zou de ouder die dit installeert ontstemd zijn dat de app het kind niet heeft gemonitord. Diverse applicaties zijn daarom begonnen met het verwittigen van gebruikers dat er zo'n app draait. Nog een probleem van de juridische status is dat legitieme platforms openlijk adverteren met deze applicaties, bijvoorbeeld op Twitter:

De opkomst van stalkerware die door (ex-)partners en 'vrienden' worden geïnstalleerd onderstrepen de noodzaak voor fysieke beveiliging. Dit is vaak meer een cultureel issue dan een technische: je kunt natuurlijk alles afschermen met biometrie en toegangscodes, maar als het gaat om een partner worden die codes al snel gedeeld. De groei van dergelijk spyware-gebruik geeft aan dat applicaties die voorzien in ouderlijke toezicht op mobiele apparaten transparanter moeten werken en dat ouders, voor zover dat nog niet gebeurt, een gesprek moeten aanknopen met hun kinderen over de aanwezigheid van toezicht.