Luistert onze elektronica ons af?

Persoon houdt smartphone vast waaraan een surveillance-camera en microfoon vastzitten
Klik hier voor een samenvatting
In het kort: luister onze elektronica ons af?

Al je ‘smart’-apparaten kunnen in theorie elk moment van de dag naar jouw gesprekken luisteren. Worden al deze gesprekken ook opgenomen, geanalyseerd of zelfs doorverkocht? Helaas is het antwoord daarop niet simpelweg ‘nee’.

Zowel bedrijven als de overheid luisteren ons (soms) af. Je loopt ook een risico dat hackers je afluisteren. Zij maken voornamelijk gebruik van firmware-malware. Hier kunnen we als samenleving drie dingen tegen doen:

  • Een betere controle op firmware laten uitvoeren door fabrikanten.
  • Een officiële handtekening van fabrikanten invoeren bij firmware die door gebruikers te controleren is.
  • Ervoor zorgen dat gebruikers gemakkelijk kunnen inzien of er nieuwe firmware wordt geïnstalleerd.

Meer weten over de spionagepraktijken die voor (kunnen) komen door je elektronische apparaten? Lees dan snel verder.

Tegenwoordig hebben wij allerlei soorten elektronica waar piepkleine microfoons in zitten. Je smartphone is het meest voor de hand liggende voorbeeld. Google Assistant, Siri, en veel andere apps hebben de mogelijkheid om op elk moment met je mee te luisteren.

Het is mogelijk deze apps uit te zetten, maar vaak hebben mensen toch het gevoel alsof ze stiekem afgeluisterd worden. In dit artikel kijken we naar de verschillende apparaten en partijen die je mogelijk afluisteren.

Overal microfoons

Smartphone met Microfoon IcoonAfgezien van je smartphone zijn er nog vele andere moderne apparaten die een microfoon hebben. Amazon Echo bijvoorbeeld heeft altijd een microfoon aan staan. Daarnaast zijn er een hoop andere moderne apparaten die geactiveerd kunnen worden door middel van je stem.

Smart fridges (koelkast), smart speakers, smart-tv’s, smart lights (verlichting), smart thermostats (temperatuurregelaar), smart home security (waaronder babyfoons) en ga zo maar door. Ze hebben allemaal microfoons.

Al deze apparaten zouden in theorie elk moment van de dag naar jouw gesprekken kunnen luisteren. Worden alle gesprekken opgenomen, verzameld, geanalyseerd of zelfs doorverkocht? Helaas is het antwoord niet simpelweg ‘nee’.

Bedrijven en spionage

Er zijn een aantal bedrijven die betrapt zijn op het verzamelen van gebruikersgegevens en/of data. Ook zijn er situaties geweest waarbij smart devices geïnfecteerd raakten door malware en op die manier stiekem informatie verzamelden. In feite is elk apparaat dat verbonden is aan het internet hier extra kwetsbaar voor.

Veel smart devices hebben zowel microfoons als een internetverbinding en zijn daarom dus een potentiële bron van spionage. Sommige bedrijven zijn er op betrapt stiekem audio- en videomateriaal zonder toestemming te verzamelen.

Amazon en Google zijn de beste voorbeelden. Amazon verzamelde data via de Echo en huisbeveiligingsdienst ‘Amazon Ring’, terwijl Google via Nest Secure ook stiekem opnames maakte van klanten zonder dat zij hiervan wisten of toestemming voor hadden gegeven. De klanten van “Nest Secure” wisten zelfs niet eens dat er microfoons in de apparatuur zat.

Deze voorbeelden zijn natuurlijk een uitzondering op de regel. Maar het is nooit slecht om te onthouden dat allerlei soorten smart devices microfoons bevatten en dat bedrijven winst maken op het verkopen van jouw persoonlijke data.

Ook de overheid luistert mee

Laptop met oogMultinationals zoals Google en Amazon zijn niet de enige die gebruikmaken van smart devices om mee te luisteren. Edward Snowden toonde in 2013 aan dat de Amerikaanse NSA (National Security Agency) allerlei programma’s heeft waarmee het audio aftapt van apparaten waar microfoons in zitten. Een aantal van deze programma’s zijn:

  • ERRONEOUSSKILL. Dit is een database van gesprekken die door middel van ‘man-in-the-middle’-hacks verzameld zijn.
  • STELLARTOPPER. Dit is een surveillance programma dat via een ‘backdoor’ de gesprekken van mensen die dichtbij een laptop microfoon zitten afluistert .
  • IVYOUT. Een andere database die afgetapte gesprekken van laptops bewaard.
  • TAROTTIRE. Een programma dat over de hele wereld audiobestanden opneemt via laptopmicrofoons.
  • LONGLANTERN. Een programma dat internationale telefoongesprekken opslaat zonder toestemming.

