De griezelig onzichtbare invloed van spyware

Op 4 oktober bracht Citizen Lab het nieuws naar buiten dat de telefoon van New York Times-journalist Ben Hubbard deze zomer opnieuw geïnfecteerd was met spyware. Ben Hubbard is een Midden-Oosten-correspondent die een boek schreef over de Saudische kroonprins Mohammed Bin Salman: The Rise to Power of Mohammed bin Salman. Drie keer is er een hackaanval op zijn telefoon geweest: in 2018, 2020 en 2021. De laatste twee keer opmerkelijk genoeg nadat hij geklaagd had over een (mislukte) hack-aanval in 2018. Het lijkt er bijna op dat de aanvallers ontdekt wílden worden.

Versleutelde communicatie

Volgens het Canadese onderzoeksinstituut Citizen Lab heeft het virus dat in de telefoon gevonden is alle kenmerken van Pegasus, een product van de NSO Group. NSO Group is opgericht door oud-medewerkers van Unit 8200, de Israëlische equivalent van de NSA. Een aanvaller die een telefoon infecteert met Pegasus krijgt toegang tot het geheugen van die telefoon en kan foto’s, video’s, e-mails en teksten bekijken. Ook de screenshots van versleutelde communicatie als WhatsApp, Telegram of Signal kan in de gaten gehouden worden. Met de software kunnen gebruikers van Pegasus ook gesprekken opnemen die op of in de buurt van een telefoon worden gevoerd, de camera’s gebruiken en de verblijfplaats van de gebruikers lokaliseren.

Dit soort spyware bespaart de politie kortom veel tijd en geld. Vroeger moest er een heel team opgetuigd worden om afluisterapparatuur te plaatsen en iemand te schaduwen. Nu kun je voor hetzelfde geld honderden mensen tegelijk schaduwen. De prijs om iemand in de gaten te houden, is sterk gedaald. Ook de Nederlandse diensten gebruiken daarom dit soort applicaties. Of ze Pegasus gebruiken, willen ze niet zeggen.

There is no thing as bad publicity

Een zeldzaam inkijkje in deze handel gaf in 2014 de mysterieuze hacker Phineas Phisher, die inbrak in de systemen van twee concurrenten van de NSO Group: het Duitse bedrijf Gamma en het Italiaanse Hacking Team. Een van de pijnlijke details is dat daaruit bleek dat een kritisch artikel van Citizen Lab over het feit dat Hacking Team software verkocht aan autoritaire regimes, ervoor zorgde dat de omzet alleen maar groter werd. There is no thing as bad publicity lijkt ook op te gaan voor spyware.

‘Nu beperk ik de informatie die ik op mijn telefoon bewaar’, zegt Hubbard, ‘ik start mijn telefoon vaak opnieuw op (…) En, zo mogelijk, neem ik mijn toevlucht tot een van de weinige niet-hackbare opties die we nog steeds hebben: ik laat mijn telefoon achter en ontmoet mensen face to face’, voegde Hubbard eraan toe.

Griezelig

Hij vertelt er niet bij hoe hij de afspraken maakt met mensen die hij in levenden lijve ontmoet, zonder telefoon in de buurt. Wat ik wel weet, is dat als ik gevoelige informatie had over Mohammed Bin Salman, ik niet zou weten hoe ik het aan Hubbard zou moeten vertellen zonder mezelf in gevaar te brengen.

Het is misschien wel het griezeligste van dit soort software en het nieuws daarover. De onzichtbare invloed. Al het nieuws dat je nu niet hoort, omdat politieke activisten, klokkenluiders en anderen geen contact met een journalist op durven te nemen, lees je niet. En mis je dus ook niet. Zo lijkt er niet zoveel aan de hand.

Sociale media, hackers en algoritmes: tech-journalist Gerard Janssen legt in deze rubriek uit waar het botst met mensenrechten.