Trap niet in nepberichten van ‘vrienden’
De klassieke phishingtruc kent iedereen wel: je krijgt een bericht van de ‘Rabobank’ dat je account is geblokkeerd en dat je even moet inloggen. Die truc is zo oud, dat bijna niemand er meer in trapt. Vandaar dat kwaadwillenden steeds op zoek zijn naar andere manieren. Een nieuw ontdekte truc is het sturen van berichten van een ‘vriend’ met daarin een phishinglinkje, bijvoorbeeld van je goede vriend Tim Cook met de mededeling dat Apple een geheim product aan het testen is en dat ze jouw hulp daarbij goed kunnen gebruiken. Je opent nietsvermoedend de link maar je moet eerst een wachtwoord invoeren. Je vertrouwt het niet en vraagt Tim of het wel allemaal klopt. Die antwoordt geruststellend dat het echt veilig is. “Toe maar, gebruik gerust je Apple ID!”
Een paar dagen later krijg je opnieuw een linkje, van een andere vriend, weer met een linkje. Ontwikkelaar Jordan Smith legt in een blogposting uit hoe dat kan: niet alleen jijzelf maar ook je honderden van je ‘beste’ vrienden zijn slordig geweest met het rondstrooien van contactgegevens en het installeren van apps die toegang willen tot je adresboek. Daardoor ligt misbruik op de loer.
Vertrouwde contacten
Een tijdje geleden maakte beveiligingsexpert Felix Krause duidelijk dat je apps gemakkelijk je wachtwoorden kunnen stelen door een pop-up te tonen dat van ‘Apple’ afkomstig lijkt. Maar toegang geven tot je contactenlijst kan ook tot vervelende situaties leiden. Dat kan er namelijk toe leiden dat je iMessage- en sms-berichten krijgt van zogenaamde bekenden die je iets willen vertellen. Vaak is het al verdacht als je plotseling iets hoort van iemand waar je al langere tijd geen contact mee hebt. Maar bij mensen die je kent, kun je er zomaar in trappen. Zeker als de andere persoon geruststellende antwoorden geeft:
De adressen kunnen bijvoorbeeld uitlekken als je een app gebruikt om dubbele adressen te wissen. Daarvoor moet de app wel lees- en schrijftoegang hebben tot je adresboek. Een boosaardige app weet nu welk telefoonnummer bij welk contact hoort en vervolgens een berichtje sturen, die afkomstig lijkt van een bekende. Het achterliggende telefoonnummer is heel anders, maar daar merk je niets van omdat de app met je adressenlijst heeft geknoeid. De app heeft namelijk een extra telefoonnummer toegewezen aan de contactkaart van de betreffende vriend. Dit nummer wordt gebruikt om berichten te sturen. Omdat jij alleen ‘Pietje Puk’ en niet het achterliggende nummer ziet, heb je niet door dat een wildvreemde vanaf een vreemd nummer met je zit te chatten en soms ook dingen terugzegt.
Het probleem is dat heel veel apps toegang willen tot je contactgegevens, bijvoorbeeld om te kijken of vrienden de betreffende app al geïnstalleerd hebben. En het probleem is ook dat al die apps zomaar lees- én schrijfrechten krijgen.
Zo kan Apple er iets aan doen
Volgens Smith kan Apple er iets aan doen door lees- en schrijfrechten te splitsen. Apps moeten dan nadrukkelijk vragen of ze de contactgegevens niet alleen mogen inzien, maar ook mogen wijzigen. Smith ontdekte dat het contacts framework van iOS het kwaadwillenden wel erg gemakkelijk maakt. Gebruikers denken er nauwelijks over na als een app vraagt om toegang tot het adresboek. Het is inmiddels zo gebruikelijk geworden dat je waarschijnlijk niet meer weet hoeveel apps je in de loop van de jaren al toestemming hebt gegeven.
Volgens Smith kan een kwaadwillende de aanval nog geraffineerder uitvoeren door contacten te kiezen die je vertrouwt. Daarvoor hoef je alleen maar naar de naamgeving te kijken: ‘Pap’, ‘Mam’ en mensen met koosnaampjes zijn personen waar je vaak contact mee hebt.
Een andere maatregel die Apple kan nemen is om duidelijk te maken welke wijzigingen een app heeft aangebracht. Zo kun je makkelijker detecteren dat er opeens een vreemd nummer aan een contactpersoon is toegekend. Bovendien kun je met zo’n logboek van wijzigingen zorgen dat alle aanpassingen weer kunnen worden teruggedraaid. En tenslotte kan Apple waarschuwen als je opeens een bericht van een nieuw nummer krijgt.
De ontwikkelaar heeft Apple en Google op de hoogte gebracht van het probleem. Google gaf daarbij aan dat het ‘onhaalbaar’ is wat Smith wil, terwijl Apple verwacht dat dergelijke problemen tijdens het reviewproces van de app al worden afgevangen. Maar dat gebeurt dus niet. Kortom: beide bedrijven gaan er voorlopig niets aan doen.
Wat kun je zelf doen?
Apps geen toegang geven tot jouw adresboek is de beste oplossing, maar is lastig. Als je bijvoorbeeld de Fitbit-app installeert ben je al snel nieuwsgierig hoe je vrienden presteren. En als je een chatapp wilt gebruiken is het bijna onmogelijk om dat te doen zonder je adresboek bloot te geven. Denk daarom na met welke apps je in zee gaat. Dat ook grote namen niet brandschoon zijn, blijkt wel uit het Facebook-schandaal van de afgelopen weken. Bij grote namen heb je echter meer kans dat het in de publiciteit komt, terwijl een kleine ontwikkelaar onopgemerkt te werk kan gaan.
Heb je een verdacht bericht van een vriend gekregen, kijk dan even of er misschien een extra telefoonnummer aan zijn of haar profiel is toegevoegd. In de afbeelding bovenaan dit artikel is het bijvoorbeeld gek dat Tim Cook gebruik maakt van een Vietnamees telefoonnummer. Alleen daarom zouden de alarmbellen al moeten gaan rinkelen.
Tenslotte: kijk ook eens via Instellingen > Privacy > Contacten welke apps nu al toegang hebben tot jouw contacten. Gegarandeerd dat er een paar tussen staan die je niet meer gebruikt.
Zo herken je phishingberichten die niet van Apple zijn
Safari phishingfilter op iPhone en iPad gebruiken
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Startup van voormalig Apple-onderzoeker wil je Mac veiliger maken (25-04)
- 'Recht op reparatie'-wetgeving in EU komt er nu echt aan (24-04)
- Made in India: één op de zeven iPhones wordt nu gemaakt in India (11-04)
- Onderzoek: 'Driekwart Nederlandse weggebruikers zit met mobiel achter het stuur' (02-04)
- Apple: 'Ons AI-model presteert beter dan GPT-4' (02-04)
Reacties: 7 reacties