Volgens Snowden zijn er nog meer programma’s die gericht zijn op het vastleggen van gesprekken tussen nietsvermoedende mensen. Uiteraard hebben we deze informatie niet onafhankelijk kunnen verifiëren, maar het is niet nieuw dat overheden aan espionage doen. Dit is een praktijk wat elk land ter wereld doet. Moderne apparatuur maakt het alleen een stuk makkelijker.

Digitale spionage in Nederland

Ook in Nederland worden burgers soms door de overheid bespioneerd. In 2020 kwam bijvoorbeeld naar buiten dat een onderdeel van de landmacht, het Land Information Manoeuvre Centre (LIMC), data verzamelde uit ‘semi-gesloten en vertrouwelijke bronnen’. Hieronder valt informatie die afkomstig is van onder meer ziekenhuizen en registratiesystemen van de politie.

Bovendien infiltreerde in ieder geval één medewerker onder een schuilnaam een online platform voor complotdenkers. Op deze manier luisterde het LIMC gesprekken af van Nederlandse burgers op een manier waarvoor het niet is bevoegd.

De krijgsmacht is hier uiteraard niet toe bevoegd. De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en Militaire Inlichtingen- en Veiligheidsdienst (MIVD) mogen wel meeluisteren met gesprekken. Denk maar aan de befaamde Sleepwet uit 2017/8.

Hackers, malware en firmware

HackerOverheden en bedrijven zijn niet de enige partijen die je mogelijk afluisteren. Er zijn ook nog eens hackers.

In maart 2015 bracht het antivirusbedrijf Kaspersky Lab een rapport uit over een nieuwe soort malware dat ontwikkeld was door De Equation Group, een subdivisie van de NSA. Het rapport toonde voor het eerst een firmware-gebaseerde vorm van malware aan. Dit werd door beveiligingsprofessionals en de hardware-industrie als een wake-up-call gezien. Firmware-gebaseerde aanvallen zullen we vaker gaan tegenkomen.

Tegenwoordig is firmware-gebaseerde malware nog altijd een van de moeilijkste soorten malware om je tegen te beschermen. Antivirusscanners zijn over het algemeen niet ontworpen om de hardware en firmware van je computer te overzien. De focus ligt op software. Om deze reden blijft firmware-gebaseerde malware vaak onontdekt en kan het schade blijven aanrichten. Vaak is de enige oplossing de geïnfecteerde hardware te vervangen.

Wat is firmware?

De meeste stukken hardware op een moderne computer zijn complex genoeg dat ze hun eigen kleine computers nodig hebben om te kunnen werken. Verschillende onderdelen van de hardware, zoals de harde schijf, netwerkkaart, BIOS, toetsenbord, USB-drives en videokaarten hebben allemaal hun eigen microprocessor, geheugen en software. Deze zijn gescheiden van de CPU, het RAM-geheugen en andere componenten die deel uitmaken van de computer. De verzameling software op deze gescheiden onderdelen binnen je apparaat heet ‘firmware’.

Firmware zit niet alleen in onze computers. Het is ook aanwezig in de meeste elektronische apparaten die we gebruiken: onderdelen van mobiele telefoons, printers, digitale camera’s, tv’s, routers en auto-onderdelen. Allemaal hebben ze hun eigen aansturende software, oftewel firmware.

In zijn rapport beschrijft Kaspersky een klasse malware die de firmware van bijna elke harde schijf kan vervangen door een kwaadaardige kopie. Hierdoor kan de malware het hele systeem overnemen. Het kan bestanden lezen en schrijven, zelfs als de harde schijf geformatteerd is.

Dit type aanval blijft niet beperkt tot harde schijven van computers. Het kan ook de CPU, het RAM-geheugen en vrijwel elk andere hardware component van de computer infecteren.

Verschil hardware, software en firmware

Schematisch zijn de verschillen tussen hardware, software en firmware zo weer te geven:

Uitleg van wat hardware, software en firmware zijn

Type ‘ware’Omschrijving
HardwareDe fysieke componenten van een apparaat. Denk aan de interne componenten zoals een harde schijf in een computer of een processor in een smartphone. Ook randapparatuur, zoals een computermuis of beeldscherm, die je middels draad of draadloos aan je computer verbindt, worden vaak hardware genoemd.

Met grote regelmaat wordt het woord hardware ook gebruikt voor een volledig apparaat met al haar onderdelen, zoals een smartphone, tablet of laptop.

SoftwareSoftware zijn de programma’s die op een apparaat draaien. Denk aan een besturingssysteem, zoals Windows of iOS, of apps die je op je computer hebt geïnstalleerd. Ook programma’s als Microsoft Word of Spotify zijn software.
FirmwareFirmware is software die al is geprogrammeerd in hardware. Sommige onderdelen, zoals de BIOS van een computer of software van een fotocamera, zijn al embedded in het apparaat. Meestal is deze software niet aan te passen en is deze essentieel voor de werking van het apparaat.

Wat is het probleem?

Firmware is niet per definitie een slechte zaak. Het is namelijk een vereiste om de geavanceerde hardware die de hedendaagse computeromgevingen kennen goed te bedienen. Het probleem met firmware is dat het vaak zeer ondoorzichtig is.

De meeste hardwarefabrikanten geven de broncode voor hun firmware niet vrij. Sterker nog, fabrikanten ondernemen stappen om te proberen de reconstructie van hun firmware door derde partijen te voorkomen.

Bovendien is er geen manier om de firmware op een computer te bekijken. Hierdoor is er dus geen manier om te controleren of de firmware die op het component geïnstalleerd is de originele firmware is of dat deze is vervangen. Er is dus geen manier om vast te stellen of het om kwaadwillige firmware gaat.

Dankzij het rapport van Kaspersky en diverse Snowden-lekken, weten we nu dat de NSA malware gebruikt die de harde schijf firmware infecteert. Mogelijk gebruikt de NSA zelfs malware die de BIOS infecteert. Dat we dit weten betekent niet dat het nu ophoudt met bestaan. Firmware-gebaseerde aanvallen zullen naar verwachting sterk toenemen en zijn ontzettend moeilijk om aan te pakken.

De aantrekkingskracht van firmware-aanvallen voor criminelen

Firmware-gebaseerde aanvallen zijn aantrekkelijk voor hackers, deels omdat ze zo verwoestend kunnen zijn. Hier zijn een paar redenen voor:

  • Firmware-gebaseerde malware is moeilijk te detecteren. Een computer heeft geen manier om de firmware die zijn componenten draaien te inspecteren.
  • Firmware-gebaseerde malware is moeilijk te verwijderen. Zelfs het compleet opnieuw formatteren van de harde schijf zal deze niet ontdoen van de firmware, omdat het apparaat is geïnfecteerd op hardware niveau. Je zult dus nieuwe hardware moeten aanschaffen.
  • De meeste firmware is nog nooit een openbare veiligheidsaudit ondergaan, omdat de firmware closed-source zijn. Dit maakt het een rijke bron van potentiële veiligheidsrisico’s, bugs en zero-day exploits.
  • De firmware van veel apparaten wordt nooit bijgewerkt. Potentiële exploits of geïnstalleerde malware kan dus voor een lange tijd actief blijven.

Al met al worden we dus geconfronteerd met een van de meest verderfelijke computer beveiligingsproblemen die we ooit hebben gezien. Onze hardware-apparaten kunnen worden doorzeefd met malware, maar we hebben geen manier dit te achterhalen. Het is dit soort malware dat het mogelijk maakt voor hackers en organisaties zoals de NSA om backdoors in computers te plaatsen. Op deze manier kunnen al deze organisaties je afluisteren.

Hoe kunnen wij dit probleem aanpakken?

Computer met slotjeHardwarefabrikanten moeten stappen ondernemen om dit probleem aan te pakken. In het verleden hebben hardwarefabrikanten zich meer gefocust op de fysieke aanvallen. Fabrikanten richtten zich dan vooral op het ondoorzichtig en fraudebestendig maken van hun hardware en firmware. Ze hoopten dat niemand in staat zou zijn om het component aan te vallen, zolang ze deze niet konden reverse-engineeren,

Helaas heeft deze aanpak dus niet genoeg effect gehad. Dit moet dienen als een grimmige herinnering aan het oude gezegde: “Security through obscurity is helemaal geen security“. We moeten de transparantie en controleerbaarheid van onze hardware terug krijgen.

Om verdere problemen te voorkomen en te bestrijden zijn er drie dingen die meteen moeten gebeuren:

1. Goede controle op firmware

Hardwarefabrikanten moeten beveiligingsprofessionals inhuren om hun firmware te controleren en de resultaten daarvan te publiceren. Bij voorkeur moeten de hardwarebedrijven fulltime beveiligers inhuren om ervoor te zorgen dat hun code ALTIJD wordt gecontroleerd voordat het ooit geïnstalleerd wordt.

Hardwarefabrikanten kunnen ook de broncode voor de firmware van hun apparaat vrijgeven, waardoor onafhankelijke beveiligingsonderzoekers en leken de code kunnen inzien, herzien en verbeteren. Mensen hebben het recht om de code die wordt uitgevoerd op hun computers te inspecteren.

2. Ondertekening van firmware-updates

Firmware-updates moeten door de fabrikant worden ondertekend, zodat we veiligheids- en kwaliteitsgaranties hebben wanneer we een upgrade van onze firmware uitvoeren. Bovendien moeten de fabrikanten zorgen dat er een gemakkelijker mechanisme komt waarmee de gemiddelde gebruiker de handtekening van de fabrikant kan controleren. Idealiter gebeurt dit niet langer met de huidige ‘handtekening verificatie methoden’. Deze zijn namelijk al onveilig gebleken.

3. Een mechanisme invoeren om de integriteit van geïnstalleerde firmware te verifiëren

Fabrikanten moeten ervoor zorgen dat de gebruiker gewaarschuwd wordt zodra er nieuwe firmware geïnstalleerd wordt.

Geen van deze dingen zijn moeilijk vanuit technologisch oogpunt. De grootste problemen zullen liggen in het mobiliseren van de fabrikanten om hier serieus mee aan de slag te gaan. Helaas is het niet ondenkbaar dat er een ‘duw vanuit de politiek’ nodig zal zijn om dit te bewerkstelligen.

Conclusie

Het is behoorlijk lastig om vast te stellen of je nu echt wordt afgeluisterd. In theorie zouden hackers, inlichtingendiensten, sociale mediabedrijven, beveiligingsfabrikanten, adverteerders en nog vele anderen met alles wat je zegt mee kunnen luisteren.

De kans dat je interessant genoeg bent voor een inlichtingendienst of een multinational om je persoonlijke gesprekken door te nemen is ontzettend klein. Toch is het niet ondenkbaar dat je computer een backdoor bevat om eventueel informatie te verzamelen. Het is ontzettend immers lastig om vast te stellen of je computer mogelijk informatie verzameld en doorstuurt vanwege het beschreven firmware probleem.

Vanwege het probleem van firmware-gebaseerde malware is het nog lastiger om zeker te weten of er geen surveillance plaatsvindt. Als individu kun je hier vrij weinig aan doen. Als je écht iets wilt communiceren zonder afgeluisterd te worden, kun je dit het beste in persoon doen, buitenshuis, zonder je smartphone in de buurt. Zo heb je de meeste zekerheid dat je gesprek werkelijk privé blijft.

Elektronica die ons afluistert: veelgestelde vragen

Wil je snel antwoord op je vraag? Kijk dan in de FAQ of stel jouw vraag in de reacties.

Alle apps op je telefoon die toegang hebben tot je microfoon kunnen je potentieel afluisteren. Sommige bedrijven zijn erop betrapt stiekem audiomateriaal van je te verzamelen zonder toestemming. Denk maar aan Google met Google Nest Secure.

Afluisteren door bedrijven zonder toestemming is meer een uitzondering op de regel, maar het is nooit slecht om voorzichtig te zijn met je smart devices en je telefoon. Waar je onder andere op kunt letten, leggen we je uit in het artikel ‘Luistert onze elektronica ons af?

Zonder jouw toestemming mogen bedrijven niet met je mee luisteren via je telefoon. Hierbij is het van belang om de terms of service te lezen. Als je klakkeloos op ‘Accepteren’ klikt, kun je hier namelijk zomaar toestemming voor geven. De Nederlandse overheid mag dit in sommige gevallen wel. De AIVD en MIVD hebben bijvoorbeeld de bevoegdheid om telefoonnetwerken af te tappen.

Als je telefoon uitstaat, staat je microfoon ook uit. Niemand kan dan met je meeluisteren. Er bestaat echter malware waardoor het lijkt alsof je een smartphone uit hebt gezet, terwijl deze stiekem toch aanstaat. Hierbij gaat het om malware die de firmware van je telefoon infiltreert, wat helaas moeilijk te detecteren is.

Google is er in het verleden op betrapt dat het klanten afluisterde met Google Nest. Ook als het dat niet actief doet, verzamelt Google alsnog veel persoonlijke gegevens over je. Het is daarom belangrijk je privacyinstellingen op Google goed in te stellen.

Cybersecurity analist
David is een cybersecurity-analist en een van de oprichters van VPNgids.nl. Sinds 2014 heeft hij internationale ervaring opgedaan in het werken met overheden, NGO's en de private sector als cybersecurity- en VPN-expert en adviseur. Meer over David.
Plaats een reactie
Een reactie plaatsen